应急响应的整体思路一

应急响应的整体思路，就是上层有指导性原则和思想，下层有技能、知识点与工具，共同推进和保障应急响应流程的全生命周期。

原则和指导性思路

3W1H原则：3W即Who、What、Why，1H即How，做应急响应要带着疑问来做事，一定要收集清楚这些信息。网络拓扑是怎么样的？需求是啥？发生了什么事？你能做什么？用户用了什么产品？产品版本多少？病毒库版本多少？多少主机中了？主机是普通PC还是服务器？服务器是做什么的？……信息收集越多，对应急响应越有利。

易失性原则：做应急响应免不了要做信息收集和取证的，但这里是有一定的先后顺序的，即最容易丢失的据，应该最先收集，其它的依次类推。

要素原则：做应急响应，主要是抓关键证据，即要素，这些要素包括样本、流量、日志、进程及模块、内存、启动项。

避害原则：做应急响应，要做到趋利避害，不能问题还没有解决，反而引入了新的问题。譬如，自己使用的工具被感染而不知情；给用户使用不恰当的工具或软件造成客户主机出现问题；给别人发样本，不加密，不压缩，导致别人误点中毒，最极端的场景就是给别人发勒索样本不加密压缩，导致别人误点中毒。

技能、知识点与工具

应急工具集：应急响应必要的一套工具集合，可协助应急人员做分析，提高效率。

日志分析：能对日志进行分析，包括但不限于系统日志（Windows/Linux等）、应用日志、安全设备日志（防火墙、防病毒、态势感知等）。

威胁情报：安全事件可能不是孤立的，安全站点或搜索站点能找到安全事件的关联信息。

漏洞补丁知识：知道漏洞与补丁的关系，它们在应急响应中的角色，了解常见漏洞及补丁。

常见病毒及分类：知道病毒大致的分类以及常见的病毒。

样本分析：至少能对样本进行一次简单动态的分析。

操作系统知识：至少对Windows系统和Linux系统的有一定的知识储备，知道其基础的工作原理。

本文始发于微信公众号（盾山实验室）：应急响应的整体思路一