事件响应与调查
• 执行网络安全事件的响应(IT/OT安全),管理从CSIRT激活到遏制、缓解、恢复及事后分析的整个生命周期。
• 在重大事件中与内部和外部团队(包括资产所有者)协调,以进行分类、遏制和恢复工作。
• 制定短期遏制和长期根除策略,以减轻网络安全威胁的影响并防止未来事件的发生。
• 分析网络安全事件,包括被利用的漏洞和使用的方法,并制定响应策略。
• 记录并跟踪事件响应活动中遵循的步骤和程序,确保准确报告。
• 定期向领导层提供事件状态、影响和恢复策略的更新,确保技术和业务影响的清晰沟通。
• 与执法和法律团队合作进行网络犯罪调查(包括取证调查),确保遵守法律和监管要求。
• 执行事后损害评估,以评估对系统和数据的影响,并进行事后分析以识别攻击的根本原因。
• 制定事后经验教训报告,以持续改进事件响应能力。
• 自动化低级事件的修复,以简化响应工作并提高效率。
• 参与并开展桌面演练和演习,以增强事件响应的准备性和有效性。
• 通过整合经验教训、采用行业最佳实践和跟踪新兴威胁,持续改进事件响应流程。
• 制定网络安全事件报告,并为内部IR需求(KPI状态报告、统计和仪表盘报告、管理和监管报告等)做出贡献。
• 根据业务需求支持其他网络安全防御功能(VM、TI、IR、TH和保证)。
• 支持网络安全防御审计、合规、风险和监管要求。
数字取证检查与恶意软件分析
• 对涉及网络安全事件的系统、网络和数字证据进行取证分析,遵循取证程序保存证据。
• 使用先进的取证工具收集和分析被攻陷设备的数据,并进行内存取证以识别恶意软件或妥协指标。
• 执行恶意软件逆向工程,分析恶意代码的行为并识别攻击向量。
• 准备详细的取证报告,并在必要时向利益相关者(包括高层领导、法律团队和外部机构)呈现发现。
• 分析日志、网络流量和数字证据,以重建事件并评估恶意活动。
• 执行事后取证分析,以识别攻击的根本原因并评估损害。
• 确保取证活动遵循数据收集、证据保存(即保管链)和报告的法律要求。
• 与执法和法律团队合作进行网络犯罪调查,提供详细的取证报告以供法律程序使用。
政策、流程与程序
• 在确保遵守政策和程序的同时进行日常活动。
• 有助于识别系统、流程的持续改进机会,考虑领先实践、商业环境变化、成本降低和生产力提升。 
