如何做好应急响应工作？常见应急响应流程

一、前言

这是博主对于应急响应归纳出来的方法论，一个笼统的、抽象的概念，包含思路和方法。

二、常见应急响应流程

这是博主自己的经验总结出来的应急响应流程，也是亲自去应急时的流程。

三、响应

这里不讨论应急响应人员能不能到现场，这里讨论通用场景。

（1）判断事件类型

事件类型分为7类：大规模沦陷、挖矿病毒、勒索病毒、无文件落地、不死（顽固）马、钓鱼应急响应、数据劫持。【后续会细讲】
去应急肯定会收到通知：**ga的通报、客户自己发现的情况、现场安服发现的问题。**根据这些情报先判断出需要出应急的是什么事件类型。但是要记住“情报是带有失真率和主观性的，并且以上场景很多情况下并不会单独出现。”最后还是需要应急人员自己靠经验与客观事实去判断。

（2）保持第一现场

第一现场包含：第一发现人、第一情报、失陷主体/群体、主体/群体行为、失陷环境。

这个“保持”是指在尽可能实现的情况下去保留。因为谁被打穿了都会慌，一慌都会推卸责任（包括我自己），或者消灭痕迹，这无疑是帮助了攻击者实现渗透的最后一步。

这个“第一”是指最先发现情况的人，这个人所说的情况。发现的被攻陷的主体，最好是用镜像把系统和流量先扒拉下来。时间越延迟，这个“第一”事实的失真率越高，所以要安服和应急人员做好配合。

（3）信息收集

这一步与渗透测试的第一步信息收集无异，即使前面两个高度失真，这一步仍可以让整个响应起死回生，但是这一步没做好将会影响后续所有操作。

信息收集主要是做：流量、日志、可疑进程的内存、失陷系统镜像、恶意样本、客户资产收集、