应急响应不“摇人”，好的EDR做对了哪些事？

安全头条 2年前 (2023) safehot

1.2K 0 0

内容简介：

无论是日常运维还是攻防演练，应急响应一直是考验企业安全运营能力的“试金石”。然而，在办公网安全事件处置响应中，企业安全团队往往会有这样的困惑：
1.难以评估事件严重性——摆在面前的到底是普通病毒，还是高级木马？
2.应急处置难，影响员工工作——安全建设做了不少，真到实战还得靠“摇人”；分析处置时，又长时间占用员工电脑，影响办公，员工白眼我也着急，作为服务人员，我太难了！
3.处置效果难评估——删文件、杀进程，还是不确定是否清除干净；告警分散，日志太低级，分析了一大堆，依旧找不到风险点。攻击，到底从哪进来的？
这些难题并非个案，刚好对应着企业安全运营应急响应的“三步走”。

第一步：评估威胁严...