事件响应就像追踪一个犯罪者

事件响应就像是在调查一起真正的入室盗窃你在犯罪现场寻找入侵者的证据，找到他的目标和他逃跑的汽车，修补漏洞。发现在你的铁链栅栏的任何削减。后退几步看问题。找到入侵者的目标。什么资产在受损的围栏附近?调查在两个方向找到入侵者的目标和逃跑的汽车。修理篱笆。解决任何问题和修补漏洞。

Larry Zulch，总裁兼首席执行官Savvius他带我们走过犯罪现场。

很少有事件响应调查能够100%顺利进行。一些最常见的问题包括事件反应/安全人员没有得到足够的培训来处理破坏，或者组织是“弹壳休克”或瘫痪。事件响应团队有时没有正确的组织表示，并且缺乏网络或资源可见性。也可能没有足够的技能或工具来执行基于包的网络取证，也没有适当的流程来识别和存储“可疑”包以供以后的调查。

理解并接受将会发生的破坏。进行定期桌面演习。每个季度进行基于场景的演练，分配预算用于IR和检测。

当漏洞被发现时，不要让震惊让组织瘫痪。准备好行动计划，集中精力缓解和解决问题。保持内部沟通是关键——
把所有安保人员
和其他利益相关者的信息。

确保你的事件响应团队包括以下部门的成员:人力资源、公共关系、法律、行政、IT和IT安全、公司安全和高级管理。不要冷落任何一支球队。专业知识的持续交流和共享是至关重要的。

现在就为您的数字企业提供一个准确的展示!网络地图应该包括入口点、出口点等。确保它拥有所需的工具。确保IT安全拥有所需的工具。

只要有可用的数据，安全分析人员擅长在短时间内关联事件。现在我们需要更好地在长时间内将事件关联起来，也就是大多数破坏被发现所需要的时间。请专家快速拨号。拥有可以长时间存储“可疑”数据包的工具。

相关:成功的事件反应计划的9个步骤

计算机取证追踪罪犯留下的面包屑