攻防演练专题 | 应急响应能力提升的解决方案

网络安全防护和应急处置响应能力的提升是网络安全发展的重要一部分，全球网络安全威胁和风险日益突出,并向政治、经济、文化、社会、生态、国防等领域传导渗透。 

组建专业应急处置响应团队，构建完整的网络安全专项预案及流程体系，建立与业务部门联动机制，强化实战化应急能力建设，有效提升应急指挥能力水平，准确分析攻击行为，有效处置安全事件，及时控制和消除各类突发事件的危害及影响，全面提升网络安全应急处置和快速响应能力。

概念：遇到突发事件后所采取的措施和行动。

目标：包括采取紧急措施和行动，恢复业务到正常服务状态；调查安全事件发生的原因。

信息收集判断类型深入分析清理处置产出报告

团队建设：明确相关职责，配齐管理人员，常态开展各类突发事件的监测、分析和应急处置工作。

两个小组：应急指挥小组、应急处置小组。

三个行为：明确科学合理的应急管理评价指标；落实突发事件应急管理责任和相关岗位人员责任考核制度；建立应急物资装备储备、应急指挥信息系统、应急预案演练、应急处置后评估等环节的网络安全应急响应闭环演进体系。

四个原则：统一领导、综合协调、属地为主、分工负责。

组织架构：3层，分别是决策层，管理层和执行层。

决策层：总指挥，执行组长，组员；

管理层：现场指挥协调组和运行协调组；

执行层：监测分析组、研判组、技术处置组、溯源取证组等。

组织专家开展专业咨询、培训演练和课题研究、开展网络安全应急指挥人员和专业处置人员技能与心理素质培训、实现各单位培训全覆盖。

建立快速、有效的联动沟通渠道、加强应急指挥平台建设、定期开展网络安全突发事件综合应急演练。

应急指挥平台：以业务应用为核心，以威胁情报与可视化为特色。

采用“前台可视化监测”+“后台分析处置”的双重模式，实现以安全威胁监控、事件关联分析、自动化响应处置的安全运营闭环。

制定急处置能力提升方案、常态开展应急处置能力提升方案实施评估、定期开展网络安全应急响应处置工作执行情况评估、定期开展网络安全突发事件应急处置事件后评估工作一体化解决方案。

应急处置前：认清风险、整改加固、定期演练；

应急处置中：拦截、监控、溯源、应急；

应急处置后：修补整改、常态化运营。

分为内部和外部资产风险动态。内部主要是通过资产自动测绘、感知资产新增/消亡、网络架构自识别、洞察资产风险对内部资产风险动态进行管理；外部主要是基于不同的场景，通过不同的方式对外部资产风险动态进行管理。

通过对web、网络、邮件安全进行三维一体的全方位威胁监测，打造完善的应急响应威胁监测体系，实现预测、监测、防御、处置自适应安全闭环。

实战对抗：Webshell内存马深度检测与还源；

应急响应：针对失陷主机快速响应，深度溯源；

重点排查：定期对重点主机专项检查，即时发现入侵行为；

高级威胁取证溯源：针对可疑主机定期监测，快速识别高级威胁。

已登记互联网资产监测：识别已在台账系统中登记的互联网资产变更情况。

未知互联网资产发现：发现未登记互联网资产、摸排私搭网络出口资产，巡查互联网冒用伪造应用。

安全漏洞发现：通过扫描发现互联网应用的常规高危漏洞。

通过监测工具及关联算法对企业单位名称、IP、域名、关键字的综合查询，使用主动方式排查单位敏感信息内容。

基于钓鱼监控平台所统计的本次钓鱼邮件安全意识的测试数据，根据需要，生成钓鱼邮件访问、链接点击及其他相关数据情况的报告。

邮件安全防护融合邮件威胁监测、邮件安全服务、云端威胁情报联动为一体的综合邮件安全解决方案。

解决钓鱼邮件监测和账号安全监测问题；发现绕过邮件网关的高级邮件攻击；将单个攻击者攻击邮件进行自动化溯源分析与身份追溯。