大多數(shù)企業(yè)都搞錯了事件響應(yīng)的這兩個階段

來源：湖北國菱編輯部 時間：2018-05-08

事件響應(yīng)是有基準(zhǔn)的，準(zhǔn)備、識別、限制、清除、恢復(fù)、總結(jié)經(jīng)驗教訓(xùn)，這6個階段定義了公司企業(yè)以最少的修復(fù)時間將網(wǎng)絡(luò)攻擊破壞限制在最小范圍的基本操作。

但是，這6個階段中有些方面是公司企業(yè)老弄錯了的。最大的漏洞恐怕就是沒認識到事件響應(yīng)是個過程，而不是個事情。另外，限制和清除這兩個階段之間的差異也少有人意識到。很多人都覺得直接跳到清除過程就好了啊，清除掉了不就限制了威脅的破壞了么?

然而，這種想法大錯特錯。限制階段的存在是有原因的。通過將威脅限制在某一范圍，事件響應(yīng)團隊就有時間對事件進行恰當(dāng)?shù)呐挪?。這又走回了識別階段，有些公司就是在這里會有些迷惑與混亂。識別階段不是入侵檢測，而是確定公司所遭遇攻擊已經(jīng)嚴重到何種程度。

你得找出每一臺被感染的設(shè)備，如若不然，攻擊者就仍然會在公司網(wǎng)絡(luò)中留下?lián)c。換句話說，限制階段基本上就是密集監(jiān)視，對攻擊者圍追堵截，盡一切努力阻礙其達成最終目標(biāo)。

大多數(shù)事件響應(yīng)計劃中的第二大空白，集中在恢復(fù)和經(jīng)驗總結(jié)上。事件發(fā)生后，大多數(shù)公司都集中在打補丁或增加額外的入侵檢測防護層上，卻忘了問題的根源。

但實際上，退回到最初的幾個階段來衡量某些東西才是真正應(yīng)該做的。比如，威脅入侵了多長時間你才檢測出來？如果每次事件后都不能縮短駐留時間，那只是說明公司的入侵檢測存在系統(tǒng)性問題。

事件響應(yīng)的底線就在于，這是一個循環(huán)，而你總是處在經(jīng)驗教訓(xùn)總結(jié)這個階段。所以，這個循環(huán)永遠不會完結(jié)，你不過是又走回識別階段，在想“別的事件將要發(fā)生，我們能找出來嗎？”

事件響應(yīng)成為大多數(shù)公司日常安全運營而不是有事時才想起來用用的原因正在于此。

湖北國菱就是一家提供專業(yè)的數(shù)據(jù)中心維護服務(wù)，機房承建服務(wù)的公司，為荊州及周邊地區(qū)提供專業(yè)化的數(shù)據(jù)中心（機房）運行維護服務(wù)。