事件反应就像追踪罪犯

事件响应就像调查一起真正的盗窃案。你在犯罪现场寻找入侵者的证据，找到他的目标和他逃跑的车，修补任何漏洞。发现你的铁链围栏上的任何切割。后退几步看得更清楚些。找到入侵者的目标。被破坏的围栏附近有什么资产?从两个方向进行调查，找出入侵者的目标和逃跑用的车。修理篱笆。解决任何问题和补丁漏洞。

Larry Zulch，公司总裁兼首席执行官Savvius，带我们参观犯罪现场。

很少有事故响应调查是100%顺利进行的。一些最常见的问题包括事件响应/安全人员没有充分的培训来处理缺口或组织是“shellshock”或瘫痪。事件响应团队有时没有正确的组织表示，并且缺乏网络或资源可见性。执行基于包的网络取证的技能或工具可能不足，也没有适当的流程来识别和存储“可疑”包以供以后调查。

理解并接受违约的发生．进行定期桌面演习．每个季度都要做基于场景的演练，并为IR和检测分配预算。

当发现漏洞时，不要让震惊使公司陷入瘫痪。准备好行动计划，并专注于缓解和解决违约。保持内部沟通是关键-
保持所有IT安全人员
和其他利益相关者知情。

确保你的事件响应团队包括以下部门的成员:HR, PR, Legal, Administration, IT and IT security, corporate security and senior management。别让任何队伍受到冷遇。持续的交流和分享专业知识是至关重要的。

现在就得到一个准确的数字企业的代表!网络地图应该包括入口点、出口点等。确保IT部门拥有所需的工具。确保IT安全拥有所需的工具。

安全分析师擅长在短时间内关联事件，只要数据是可用的。现在，我们需要在长时间关联事件方面做得更好，大多数入侵需要多长时间才能被发现。有专家快速拨号。拥有可以长时间存储“可疑”数据包的工具。

相关:成功的事件响应计划的9个步骤

计算机取证人员追踪行凶者留下的面包屑