網絡攻擊事件響應周期有哪些階段

網絡攻擊事件響應周期有以下這些階段：

• 預備階段：預備工作是防御者通過部署新的檢測系統、創建和更新簽名以及了解系統基線和網絡活動來獲取先機。這是網絡安全架構和安全運營的組合。其中許多步驟超出了安全團隊的范圍，這里還會涉及網絡運維、網絡架構設計、系統管理，甚至一線IT支撐服務。

• 識別階段：識別階段是防御者識別攻擊者如何影響其環境的階段。識別階段始于你意識到網絡資源受到了攻擊。在事件響應周期的模型中，識別階段是整個入侵檢測階段，這是個涉及許多細節的復雜話題。在這里顯然是合理簡化了，因為這個周期的重點是事件響應的端到端流程。這個階段通常會引發一個事件調查，在開始直接響應之前識別更多關于攻擊和攻擊者的信息。威脅情報的關鍵目標之一就是增強識別階段，提高早期識別攻擊者的方法的準確性和數量。

• 遏制階段：遏制是一開始嘗試減緩攻擊者的行為，短平快地控制風險，同時準備更長期的響應。這些短期的響應可能不會使攻擊停止，但它們大大降低了攻擊者繼續實現目標的能力。這些行動應該以迅速而受控的方式進行，以限制對手的反擊機會。

• 消除階段：消除是中長期的修復努力，意在保持良好狀態使攻擊者出局（不像遏制階段的臨時措施）。這些行動應該經過深思熟慮，可能需要花費大量的時間和資源進行部署。它們專注于抵御對手未來的大部分攻擊計劃。

• 恢復階段：恢復是回到無事件狀態的過程。在某些方面，攻擊本身需要的恢復較少，更多的是源自事件響應者采取的行動。例如，如果從用戶那里獲取受感染系統進行取證分析，則恢復階段涉及返還或更換用戶的系統，以便用戶可以繼續他的工作。如果整個網絡受到入侵，恢復階段就是鏟除攻擊者在整個網絡上采取的任何行動，這可能是一個漫長的過程。

• 反思階段：與許多其他安全和情報周期類似，反思是事件響應周期的最后一個階段，這里包括抽出時間來評估過去的決策并學習在未來如何改進。管這個階段很重要，但是反思工作不一定會非常艱巨。其實應該是相反的，一個好的事后行動不需要花費太多時間，也不需要卷入參與事件響應的每個人。

回答所涉及的環境：聯想天逸510S、Windows 10。