1、立即启动应急预案
成立应急小组:根据预案,迅速成立应急响应小组,明确各成员职责。
初步评估:评估蠕虫感染的严重程度和影响范围。(口头咨询)
2、甲方的测试授权
3、安全事件判断(是否和甲方所述说的一致)
先去安全设备上、查看相关告警,再去相关主机上进行排查,确定是否为蠕虫病毒
4、隔离感染(逻辑隔离、物理隔离)
逻辑隔离:用Vlan(虚拟局域网),将受感染的主机分配到一个无法访问其它主机的局域网中
附加知识(链路类型:三种)
物理隔离:拔网线
特殊情况考虑:由于客户的业务需求,不允许受感染的主机进行隔离,该如何操作?
(有没有什么可借鉴的的处置措施?)
利用目前收集到的蠕虫信息特征(10位的字母数字随机字符串的进程,挂载到指定的服务下面【linux中常为ssh服务下】),特征串匹配,制作蠕虫灭杀脚本程序,进行批量化处置
5、溯源
找到蠕虫的入侵路线,加固企业安全体系架构,封堵蠕虫进入内网的口子
(如果不把口子封堵上的话,就算感染主机处置完成,过些时间也会重新被感染)
6、安全脆弱点加固(让甲方去完成)
7、逐个上机排查(本体、传播方式)
8、我们向甲方推荐我们的安全产品(卖给它)(给客户出解决方案)
9、处置阶段(如果说简单的蠕虫,我们可以自己动手写个简单的脚本处置,向公司请求后援(让公司的专业人士来写这个))
10、写报告(撰写应急相应报告)
扫一扫
1913
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
