機構、企業網絡安全應急響應應具備哪些能力

機構、企業網絡安全應急響應應具備以下能力：

數據采集、存儲和檢索能力

• 能對全流量數據協議進行還原；

• 能對還原的數據進行存儲；

• 能對存儲的數據快速檢索；

事件發現能力

• 能發現高級可持續威脅（Advanced Persistent Threat，APT）攻擊；

• 能發現Web攻擊；

• 能發現數據泄露；

• 能發現失陷主機；

• 能發現弱密碼及企業通用密碼；

• 能發現主機異常行為；

事件分析能力

• 能進行多維度關聯分析；

• 能還原完整殺傷鏈；

• 能結合具體業務進行深度分析；

事件研判能力

• 能確定攻擊者的動機及目的；

• 能確定事件的影響面及影響范圍；

• 能確定攻擊者的手法；

事件處置能力

• 能在第一時間恢復業務正常運行；

• 能對發現的病毒、木馬進行處置；

• 能對攻擊者所利用的漏洞進行修復；

• 能對問題機器進行安全加固；

攻擊溯源能力

• 具備安全大數據能力；

• 能根據已有線索（IP地址、樣本等）對攻擊者的攻擊路徑、攻擊手法及背后組織進行還原；

回答所涉及的環境：聯想天逸510S、Windows 10。