展开
湖北国联计算机科技有限公司
  • 首页HOME
  • 公司简介INTRODUCTION
  • 安全防御DEFENSE
  • 软件开发SOFTWARE
  • 物联网IOT
  • 运行维护SRE
  • 成功案例CASE
  • 联系我们CONTACT
  • Defense Q&A |网安Q&A

    大多数企业都搞错了事件响应的这两个阶段
    来源:湖北国菱编辑部 时间:2018-05-08

    事件响应是有基准的,准备、识别、限制、清除、恢复、总结经验教训,这6个阶段定义了公司企业以最少的修复时间将网络攻击破坏限制在最小范围的基本操作。

    但是,这6个阶段中有些方面是公司企业老弄错了的。最大的漏洞恐怕就是没认识到事件响应是个过程,而不是个事情。另外,限制和清除这两个阶段之间的差异也少有人意识到。很多人都觉得直接跳到清除过程就好了啊,清除掉了不就限制了威胁的破坏了么?

    然而,这种想法大错特错。限制阶段的存在是有原因的。通过将威胁限制在某一范围,事件响应团队就有时间对事件进行恰当的排查。这又走回了识别阶段,有些公司就是在这里会有些迷惑与混乱。识别阶段不是入侵检测,而是确定公司所遭遇攻击已经严重到何种程度。

    你得找出每一台被感染的设备,如若不然,攻击者就仍然会在公司网络中留下据点。换句话说,限制阶段基本上就是密集监视,对攻击者围追堵截,尽一切努力阻碍其达成最终目标。

    大多数事件响应计划中的第二大空白,集中在恢复和经验总结上。事件发生后,大多数公司都集中在打补丁或增加额外的入侵检测防护层上,却忘了问题的根源。

    但实际上,退回到最初的几个阶段来衡量某些东西才是真正应该做的。比如,威胁入侵了多长时间你才检测出来?如果每次事件后都不能缩短驻留时间,那只是说明公司的入侵检测存在系统性问题。

    事件响应的底线就在于,这是一个循环,而你总是处在经验教训总结这个阶段。所以,这个循环永远不会完结,你不过是又走回识别阶段,在想“别的事件将要发生,我们能找出来吗?”

    事件响应成为大多数公司日常安全运营而不是有事时才想起来用用的原因正在于此。

    湖北国菱就是一家提供专业的数据中心维护服务,机房承建服务的公司,为荆州及周边地区提供专业化的数据中心(机房)运行维护服务。


    荆州地区政府网站建设 解决方案 专业团队 腾讯第三方平台 地址:湖北省荆州市沙市区荆沙大道楚天都市佳园一期C区29栋112       地址:湖北省松滋市才知文化广场1141-1142号     邮编:434200 联系电话:0716-6666211     网站编辑部邮箱:business@gl-ns.com 鄂公网安备 42100202000212号 备案号:鄂ICP备2021015094号-1     企业名称:湖北国菱计算机科技有限公司