tag

事件响应

该标签下有 5 篇文章

中型到大型组织的安全底线：团队共同守护的标准基础

规模上来后，底线会从『检查清单』变成『有负责人的项目』。优先级与个人版一致＝①身份②机密与供应链③应用与基础设施④检测与响应＋贯穿全局的人与治理。最大的变化是：事故主因从『一时疏忽』转向『人、流程、离职者权限、第三方』。

EDR 持续记录终端行为，检测可疑动向（偏 IOA），并进一步执行隔离、调查等响应。它用行为与时间线捕获以特征码／IOC 比对为主的传统 AV 会漏掉的无文件攻击和正规工具滥用。小规模环境往往并不需要完整 EDR，借助操作系统自带防护＋日志＋IOA 的思路即可获得大量价值。

IOA（攻击指标）是靠攻击的“行为”（提权→横向移动→外部外传等手法的流程）来察觉的思路，与事后痕迹 IOC 成对。哈希和 IP 攻击者一瞬就能改，但手法（行为）难以改变＝IOA 更长效。即便规模小，只要关注“与平时不同的举动”也能靠近这一思路。

IOC（失陷指标）是入侵留下的痕迹＝已知恶意的文件哈希、通信对端 IP/域名、URL、异常进程等。其价值在于能机械地检测并拦截已知的坏东西。但它是攻击者可以随手丢弃、随意更换的事后线索，所以 IOC 比对只是“最后的比对材料”，并非万能。真正的关键是不会着火的设计（最小权限・打补丁・MFA）。

C2 是被入侵的终端回连攻击者服务器（回调/信标）、用于接收命令与外传数据的远程操控通道，处于入侵「之后」的阶段。检测的关键是外向的可疑定期通信与已知的恶意目的地。防御靠出口（egress）控制·DNS 监控·IOC/IOA 比对·最小权限。在入侵调查中，确认「不存在常驻 C2」也很重要。