一,总结应急响应流程(预案,研判,遏止,取证,溯源,恢复——无先后顺序,根据实际情况进行处理)
1. 预案
制定预案:明确事件类型、可能的影响、应对策略、团队角色和职责等。
设定响应流程:描述从事件检测到解决的全过程,包括通讯流程、决策流程等。
培训与演练:定期对团队进行培训,进行模拟演练,检验预案的有效性。
2. 研判
初步评估:获取事件的基本信息。
确定严重性:根据影响程度(如系统宕机、数据泄露)和潜在损害评估事件严重性。
信息收集:收集相关的日志、报告、用户反馈等,分析事件的性质。
3. 遏止
实施控制措施:例如,断开网络连接、隔离受感染的系统或设备。
限制访问:撤销或限制相关用户或系统的访问权限,防止进一步的攻击。
启动应急工具:使用安全工具(如防火墙、入侵检测系统)来阻止攻击。
4. 取证
记录事件:详细记录事件的所有相关信息,包括时间戳、系统状态、用户操作等。
保存数据:保存相关的日志文件、配置文件、网络流量数据等。
维护完整性:确保证据的原始性和完整性,使用写保护工具防止数据被篡改。
5. 溯源
分析证据:对收集到的证据进行详细分析,寻找攻击的来源和路径。
识别攻击者:确定攻击者的身份、攻击手法、使用的工具和技术。
复盘攻击:重构事件发生的全过程,查找可能的漏洞和安全弱点。
改进措施:基于溯源结果,提出改进建议,优化系统和安全措施。
6. 恢复
制定恢复计划:包括恢复优先级、恢复步骤、预期时间等。
系统修复:修复受影响的系统,应用安全补丁,恢复数据。
验证系统:确保修复后的系统和数据完整、稳定,执行安全检查。
恢复业务:逐步恢复业务运作,监控系统运行状况,确保没有新的问题。
二.总结应急响应措施及相关操作
1.收集信息:收集客户信息和中毒主机信息,
感染主机数,补丁情况,中毒现象,帐号密码,对外开发端口,开启的服务,操作系统版本
2.判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。
3.深入分析:日志分析、进程分析、启动项分析、样本分析。
Windows系统日志:Windows系统自带的审计日志、操作日志、故障日志。
Linux系统日志:Linux系统自带的审计日志、操作日志、故障日志。
应用日志:包括但不限于Web应用等众多繁杂的日志。
4.清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。
5.产出报告:整理并输出完整的安全事件报告。
扫一扫
1454
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
