MuhammadSaqibMalhi/Incident-Response---NIST-Special-Publication-SP-800-61-Revision-2

# NIST 特别出版物 SP 800-61 第 2 版 NIST 事件响应生命周期 NIST SP 800-61 定义了一个包含四个阶段的事件响应流程： ## NIST 事件响应生命周期 NIST SP 800-61 定义了一个包含四个阶段的事件响应流程： ### 1. 准备 在事件发生前执行的活动： * 建立事件响应策略和程序 * 明确角色和职责 * 组建并培训事件响应团队 * 部署安全工具 (SIEM, EDR, IDS/IPS) * 制定沟通和升级计划 * 开展演练和沙盘推演 ### 2. 检测与分析 识别并验证安全事件： * 监控安全事件和告警 * 分析日志和失陷标示 (IOCs) * 确定事件范围和影响 * 对事件进行分类和划分优先级 * 记录发现结果 关键问题： * 这确实是一起事件吗？ * 哪些系统受到了影响？ * 业务影响是什么？ ### 3. 遏制、根除与恢复 #### 遏制 防止进一步损害： * 隔离受影响的系统 * 封禁恶意 IP/域名 * 禁用被盗用的账户 * 对网络进行分段 #### 根除 消除威胁： * 清除恶意软件 * 修复漏洞 * 为系统打补丁 * 重置凭据 #### 恢复 恢复运营： * 如有需要，重建系统 * 从备份中恢复 * 验证系统完整性 * 将系统重新投入生产环境 * 监控是否再次感染 ### 4. 事后活动 (经验教训) 事后复盘： * 开展根因分析 * 评估响应效果 * 更新程序和控制措施 * 记录经验教训 * 提升检测和响应能力 NIST 建议在事件发生后不久、细节仍然清晰时，召开经验教训总结会议。 ## 典型事件严重性分类 组织通常将事件划分为以下几类： | Severity | Description | | -------- | -------------------------------------------------- | | Critical | 重大业务中断、勒索软件、数据泄露 | | High | 系统或账户遭到严重入侵 | | Medium | 影响有限，已被迅速遏制 | | Low | 需要调查的轻微安全事件 | ## 常见 NIST 事件响应角色 * **事件响应经理** * **事件处理人员/分析师** * **取证专家** * **系统管理员** * **法务与合规团队** * **沟通/公共关系** * **高管层** ## 映射到 NIST 网络安全框架 (CSF 2.0) 事件响应活动主要涉及以下方面： * **GV (治理)** – 策略和监督 * **DE (检测)** – 事件监控和检测 * **RS (响应)** – 响应措施 * **RC (恢复)** – 恢复和还原 ### 快速记忆口诀 **准备 → 检测与分析 → 遏制/根除/恢复 → 经验教训** 这是许多组织使用的核心 NIST 事件响应工作流，并且经常在 ISO 27001、SOC 2 和企业网络安全计划中被引用。

标签：NIST标准, 事件处理, 安全运营, 库, 应急响应, 扫描框架, 网络安全, 防御加固, 隐私保护