应急响应概述

最新推荐文章于 2024-06-14 13:37:51 发布

hhua0x

最新推荐文章于 2024-06-14 13:37:51 发布

阅读量1.1k

点赞数 14

文章标签：网络

本文链接：https://blog.csdn.net/hhua3/article/details/130904516

版权

应急响应

背景介绍

应急响应，IRE，Incident Response/Emergency Response，通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障（这里的系统包括主机范畴内的问题，也包括网络范畴内的问题）、组织内部或外部的人、计算机病毒或蠕虫等。

应急处置，启动应急响应计划后，应立即采取相关措施抑制信息安全事件影响，避免造成更大损失。在确定有效控制了信息安全事件影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。——（信息安全应急响应计划规范GB/T 24363-2009）

国内应急响应组织： 国家互联网应急中心 (cert.org.cn) 国家信息安全漏洞共享平台 (cnvd.org.cn) 中国反网络病毒联盟 (anva.org.cn) CVERC-国家计算机病毒应急处理中心

导航：国内漏洞响应平台（SRC）导航 - 安全客，安全资讯平台 (anquanke.com)

学校：主页 | 教育漏洞报告平台 (sjtu.edu.cn)

应急响应的目的是最快速度恢复系统的保密性、定整性和可用性，阻止和减小安全事件带来的影响。定位并排除系统故障，提高对网络黑客攻击的抵御和防范的规范程度预防重大事件的发生，提高组织对系统安全事件的快速反应和恢复能力网络系统的性能优化，提供整体网络运行的健康以及趋势分析

应急响应生命周期，根据国际广泛采用的 PDCERF 方法，应急响应生命周期分为6个阶段：准备、检测、遏制、根除、恢复、跟踪。也分为两大块威胁检测和安全事件处置。P → D → C → E → R → F → P

威胁检测：对应准各和检测阶段，需要第一时间发现异常，并为事件响应诚好准备。安全事件处置：对应遏制、根除、恢复、跟踪阶段，需要快速、高效地从攻击事件中恢复，并彻底根除隐患。

应急响应组织构成

我国信息安全事件分类方法

GB/Z 20986-2007《信息安全事件分级分类指南》7个基本类别

有害程序事件：病毒、蠕虫、木马等网络攻击事件：DOS、后门攻击、扫描、钓鱼等信息破坏事件：信息被篡改、假冒、窃取等信息内容安全事件：危害国家安全、社会稳定等设备设施故障：软硬件自身故障和人为非技术破坏等灾害性事件：自然灾害、战争等其他信息安全事件：不能归为以上6个类别的事件

我国信息安全事件分级方法

分级要素 GB/Z 20986-2007《信息安全事件分级分类指南》

信息系统的重要程度系统损失社会影响

应急响应服务

应急响应服务的特点，技术复杂性与专业性、需要广泛协调与合作、知识经验的依赖性和快速响应

职责：控制影响范围确保业务系统正常运转、还原攻击场景、找到问题根源。目的：最快速度恢复业务系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。目标：积极预防、及时发现、快速响应、快速恢复。

应急响应流程

1. 准备阶段，此阶段以预防为主，主要工作涉及识别公司的风险，建立安全政策，建立协作体系和应急制度：按照安全政策配置安全设备和软件，为应急响应与恢复准备主机。通过网络安全措施，为网络进行一些淮备工作，比如扫情、风险分析、打补丁，如有条件且得到许可，建立监控设备，建立数据汇总分折的体系和能力；制订能够实现应急响应目标的策略和规程，建立信息沟通渠道和通报机制；有关法律法规的制定；创建能够使用的响应工作包；建立能够集合起来处理突发事件的 CSIRT (计算机应急响应小组)。

分析资产 1）明确信息系统网络与系统架构 2）明确信息系统的管理人员 3）明确信息系统的保护要求 4）计算损失和影响 组建管理人员团队 1）组建管理人员团队 2）组建技术人员团队 3）明确人员职责 4）建立应急响应组织人员清单 分析资产的风险 1）制定应急处理的操作步骤 2）制定应急处理的报告路线。 3）制定信息系统恢复的优先级顺序4)明确配合的人员信息 风险加固 1）根据风险建立防御/控制措施 2）安全管理及安全技术层面要同时兼顾 保障资源储备 1）信息安全应急响应专项资金 2）应急响应所需的软硬件设备 3）社会关系资源 技术支持资源库 1）网络拓扑图 2）信息系统及设备安装配置文档 3）常见问题处理手册

