應急響應泛指安全技術人員在遇到突發事件后所采取的措施和行為。而突發事件則是指影響一個系統正常工作的情況。這里的系統包括主機范疇內的問題����,也包括網絡范疇內的問題���,例如黑客入侵�、信息竊取�、拒絕服務攻擊、網絡流量異常等。 應急處理的兩個根本性目標:確?;謴?��、追究責任���。 除非是“事后”處理的事件,否則應急處理人員首先要解決的問題是如何確保受影響的系統恢復正常的功能�����。在確?����;謴偷墓ぷ髦?����,應急處理人員需要保存各種必要的證據,以供將來其他工作使用����。
應急響應事件中有五大建議:1. 事件響應Retainers(Incident Response Retainers�,簡稱IRR) 我們首先推薦Incident Response Retainers并不奇怪��,因為它是我們投資組合的基石�����。但是并不要認為我們如此推薦是存在私心的,畢竟�,我想要能在第一時間進行響應是需要Retainers工具加持的�����。2. 先進的端點保護 在這所有5項建議中,有2項涉及技術層面的建議���,這就是其中一項。在管理活躍事件時�����,作為響應者所需的一項關鍵能力就是�,能夠在更大規模的環境中洞察并有效地響應事件�����。3. 網絡分段 由于缺乏經由網絡分段的控制設備�,許多網絡和組織都已經被攻擊“下線”�����。4. 安全監控 這一點的重要性可謂不言而喻����,但是卻仍未獲得應有的重視�。5. 基于網絡的安全 這是最后一項建議,同時也是第二項技術推薦��。應該將基于網絡的安全控制分層���,以防止來自web和基于電子郵件的威脅攻擊。
