【转】浅谈我所理解的应急响应流程

序言

​ 最近一直在做应急响应方面的总结,把自己之前的应急响应经验整理归档。应急响应基础流程,基本上已经完工。细节部分还在完善,现在就将整体框架拿出来做个简单分享。本文完全是笔者结合相关材料,基于多年应急响应经验进行总结整合形成,和国内指导性文件有部分差异性。

应急响应

随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。本应急流程采纳了业内通常使用的PDCERF方法学,结合《中华人民共和国网络安全法》、 《国家网络安全事件应急预案》、 《信息安全技术信息安全事件分类分级指南》等规定。在此基础上基于个人理解,形成了以下的文档。

应急响应方式

现场应急响应:通常是要到客户突发现场进行应急处置。需注意相关操作必须获得用户授权,并对操作过程进行记录。
​ 远程应急响应:远程通过电话、邮件等方式指导用户进行应急处置。

应急响应流程

为最大限度科学、合理、有序地处置网络安全事件,本流程采纳了业内通常使用的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。

PDCERF.png

 准备阶段——>检测阶段——>抑制阶段——>根除阶段——>恢复阶段——>跟踪总结

应急响应—准备阶段

准备阶段需要及时和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述,初步判定事件响应策略,携带应急响应工具包前往客户现场。

准备阶段主要包括:事件背景、响应人员确定、事件响应策略、相关负责人联系方式、应急响应相关授权、应急响应工具包、应急响应手册等。

应急响应—检测阶段

检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。

检测阶段主要包括:事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。

备注:事件类型分类

安全事件分类主要参考中央网信办发布《国家网络安全事件应急预案》,网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件

应急响应—抑制阶段

采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。主要分为:物理遏制、网络遏制、主机遏制、应用遏制等。常见手段:断网、降权、网络封堵等。

应急响应—根除阶段

本阶段主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。个人认为可以从以下几个方面入手:系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查等。

应急响应—恢复阶段

恢复系统的运行过程,就是把受影响系统、设备、软件和应用服务还原到正常的工作状态;系统恢复、网络恢复、用户恢复、数据恢复以及重新部署。常见手段:系统重装、补丁加固、网络恢复、密码重置、木马清除等。

应急响应—跟踪阶段

在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失,为客户提供安全加固优化建议。

跟踪阶段主要包括:调查事件原因,输出应急响应报告,提供安全建议、加强安全教育、避免同类事件再次发生。

应急响应中遇到的坑

至此,整个应急响应过程结束,应急事件基本上状况复杂,坑也比较多,基于之前应急遇到的坑,特总结出来,供诸位共勉之。

应急人员需要保持清醒的头脑,冷静处理问题。整个应急流程中要注意:

一、多和客户进行交流,询问运维人员及其他人员在事件发生后所做的操作是什么;

二、询问客户部署有哪些安全设备有哪些,安全设备能够帮助应急人员少走很多弯路;

三、遇到特殊操作,需获得客户授权,经用户授权后再进行处置;

四、整个处置过程中,发现的异常问题及时上报并截图留存处置细节(最好带有时间戳);

五、整个处置过程中遇到的恶意病毒样本需要在桌面等位置建立相关文件夹,把恶意文件存放在桌面上,以便后续取出分析;

 

原文链接:https://www.freebuf.com/column/193690.html

posted @ 2021-02-22 22:34  碧水青鱼  阅读(686)  评论(0编辑  收藏  举报