本文介绍了应急响应中的3W1H原则,强调了信息收集的重要性,包括网络拓扑、需求、事件详情等。遵循易失性原则,优先收集关键证据如样本、日志和进程。同时,提出避害原则,避免在处理过程中引入新问题。应急响应流程涵盖信息收集、事件判断、深入分析、清理处置和报告产出,涉及样本分析、日志审查、系统清理等多个环节。
原则和指导性思路
3W1H原则:3W即Who、What、Why,1H即How,做应急响应要带着疑问来做事,一定要收集清楚这些信息。网络拓扑是怎么样的?需求是啥?发生了什么事?你能做什么?用户用了什么产品?产品版本多少?病毒库版本多少?多少主机中了?主机是普通PC还是服务器?服务器是做什么的?……信息收集越多,对应急响应越有利。
易失性原则:做应急响应免不了要做信息收集和取证的,但这里是有一定的先后顺序的,即最容易丢失的据,应该最先收集,其它的依次类推。
要素原则:做应急响应,主要是抓关键证据,即要素,这些要素包括样本、流量、日志、进程及模块、内存、启动项。
避害原则:做应急响应,要做到趋利避害,不能问题还没有解决,反而引入了新的问题。譬如,自己使用的工具被感染而不知情;给用户使用不恰当的工具或软件造成客户主机出现问题;给别人发样本,不加密,不压缩,导致别人误点中毒,最极端的场景就是给别人发勒索样本不加密压缩,导致别人误点中毒。
应急响应的基本流程
收集信息:收集客户信息和中毒主机信息,包括样本。
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。
深入分析:日志分析、进程分析、启动项分析、样本分析。
清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。
产出报告:整理并输出完整的安全事件报告。
信息收集表
| 客户名称 | 什么区域的什么客户 |
|---|---|
| 感染主机数 | 感染了多数台主机 |
| 补丁情况 | 打了哪些补丁,是否存在补丁漏打 |
| 中毒现象 | 勒索/挖矿/DoS/僵尸网络/后门/木马 |
| 帐号密码 | 确认是否有弱密码 |
| 对外开发端口 | 对外开发了哪些端口 |
| 开启的服务 | 开启了哪些服务 |
| 操作系统版本 | 操作系统版本信息 |
| 客户需求 | 确认客户具体需求 |
915
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