2. 检测阶段，检测事件是已经发生还是在进行中，以及事作产生的原因和性质。确定事件性质和影响的严重程度。预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，估计安全事件的范围。通过汇总，确定是否发生了全网的大规模事件；确定应急等级，决定启动哪一级应急方案。

日常运维监控 1）收集各类故障信息 2）确认信息系统的实时运行状况 3）信息安全事件探测 事件判断 1）确认事件给信息系统带来的影响 2）确认事件给信息系统造成的损害程度 3）—般事件与应急事件的判定 事件上报 1）确认应急事件类型 2）确认应急事件等级 3）通知相关人员 4）启动应急预案

事件通告——报告表

事件等级判定：一般事件、较大事件、重大事件、特别重大事件

事件类型：恶意程序事件、网络攻击事件、Web攻击事件、业务安全事件

3. 遏制阶段，及时采取行动遏制事件发展。初步分析，重点确定适当的遏制方法，如隔离网络，修改所有防火墙和路由器的过滤规则，删除攻击者的登录账号，关闭被利用的服务或者关闭主机等；咨询安全政策；确定进一步操作的风险，控制损失保持最小；列出若干选项，讲明各自的风险，应该由服务对象来做决定。确保封锁方法对各网业务影响最小；通过协调争取各网一致行动，实施隔离；汇总数据，估算攒失和隔离效果。

控制事件蔓延 1）采取有效的措施防止事件的进一步扩大 2）尽可能减少负面影响 遏制效应 1）采取常规的技术手段处理应急事件 2）尝试快速修复系统，消除应急事件带来的影响 遏制监测 1）确认当前的抑制手段是否有效 2）分析应急事件发生的原因，为根除阶段提供解决方案

遏制方法 针对受害资产所确定的范围进行隔离，包括网络隔离、关机、关闭服务；持续监控网络及系统活动，记录异常流量的IP、域名、端口；停止或者删除不正常账号，隐藏账号、更改高强度口令；挂起或者关闭未授权的，可疑的应用程序和进程；关闭不必要的、未知的和非法的服务；关闭相应的共享；删除系统各个用户下未授权的自启动程序；使用反病毒软件或者其它的安全工具扫描、检查、清除病毒、木马、蠕虫、后门等可疑文件；设置陷阱，如蜜罐系统，或者反攻攻击者的系统等等

4. 根除恢复阶段 启动应急预案 1）协调各应急响应小组人员到位 2）根据应急场景启动相关预案 根除监测 1）根据应急预案的执行情况确认处置是否有效 2）尝试恢复信息系统的正常运行 持续监测 1）当应急处置成功后对应急事件持续监测 2）确认应急事件已根除 3）信息系统运行恢复到正常状况

根除方法 更改所有受影响的相关网络、系统、应用密码；更新业务系统、中间件、操作系统、网络设备漏润补丁；开启或者增强应用、系统防护功能，如安装更新杀毒软件病毒库，增强WAF、IPS防护级别；对未受保护或者保护不够的系统，增加新的防护措施；增加或者提升对应系统的监控级别等等

5. 跟踪阶段，关注系统恢复以后的安全状况，特别是曾经出问题的地方；建立跟踪文档，规范记录跟踪结果；对响应效果给出评估；对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动。

应急响应报告 1）由应急响应实施小组报告应急事件的处置情况 2）由应急响应领导小组下达应急响应结束的指令 应急事件调查 1）对应急事件发生的原因进行调查 2）评估应急事件对信息系统造成的损失 3）评估应急事件对单位、组织带来的影响 应急响应总结 1）对存在的风险点进行加固和整改 2）评价应急预案的执行情况和后续改进计划 3）对应急响应组织成员进行评价，表彰立功人员

应急响应预案

应急响应预案的包括的主要内容：确定风险场景；描述可能受到的业务影响；描述使用的预防性策略；描述应急响应策略；识别和排列关键应用系统；行动计划；团队和人员的职责；联络清单；所需资源配置。

参考标准：

制定应急响应预案的原则：必须集中管理应急响应预案的版本和发布；为了建立有效的版本控制体系，必须建立规范的应急响应预案的问题提交.解决、更新、跟踪、发布的渠道和流程；建立相关的保密管理规定，保证应急响应预案中涉及的秘密信息得到保护；应急响应预案在内容管理方面应注意内容的分布和粒度，可根据版本和内容的更新频度将应急响应的内容进行适当的分布；建立合理的应急响应预案的保管制度，强调存放的安全性和易取得性。

成功预案的特点：清楚、简洁；高级管理层支持/组织承诺；不断改进和更新的恢复策略；及时的更新维护。