虽然安全专业人员努力保护系统免受恶意攻击或人为疏忽，但尽管做出了这些努力，但不可避免地会出现问题。出于这个原因，安全专业人员也扮演着第一响应者的角色。要了解事件响应，首先要了解用于描述各种网络攻击的术语。

违规

失控、妥协、未经授权的披露、未经授权的获取或任何类似情况：授权用户以外的人访问或可能访问个人身份信息；或授权用户出于授权目的以外的目的访问个人身份信息。来源：NIST SP 800-53 Rev. 5

事件

网络或系统中任何可观察到的事件。 （来源：NIST SP 800-61 Rev 2）
实际或潜在危害信息系统或系统处理、存储或传输的信息的机密性、完整性或可用性的事件。

利用

特殊的攻击。之所以这样命名，是因为这些攻击利用了系统漏洞。

入侵

构成故意安全事件的安全事件或事件组合，其中入侵者未经授权获得或试图获得对系统或系统资源的访问。来源：（IETF RFC 4949 第 2 版）

威胁

任何可能通过未经授权的访问、破坏、披露、修改信息和/或拒绝服务。来源：NIST SP 800-30 Rev 1

漏洞

信息系统、系统安全程序、内部控制或实施中可能被威胁源利用的弱点。 NIST SP 800-30 修订版 1

零日

以前未知的系统漏洞，具有被利用的潜力，没有被检测或预防的风险，因为它通常不符合公认的模式、签名或方法。

网络安全中的事件响应是什么样的？没有 110 电话报告了事件。没有救护车或消防车前来救援。由网络安全专业人员来检测和响应事件。

事件响应的目标

每个组织都必须为事件做好准备。尽管组织的管理和安全团队尽最大努力避免或预防问题，但不可避免地会发生可能影响业务使命或目标的不利事件。

任何事件响应的首要任务是保护生命、健康和安全。当要做出任何与优先事项相关的决定时，始终选择安全第一。

事件管理的主要目标是做好准备。准备工作需要制定政策和应对计划，引导组织度过危机。一些组织使用术语“危机管理”来描述此过程，因此您可能也会听到这个术语。

事件是任何可测量的事件，大多数事件是无害的。但是，如果事件有可能破坏企业的使命，则称为事件。每个组织都必须有一个事件响应计划，这将有助于保持业务的活力和生存。

事件响应过程旨在减少事件的影响，以便组织可以尽快恢复中断的操作。请注意，事件响应计划是更大的业务连续性管理 (車身控制模塊) 学科的一个子集，我们将在稍后介绍。

事件响应计划的组成部分

事件响应政策应参考所有员工都将遵循的事件响应计划，具体取决于他们在流程中的角色。该计划可能包含与事件响应相关的若干程序和标准。它是组织事件响应策略的生动体现。

组织的愿景、战略和使命应塑造事件响应过程。实施计划的程序应定义团队在响应事件时将使用的技术流程、技术、清单和其他工具

准备

制定经管理层批准的政策。
识别关键数据和系统、单点故障。
对员工进行事件响应培训。
实施事件响应团队。
练习事件识别。 （第一反应）
确定角色和责任。
计划利益相关者之间的沟通协调。
考虑一种主要的交流方法可能不可用的可能性。

检测分析

监控所有可能的攻击媒介。
使用已知数据和威胁情报分析事件。
优先考虑事件响应。
标准化事件文档。

遏制、根除和恢复

收集证据。
选择适当的遏制策略。
识别攻击者。
隔离攻击。

事后活动

确定可能需要保留的证据。
记录经验教训。

回顾

准备
检测分析
遏制、根除和恢复
事后活动