应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。 应急处理的两个根本性目标:确保恢复、追究责任。 除非是“事后”处理的事件,否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能。在确保恢复的工作中,应急处理人员需要保存各种必要的证据,以供将来其他工作使用。
应急响应事件中有五大建议:1. 事件响应Retainers(Incident Response Retainers,简称IRR) 我们首先推荐Incident Response Retainers并不奇怪,因为它是我们投资组合的基石。但是并不要认为我们如此推荐是存在私心的,毕竟,我想要能在第一时间进行响应是需要Retainers工具加持的。2. 先进的端点保护 在这所有5项建议中,有2项涉及技术层面的建议,这就是其中一项。在管理活跃事件时,作为响应者所需的一项关键能力就是,能够在更大规模的环境中洞察并有效地响应事件。3. 网络分段 由于缺乏经由网络分段的控制设备,许多网络和组织都已经被攻击“下线”。4. 安全监控 这一点的重要性可谓不言而喻,但是却仍未获得应有的重视。5. 基于网络的安全 这是最后一项建议,同时也是第二项技术推荐。应该将基于网络的安全控制分层,以防止来自web和基于电子邮件的威胁攻击。