事件响应
本文约需 2 分钟阅读
事件响应是指在发生安全事故 (事件) 时,为将损失降至最低并迅速恢复而采取的组织化应对流程。 NIST SP 800-61 定义了「准备」「检测与分析」「遏制、根除与恢复」「事后活动」四个阶段,由 SOC 团队主导推进响应。截至 2025 年,随着勒索软件攻击的增加,完善事件响应计划已被视为经营层面的课题。
现场使用案例
“周五深夜检测到勒索软件感染,紧急召集了事件响应团队。按照行动手册在 30 分钟内将感染终端从网络隔离,并在周末完成了从备份的恢复。周一早晨已能恢复正常业务。”
事件响应流程
准备 (完善行动手册、建立联络体系)
检测与分析 (SIEM 告警、确定影响范围)
遏制 (网络隔离、停用账户)
根除与恢复 (清除恶意软件、重建系统)
事后活动 (根本原因分析、防止再发措施)
四个阶段的实务
在准备阶段,进行应对手册 (行动手册) 的完善、联络体系的建立以及取证工具的准备。在检测与分析阶段,对来自 SIEM 的告警和用户报告进行分诊,确定影响范围。遏制阶段实施感染终端的网络隔离、停用账户等措施;根除阶段则彻底清除恶意软件并重建系统。事后活动阶段进行根本原因分析 (RCA),制定防止再发的措施。事件响应实践书 (Amazon)可帮助系统学习。
常见误解与陷阱
「事件响应只是 IT 部门的工作」这种误解很危险。公关 (媒体应对)、法务 (应对个人信息保护法)、经营层 (决策) 的参与不可或缺,必须事先明确分工。此外,事件发生时因恐慌而销毁证据的情况也很多,因此向全体员工普及「首先保全日志」这一原则十分重要。在数据泄露应对中,有时负有在 72 小时内向主管部门报告的义务,这是一场与时间的赛跑。
个人层面的防备
账户被劫持或遭受钓鱼侵害对个人同样可能发生。请为每项服务设置独有的高强度密码以保护各个账户,并事先掌握个人版事件响应的步骤,以便万一发生泄露时能立即更改密码。CSIRT 运营相关书籍 (Amazon)也可作为参考。
这篇文章对您有帮助吗?