应急响应黄金一小时

在处理任何安全事件之前，一个合格的应急响应工程师需要掌握大量的知识。首先，应急响应工程师需要熟悉他们的角色和职责。IT基础设施近几年来发展迅速。例如，我们观察到云计算和数据存储被越来越广泛地利用。快速变化的 IT 环境不断更新对安全工程师技能的需求，例如学习云安全。因此，应急响应安全工程师需要动手实践并保持对IT行业各系统的了解。在实践中，外部的应急响应顾问需要能迅速了解他们需要负责的系统。同时，公司内部应急响应安全工程师也应积极参与漏洞扫描与管理的流程。

收集信息的质量往往决定了事件响应的结果。应急响应工程师需要了解他们将面临的威胁。随着网络安全防御性技术频繁的升级，恶意攻击者的技术也在不断演变。例如，根据 2010 年的一篇论文，最活跃的10个勒索软件团体中有4个现在正在使用“勒索软件即服务”商业模式。此模式表明，由于降低了此类攻击的技术门槛，恶意攻击者将更容易部署勒索软件。所以，网络安全应急响应团队需要了解他们会遇到的主要威胁。例如，一名应急响应工程师在看到常见的恶意软件时可能得出结论认为它没有其他威胁。但是当这种事件出现在更敏感的场景中时，例如在重要产业部门中，应急响应工程师们则需要更敏锐的思考并寻找其是否为更严重的安全入侵的蛛丝马迹。为了有效应对事件响应，应急响应工程师需要熟悉他负责的基础设施以及他将面临的网络安全威胁图景。