企业网络安全应急响应应具备以下能力。
- 数据采集、存储和检索能力
能对全流量数据协议进行还原;
能对还原的数据进行存储;
能对存储的数据快速检索。
- 事件发现能力
能发现APT攻击;
能发现Web攻击;
能发现数据泄露;
能发现失陷主机;
能发现弱口令及企业通用口令;
能发现主机异常行为。
- 事件分析能力
能进行多维度关联分析;
能还原完整杀伤链;
能结合具体业务进行深度分析。
- 事件研判能力
能确定攻击者的动机及目的;
能确定事件的影响面及影响范围;
能确定攻击者的手法。
- 事件处置能力
能第一时间恢复业务正常运行;
能对发现的病毒、木马进行处置;
能对攻击者所利用的漏洞进行修复;
能对问题机器进行安全加固。
- 攻击溯源能力
具备安全大数据相关能力;
能根据已有线索(IP、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。
企业网络安全应急响应应具备以下能力:
数据采集、存储和检索能力:能对全流量数据协议进行还原;能对还原的数据进行存储;能对存储的数据快速检索。
事件发现能力:能发现APT攻击;能发现Web攻击;能发现数据泄露;能发现失陷主机;能发现弱口令及企业通用口令;能发现主机异常行为。
事件分析能力:能进行多维度关联分析;能还原完整杀伤链;能结合具体业务进行深度分析。
事件研判能力:能确定攻击者的动机及目的;能确定事件的影响面及影响范围;能确定攻击者的手法。
事件处置能力:能第一时间恢复业务正常运行;能对发现的病毒、木马进行处置;能对攻击者所利用的漏洞进行修复;能对问题机器进行安全加固。
攻击溯源能力:具备安全大数据相关能力;能根据已有线索(IP、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。
推荐文章