03、应急响应流程
应急响应流程
1.应急响应准备
1.1.获取当前网络安全事件信息
事件发生前,做好日常运维检测,收集各类故障信息
- 区分系统自身故障和人为破坏
- 区分一般事件和应急响应事件
充分获取当前事件信息,从而启动相应的预案
- 事件上报,确认应急事件类型和应急事件的等级
- 通知相关人员,启动应急预案
1.2.启用网络安全应急响应预案
应急预案内容:
- 总则
- 组织体系和职责
- 事件预警
- 应急处置
- 后期处置
- 预防工作
- 保障措施
- 附则
应急小组划分:
- 应急领导小组
- 应急预案指定小组
- 应急执行小组
- 技术保障小组
- 支持保障小组
2.应急响应保护
2.1.抑制保护
应急响应事件发生,采取临时策略对目标机器进行止损
- 直接策略:断网(防止删除日志和重要文件)
方法:
- 查清影响的机器和范围
- 进行网络隔离,关闭响应的端口
- 切换备份机器,保证业务正常运行
- 常规应急响应,修复系统,分析发生的原因,加固系统
2.2.数据保护
保护物理设备:
- 物理隔离,防止人为物理破坏机器
- 事件重大,保护现场
对内存和磁盘相关状态进行保存:
- 取证数据
- 磁盘镜像(Disk Image):将存储器的完整内容和结构都保存在一个文件中(当前磁盘和内存的现有状态,防止相关代码执行自删除操作)