应急响应( Incident Response/ Emergency Response )通常是指,一个组织为了应对各种意外事件的发生所做的准备工作,以及在突发事件发生时或者发生后所采取的措施。
计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障(这里的系统包括主机范畴内的问题,也包括网络范畴内的问题)、组织内部或外部的人、计算机病毒或蠕虫等。
(一)n
应急响应周期
应急响应生命周期:准备、检测、遏制、根除、恢复、追踪
01
准备阶段
分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库
02
检测阶段
日常运维监控、事件判断、事件上报
事件等级判定:一般事件、较大事件、重大事件、特别重大事件事件类型:恶意程序事件、网络攻击事件、Web攻击事件、业务安全事件恶意程序事件包括:计算机病毒事件、特洛伊木马事件 、勒索软件、蠕虫事件、僵尸网络程序、挖矿程序等等网络攻击事件包括:拒绝服务攻击事件、漏洞攻击事件、网络钓鱼事件、后门攻击事件、网络扫描窃听事件、干扰事件WEB攻击事件包括:WebShell、网页挂马事件、网页篡改事件、网页暗链事件业务安全事件包括:薅羊毛事件、数据泄漏事件、权限泄漏事件
03
遏制阶段
1、控制事件蔓延
①采取有效的措施防止事件的进一步扩大。②尽可能减少负面影响。
2、遏制效应
①采取常规的技术手段处理应急事件。②尝试快速修复系统,消除应急事件带来的影响。
3、遏制监测
①确认当前的抑制手段是否有效。②分析应急事件发生的原因,为根除阶段提供解决方案。
04
根除恢复阶段
1、启动应急预案
①协调各应急响应小组人员到位②根据应急场景启动相关预案
2、根除监测
①根据应急预案的执行情况确认处置是否有效②尝试恢复信息系统的正常运行
3、持续监测
①当应急处置成功后对应急事件持续监测②确认应急事件已根除③信息系统运行恢复到正常状况
05
跟踪阶段
1、应急响应报告
①由应急响应实施小组报告应急事件的处置情况②由应急响应领导小组下达应急响应结束的指令
2、应急事件调查
①对应急事件发生的原因进行调查②评估应急事件对信息系统造成的损失③评估应急事件对单位、组织带来的影响
3、应急响应总结
①对存在的风险点进行加固和整改②评价应急预案的执行情况和后续改进计划③对应急响应组织成员进行评价,表彰立功人员
(二)n
应急响应预案
应急响应预案的包括的主要内容:
●确定风险场景
●行动计划
●描述可能受到的业务影响
●团队和人员的职责
●描述使用的预防性策略
●联络清单
●描述应急响应策略
●所需资源配置
●识别和排列关键应用系统
(三)n
成功预案的特点
●清楚、简洁
●高级管理层支持/组织承诺
●不断改进和更新的恢复策略
●及时的更新维护
长风实验室发布、转载的文章中所涉及的技术、思路和工具,仅供以网络安全为目的的学习交流使用,不得用作它途。部分文章来源于网络,如有侵权请联系删除。
END
推荐
阅读
原文始发于微信公众号(长风实验室):应急响应 全流程解读
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论