在一期模拟(从SQLi攻击到挖矿与权限维持专题)中,收到5份应急响应报告;二期模拟(内网Linux与Windows横向漏洞攻击),增加了2个小组,收到8份报告(有一个小组写了2份报告,最短都是20+页,最长能达到50+页),每份看完至少在30min以上。评委需要提前去熟悉攻击流程、攻击点及对应的时间点,又要关注整体的应急逻辑、证据充分性、推断正确性等多个方面,难度极大。
01
—
评分要点
-
应急响应步骤与方法:考量应急响应人员掌握应急方法、流程与思路的实际情况,在应急场景中十分重要。如遇到被攻击场景,在不了解情况和不保持现场环境情况下,上机一顿操作猛如虎,很可能会对后续或他人的分析带来干扰。 -
攻击点与证据充分性:主要考验的是应急响应人员分析能力,然而分析能力有和很多因素相关,比如基础的日志含义、格式、解析;操作系统命令;应急响应工具使用;安全漏洞与渗透思路等。其能力的主要外在表现,就是分析出来的攻击点证据确凿,这即是应急响应人员的硬实力。 -
攻击链的复原完整度:对于渗透思路和逻辑能力的要求较高,在第一个场景中环境单一,只要掌握基本的技能基本上可以分析出来;第二个场景就需要较强的逻辑能力,不厌其烦的进行分析和梳理思路才能取得不错成绩,这是初级应急响应人员走向高级别的门槛。
02
—
应急捕获攻击点对比表
获取完整excel表格,请在后台回复:攻击点对比表03
—
应急响应评分要点表
|
应急组别 |
评委点评栏 |
评委署名 |
|||||||
|
攻击链分析与复原情况 |
做得好之处 |
不足之处 |
其他项 |
总体评分(优秀/良好/一般/不及格) |
最佳应急响应报告投票(写“最佳”+换行写明理由) |
||||
|
应急响应步骤与方法 |
攻击点与证据充分性 |
攻击链的复原完整度 |
|||||||
长按识别二维码,和我交流
More...
实战应急响应能力提升
SDL最初实践
安全漏洞治理
技术原理浅析
企业安全建设
基础安全建设
安全漏洞赏析
渗透测试技巧
一起玩蛇系列
个人成长体会
原文始发于微信公众号(我的安全视界观):【应急能力提升5】应急响应报告点评
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论