企業網絡安全應急響應應具備哪些能力

企業網絡安全應急響應應具備以下能力：

• 數據采集、存儲和檢索能力：能對全流量數據協議進行還原；能對還原的數據進行存儲；能對存儲的數據快速檢索。

• 事件發現能力：能發現APT攻擊；能發現Web攻擊；能發現數據泄露；能發現失陷主機；能發現弱口令及企業通用口令；能發現主機異常行為。

• 事件分析能力：能進行多維度關聯分析；能還原完整殺傷鏈；能結合具體業務進行深度分析。

• 事件研判能力：能確定攻擊者的動機及目的；能確定事件的影響面及影響范圍；能確定攻擊者的手法。

• 事件處置能力：能第一時間恢復業務正常運行；能對發現的病毒、木馬進行處置；能對攻擊者所利用的漏洞進行修復；能對問題機器進行安全加固。

• 攻擊溯源能力：具備安全大數據相關能力；能根據已有線索（IP、樣本等）對攻擊者的攻擊路徑、攻擊手法及背后組織進行還原。