防御与运营
纠正性控制
别称: 补救性控制, 响应性控制
定义
在事件发生后采取行动以限制损害、消除威胁并将系统恢复到已知正常状态的安全措施。
纠正性控制是在检测到安全事件后启动的修复活动和技术。典型示例包括隔离受感染的终端、终止恶意进程、从备份还原数据、修补被利用的漏洞、轮换被泄露的凭据,以及基于黄金镜像重建系统。它与事件响应生命周期紧密耦合,依赖于准确的检测和经过演练的恢复流程。其有效性通过 MTTC、MTTR 以及满足 RTO 和 RPO 目标的能力来衡量。
示例
- EDR 检测到勒索软件行为后自动隔离主机。
- 在擦除型恶意软件事件后,从最后一次干净的快照恢复数据库。
相关术语
预防性控制
旨在从源头上阻止安全事件发生的控制措施,通过消除机会或行为能力来实现。
检测性控制
用于在环境中发生恶意活动、违规行为或异常后进行识别和告警的安全措施。
Compensating Controls
Compensating Controls — definition coming soon.
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
Mean Time to Recover (MTTR)
Mean Time to Recover (MTTR) — definition coming soon.
Recovery Time Objective (RTO)
Recovery Time Objective (RTO) — definition coming soon.