3)遏制
遏制的目的是限制事件影响的范围,同时也限制了潜在的损失和破坏,避免事件升级。 在遏制阶段,通常要进行以下活动:首先,启动应急响应计划。其次,确定适当自匀口向应方式。IRT在掌握相关的信息后,应当就此事件来选择最适当的响应方式。这些选择包括恢复运行、在线响应与离线响应、识别攻击者、起诉和惩戒等。再次,实施遏制行动。遏制措施可能会因事件的类别和级别不同而完全不同。常见的可选遏制措施有:完全关闭所有系统;
拔掉网线;修改所有防火墙和路山器的过滤规则,拒绝来自发起攻击的嫌疑主机的所有流量;封锁或删除被攻破的登录账号;提高系统、服务和网络行为的监控级别;设置诱饵服务器作为陷阱;关闭服务;反击攻击者的系统等。应急响应组织应根据组织业务特点、事件性质来合理选择并实施遏制/封锁/隔离措施,以使损失最小化,同时确保遏制/封锁邝鬲离措施对各业务的影响最小。实施遏制措施后,应汇总相关数据,估计损失和遏制效果。最后,需考虑用户在遏制工作中的角色。遏制工作应该由专业的IRT来完成。在应急响应策略文件中,建议一般用户遇到异常情况时,遵守以下行为规范:在没有向专家咨询之前不要关闭系统或者从网络上断开;按照组织的报告程序要求报告任何可疑的/异常的现象;继续监控并记录可疑的现象,直到处理该类安全事件的人员到达;不要修改系统或应用软件;除非得到管理层同意,不要告诉媒体任何信息。