事件响应就像追踪一个犯罪者
当你回应一个漏洞时,找出什么是必要的
最常见的事件响应问题
很少有事件响应调查能够100%顺利进行。一些最常见的问题包括事件反应/安全人员没有得到足够的培训来处理破坏,或者组织是“弹壳休克”或瘫痪。事件响应团队有时没有正确的组织表示,并且缺乏网络或资源可见性。也可能没有足够的技能或工具来执行基于包的网络取证,也没有适当的流程来识别和存储“可疑”包以供以后的调查。
如果你的团队没有准备好,支持他们!
理解并接受将会发生的破坏。进行定期桌面演习。每个季度进行基于场景的演练,分配预算用于IR和检测。
解决组织“震惊”
当漏洞被发现时,不要让震惊让组织瘫痪。准备好行动计划,集中精力缓解和解决问题。保持内部沟通是关键—— 把所有安保人员 和其他利益相关者的信息。
确保你的IR团队包括:
确保你的事件响应团队包括以下部门的成员:人力资源、公共关系、法律、行政、IT和IT安全、公司安全和高级管理。不要冷落任何一支球队。专业知识的持续交流和共享是至关重要的。
组织足迹的表示
现在就为您的数字企业提供一个准确的展示!网络地图应该包括入口点、出口点等。确保它拥有所需的工具。确保IT安全拥有所需的工具。
执行网络和数据包取证
只要有可用的数据,安全分析人员擅长在短时间内关联事件。现在我们需要更好地在长时间内将事件关联起来,也就是大多数破坏被发现所需要的时间。请专家快速拨号。拥有可以长时间存储“可疑”数据包的工具。
版权©2017足球竞彩网下载
接下来:看看这些相关的幻灯片
相关的幻灯片