跳转到主要内容

事件响应

本文约需 2 分钟阅读

事件响应是指在发生安全事故 (事件) 时,为将损失降至最低并迅速恢复而采取的组织化应对流程。 NIST SP 800-61 定义了「准备」「检测与分析」「遏制、根除与恢复」「事后活动」四个阶段,由 SOC 团队主导推进响应。截至 2025 年,随着勒索软件攻击的增加,完善事件响应计划已被视为经营层面的课题。

现场使用案例

“周五深夜检测到勒索软件感染,紧急召集了事件响应团队。按照行动手册在 30 分钟内将感染终端从网络隔离,并在周末完成了从备份的恢复。周一早晨已能恢复正常业务。”

事件响应流程

准备 (完善行动手册、建立联络体系)
检测与分析 (SIEM 告警、确定影响范围)
遏制 (网络隔离、停用账户)
根除与恢复 (清除恶意软件、重建系统)
事后活动 (根本原因分析、防止再发措施)

四个阶段的实务

在准备阶段,进行应对手册 (行动手册) 的完善、联络体系的建立以及取证工具的准备。在检测与分析阶段,对来自 SIEM 的告警和用户报告进行分诊,确定影响范围。遏制阶段实施感染终端的网络隔离、停用账户等措施;根除阶段则彻底清除恶意软件并重建系统。事后活动阶段进行根本原因分析 (RCA),制定防止再发的措施。事件响应实践书 (Amazon)可帮助系统学习。

常见误解与陷阱

「事件响应只是 IT 部门的工作」这种误解很危险。公关 (媒体应对)、法务 (应对个人信息保护法)、经营层 (决策) 的参与不可或缺,必须事先明确分工。此外,事件发生时因恐慌而销毁证据的情况也很多,因此向全体员工普及「首先保全日志」这一原则十分重要。在数据泄露应对中,有时负有在 72 小时内向主管部门报告的义务,这是一场与时间的赛跑。

个人层面的防备

账户被劫持或遭受钓鱼侵害对个人同样可能发生。请为每项服务设置独有的高强度密码以保护各个账户,并事先掌握个人版事件响应的步骤,以便万一发生泄露时能立即更改密码。CSIRT 运营相关书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena