点击蓝字
关注我们
始于理论,源于实践,终于实战
老付话安全,每天一点点
激情永无限,进步看得见
严正声明
本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。
特此声明!!!
什么是应急响应
应急响应(Emergency Response)是指在突发事件或紧急情况发生时,为控制事态发展、减少损失、保护生命财产安全而采取的一系列快速、有序的应对措施和行动。其核心目标是迅速识别、评估和处置危机,恢复常态。(来自deepseek)。
从上述概念可以看出,应急响应就是发生问题后的紧急处理步骤和行动,使突发事件的影响降到最低。为了保证临危不乱,应当制定应急预案并定期进行应急演练。就像火灾演练和地震演练一样,得把一些流程刻在脑海里,才能保证灾难来临时能够灵活处置。
那对于网络安全事件来说,应该如何进行应急响应和应急处置呢?
其实我们应该要有应急响应预案,那应急响应预案应该是什么样的呢?大多数企业为了合规或者出于一定的目的,也指定了应急预案文案,一般包含以下内容:
1 总则
1.1 编制目的
1.2 编制依据
1.3 适用范围
1.4 工作原则
1.5 事件分类分级与响应分级.
1.5.1 事件分类
1.5.2 事件分级
2 应急组织机构与职责
2.1 领导机构与职责
2.2 工作机构与职责
2.2.1 应急处置小组
2.2.2 专家小组
3 监测与预警
3.1 预警分级
3.2 预警监测
3.3 预警研判与发布.
3.4 预警响应
3.4.1 红色预警响应
3.4.2 橙色预警响应
3.4.3 黄色、蓝色预警响应.
3.5 预警解除
4 应急处置
4.1 先期处置
4.1.1 即时处置
4.1.2 事件报告
4.2 应急响应
4.2.1 启动应急响应
4.2.2 应急指挥与协调
4.2.3 网络安全事件应急响应
4.2.3 应急结束
5 后期处置
5.1 调查与评估
5.2 恢复重建
6 预防工作
6.1 日常管理
6.2 演练
6.3 培训和宣传
7 保障措施
7.1 机构和人员
7.2 技术支撑队伍
7.3 专家队伍
7.4 信息共享与合作
7.5 物资保障
7.6 经费保障
7.7 文档资料
7.8 通信联络保障
7.9 责任与奖惩
8 附则
8.1 预案管理
8.2 预案发布
8.3 预案解释
8.4 预案实施时间
从这个目录内容可以看出其实更多还是对整个流程汇总人员的安排,明确责任人。在那个节点有谁负责处理,避免当发送紧急事件时,人与人之间的扯皮,谁都不想被黑锅。通过权责来区分问题将由谁来处理。使事件尽快处理完成,减少事件影响。
国家为了公共互联网网络安全突发事件的发送,工业和信息化部根据《中华人民共和国网络安全法》《国家网络安全事件应急预案》等印发《公共互联网网络安全突发事件应急预案》的通知。企业可以参照自己企业的实际情况自行定制。
在这些应急预案当中,除了人员流程步骤的制定外,其实核心是要有技术实力,能识别和监测到网络安全事件。就像2025年亚冬会网络安全事件一样,我们能够识别监测到国外黑恶势力入侵我们的关基信息基础设施。虽然没有产生较大的问题,但是我们能够提前预警,并把问题扼杀在摇篮里。所以说我们企业的网安人员要有一定的分析研判能力。每年的护网中,蓝队一般会有监测岗、研判岗、高级溯源岗。一些重大安全事件不是靠个人的一己之力就能够完成,需要团队协作共同完成。
那么,我们的技术人员应该如何进行网络安全事件监测和分析研判呢?
网络安全事件监测主要负责实时监控网络攻击行为、分析安全威胁并及时响应。主要职责和技术能力要求如下:
实时监测
-
7×24小时监控安全设备(如SIEM、IDS/IPS、EDR、防火墙、WAF等)告警日志。
-
识别异常流量、攻击行为(如Web攻击、恶意软件、APT攻击等)。
事件分析
-
对告警进行初步研判,区分误报与真实攻击。
-
结合威胁情报(如IP、域名、漏洞信息)分析攻击路径和意图。
应急响应
-
对确认的安全事件按预案启动处置流程(如封禁IP、隔离主机、上报漏洞)。
-
协助溯源攻击者,记录攻击证据(日志、样本等)。
报告输出
-
每日汇总攻击态势,编写监测报告。
-
护网结束后参与复盘,提出防护优化建议。
技术能力
基础技能:
-
熟悉TCP/IP协议、HTTP/HTTPS流量分析。
-
掌握常见攻击手法(如SQL注入、XSS、钓鱼、DDoS)。
工具使用:
-
熟练使用各个厂家的网络安全设备,尤其需要能够熟悉使用态势感知及大型流量监测设备。
-
具备日志分析能力
-
熟悉威胁情报平台(大多数态感平台内置)。
说白了,就是监测工程师能够读懂监测设备的安全日志和告警事件,能够进行初步的分析。并能配合分析研判溯源工程师进行研判分析。及时发现一些重要的事件,剔除误报,减轻研判工程师的压力。
分析研判对工程师来说要求会比较高,应具备一下能力:
1、跟踪分析研判监测系统漏洞攻击事件,结合监测数据,确定攻击事件,分析攻击源,攻击时间,漏洞复现验证;
2、跟踪分析外部网络安全漏洞信息,分析并复现相关产品漏洞过程,编写漏洞规则,结合漏洞复现相关数据,确定攻击事件,分析溯源攻击入侵路径,按照报告模板撰写漏洞攻击通报报告。
3、熟练掌握Web通用安全漏洞如SQL注入、文件上传、信息泄露、反序列化、命令注入等漏洞原理和利用方式,熟悉常见系统服务、应用中间件、开发框架等安全漏洞
4、熟练掌握互联网和内网信息收集、渗透攻击、内网渗透等技术手段和相关工具的使用。
我们企业要做好应急响应,也应对具备这样的符合行人才。如果自身不具备也可以购买第三方的安全服务,双方明确责任与义务,来共同完成网络安全突发事件的处置。关于应急处置属于另一个话题,我们下一期具体分析针对Windows系统和linux系统发生病毒攻击事件后如何进行处置和复原。
END
为了更好的交流学习,我特此创建了一个“网安全民兵连先锋队”微信群,供大家一块交流学习,互通有无:
原文始发于微信公众号(老付话安全):网络安全应急响应那些事!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论