Avec l'avènement de l'ère de l'information, la sécurité des réseaux a attiré de plus en plus l'attention du public. Pour résoudre ce problème, le pays et la société doivent formuler des politiques et des règles correspondantes. Ce n'est qu'ainsi que notre travail et notre vie seront à l'abri des pirates. Quelles sont les étapes de l'intervention d'urgence ? Voici les détails :
1. Phase de préparation
L'objectif de la phase de préparation est de se préparer à gérer les incidents de sécurité avant qu'ils ne se produisent réellement. Le travail principal de la phase de préparation comprend l'établissement de mesures de défense/contrôle raisonnables, l'établissement de stratégies et de procédures appropriées, l'obtention des ressources nécessaires et la formation d'une équipe d'intervention. Les points de contrôle à ce stade comprennent : la définition des besoins en matière d'intervention d'urgence, la signature de contrats ou d'accords de service, la formulation de plans de service d'urgence et la préparation du personnel et des outils.
2. Phase de détection
L'objectif de la phase de détection est de prendre des mesures et des réponses préliminaires aux incidents de sécurité du réseau, d'estimer la portée et l'impact de l'incident sur la base des matériaux préliminaires et des résultats d'analyse obtenus, de formuler d'autres stratégies de réponse et de conserver les preuves pertinentes.
3. Phase d'inhibition
L'objectif de la phase de suppression est de limiter la portée de l'attaque et de supprimer les attaques et les dégâts potentiels ou futurs. Les mesures de confinement sont importantes car les incidents de sécurité peuvent facilement se propager et devenir incontrôlables. Les mesures de suppression des attaques peuvent jouer un rôle dans les aspects suivants, empêchant les intrus d'accéder aux systèmes compromis, limitant l'étendue de l'intrusion et empêchant les intrus de subir d'autres dommages.
4. Stade d'éradication
L'objectif de la phase d'éradication est de découvrir les causes profondes des incidents de sécurité du réseau grâce aux résultats d'analyse des codes ou des comportements malveillants après la suppression des incidents, et de les éliminer complètement. Pour les incidents sur une seule machine, celle-ci peut être exploitée selon les procédures spécifiques d'inspection et d'éradication des différentes plates-formes de système d'exploitation. Cependant, pour les épidémies à grande échelle de programmes malveillants de la nature des vers, davantage de ressources humaines et matérielles sont nécessaires pour éradiquer les codes malveillants sur chaque hôte.
5. Étape de récupération
L'objectif de la phase de récupération est de remettre les systèmes impliqués dans un incident de cybersécurité dans un état normal. Les travaux de restauration doivent être très prudents pour éviter toute utilisation abusive, entraînant une perte de données. Les actions de la phase de récupération se concentrent sur des mesures d'urgence telles que l'établissement de capacités temporaires de traitement des affaires, la réparation des dommages au système d'origine et la restauration des capacités commerciales opérationnelles dans le système d'origine ou de nouvelles installations.
6. Phase de synthèse
L'objectif de la phase de synthèse est de passer en revue l'ensemble du processus de traitement des incidents de sécurité réseau, de trier les différentes informations liées à l'incident et d'enregistrer autant que possible toutes les situations dans des documents. Le contenu de ces dossiers est non seulement d'une grande importance pour les autres travaux de traitement des services concernés, mais également une accumulation très importante pour le développement de futurs travaux d'urgence.