D7-03 9–10 分钟 重要程度:高
事件响应生命周期与检测预防控制
Incident response 的目标是限制损害、保留证据、恢复服务并防止复发。CISSP 题目通常按检测、响应、遏制、报告、恢复、补救、经验总结排序判断。
一、必须记住
- 安全事件是对组织资产 CIA 产生负面影响的事件;计算机安全事件通常涉及攻击、恶意行为或策略违规。
- 事件响应常见步骤:Detection、Response、Mitigation、Reporting、Recovery、Remediation、Lessons learned。
- CIRT / CSIRT 负责协调技术、业务、法律、公关和管理层响应。
- 响应越快,越有机会把损害限制在较小范围。
- 含有易失性证据的计算机不应随意关机,否则 RAM 中证据可能丢失。
- Mitigation 关注遏制事件发展;Recovery 关注恢复系统;Remediation 关注消除根因防止复发。
- IDS 主要检测,IPS 位于流量路径上并可主动阻断;IDPS 同时具备检测和预防能力。
二、核心概念
生命周期判断
Detection 发现异常,Response 启动团队和流程,Mitigation/Containment 遏制影响,Reporting 按内部和外部要求通报,Recovery 在证据收集后恢复服务,Remediation 修复根因,Lessons learned 把经验反馈到准备和检测。
检测与预防
基本预防包括及时更新、禁用不需要的服务和协议、使用防火墙、IDS/IPS、反恶意软件和安全配置。知识型 IDS 依赖签名,适合已知攻击;行为型 IDS 依赖基线,可发现未知攻击但误报较多。
响应中的取舍
CISSP 题目常把恢复服务和保留证据放在冲突中。若事件可能进入调查或诉讼,应先保护人员安全和遏制损害,再按证据规则收集和保存证据,不能为了方便直接破坏证据。
三、CISSP 判断规则
- 问第一时间发现异常,选 Detection。
- 问限制事件范围,选 Mitigation / Containment。
- 问系统回到正常状态,选 Recovery。
- 问分析根因并防止再次发生,选 Remediation。
- 问事件后改进流程,选 Lessons learned。
四、常见陷阱
- Recovery 不是 Remediation:恢复服务不代表根因已经消除。
- 不要随意关闭含证据主机;易失性数据可能最先丢失。
- IDS 不等于 IPS;IPS 在线阻断,IDS 多为检测和告警。
五、英文关键字
Incident response (事件响应) 定义:检测、遏制、报告、恢复并防止安全事件复发。 Security incident CIRT (计算机事件响应小组) 定义:协调安全事件响应的团队。 CSIRT (计算机安全事件响应小组) 定义:负责处理计算机安全事件的团队。 Detection Mitigation (缓解 / 遏制) 定义:限制事件或风险的影响范围。 Containment Reporting Recovery Remediation (补救 / 根因修复) 定义:消除根因,防止问题再次发生。 Lessons learned (经验总结) 定义:事件后复盘并改进流程和控制。 IDS IPS IDPS
小测验
1. 事件团队断开受感染主机的网络连接以防止横向移动,属于哪个阶段?
Mitigation/Containment 的目标是遏制事件发展并限制影响范围。
2. 攻击后重建系统并使业务恢复运行,最符合哪个阶段?
Recovery 关注在适当收集证据后恢复系统到正常工作状态。
3. 关于含有证据的受感染计算机,CISSP 最佳判断是?
随意关机会丢失 RAM 等易失性证据;应按事件响应和取证流程处理。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成