D7-03 9–10 分钟 重要程度:高

事件响应生命周期与检测预防控制

Incident response 的目标是限制损害、保留证据、恢复服务并防止复发。CISSP 题目通常按检测、响应、遏制、报告、恢复、补救、经验总结排序判断。

一、必须记住

  • 安全事件是对组织资产 CIA 产生负面影响的事件;计算机安全事件通常涉及攻击、恶意行为或策略违规。
  • 事件响应常见步骤:Detection、Response、Mitigation、Reporting、Recovery、Remediation、Lessons learned。
  • CIRT / CSIRT 负责协调技术、业务、法律、公关和管理层响应。
  • 响应越快,越有机会把损害限制在较小范围。
  • 含有易失性证据的计算机不应随意关机,否则 RAM 中证据可能丢失。
  • Mitigation 关注遏制事件发展;Recovery 关注恢复系统;Remediation 关注消除根因防止复发。
  • IDS 主要检测,IPS 位于流量路径上并可主动阻断;IDPS 同时具备检测和预防能力。

二、核心概念

生命周期判断

Detection 发现异常,Response 启动团队和流程,Mitigation/Containment 遏制影响,Reporting 按内部和外部要求通报,Recovery 在证据收集后恢复服务,Remediation 修复根因,Lessons learned 把经验反馈到准备和检测。

检测与预防

基本预防包括及时更新、禁用不需要的服务和协议、使用防火墙、IDS/IPS、反恶意软件和安全配置。知识型 IDS 依赖签名,适合已知攻击;行为型 IDS 依赖基线,可发现未知攻击但误报较多。

响应中的取舍

CISSP 题目常把恢复服务和保留证据放在冲突中。若事件可能进入调查或诉讼,应先保护人员安全和遏制损害,再按证据规则收集和保存证据,不能为了方便直接破坏证据。

三、CISSP 判断规则

  • 问第一时间发现异常,选 Detection。
  • 问限制事件范围,选 Mitigation / Containment。
  • 问系统回到正常状态,选 Recovery。
  • 问分析根因并防止再次发生,选 Remediation。
  • 问事件后改进流程,选 Lessons learned。

四、常见陷阱

  • Recovery 不是 Remediation:恢复服务不代表根因已经消除。
  • 不要随意关闭含证据主机;易失性数据可能最先丢失。
  • IDS 不等于 IPS;IPS 在线阻断,IDS 多为检测和告警。

五、英文关键字

Incident response (事件响应) Security incident CIRT (计算机事件响应小组) CSIRT (计算机安全事件响应小组) Detection Mitigation (缓解 / 遏制) Containment Reporting Recovery Remediation (补救 / 根因修复) Lessons learned (经验总结) IDS IPS IDPS

小测验

1. 事件团队断开受感染主机的网络连接以防止横向移动,属于哪个阶段?

Mitigation/Containment 的目标是遏制事件发展并限制影响范围。

2. 攻击后重建系统并使业务恢复运行,最符合哪个阶段?

Recovery 关注在适当收集证据后恢复系统到正常工作状态。

3. 关于含有证据的受感染计算机,CISSP 最佳判断是?

随意关机会丢失 RAM 等易失性证据;应按事件响应和取证流程处理。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成