取证与应急响应
事件响应
别称: IR, 网络事件响应
定义
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
事件响应(IR)是针对威胁或破坏信息资产机密性、完整性或可用性的事件所开展的结构化处置。NIST SP 800-61 将其划分为六个阶段(准备、检测与分析、遏制、根除、恢复、事后总结),SANS 则使用类似的 PICERL 模型。高效的事件响应依赖经过演练的剧本、值班轮换、沟通链、法律与公关协同,以及 SIEM、SOAR、EDR 与取证分诊套件等工具。目的是最大限度地降低损失与恢复时间,并将经验沉淀到预防与检测能力之中。
示例
- 确认商业邮件入侵后:撤销令牌、重置凭据并通知受影响方。
- 在 IT、法务和高层之间协调勒索软件感染 ERP 的根除与恢复。
相关术语
事件响应计划
经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
桌面演练
以讨论为主的模拟演练,相关方按既定情景推演假想的网络事件,检验计划、角色、决策与沟通。
SOAR
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
安全运营中心(SOC)
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。