应急响应系列概述

前言

做安全的人都知道的一句话-----“没有绝对的安全”，这就意味着任何的系统都有被攻破的可能。发生安全攻击不可怕，可怕的是从头到尾都是无感知的。当系统遭遇到了攻击了，作为企业的安全人员就需要立即进行应急，将影响减低到最小。

现在正处于hw的时期，感觉自己应急能力比较薄弱，因此就想系统的总结一下应急方面的知识。这是应急系列的第一篇文章，后续会继续更新。

由于本人水平有限，文章中可能会出现一些错误，欢迎各位大佬指正，感激不尽。如果有什么好的想法也欢迎交流~~

网络安全应急响应

网络安全应急响应指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备，以便在遇到突发网络安全事件时做到有序应对、妥善处理。

在发生确切的网络安全事件时，应急响应实施人员应及时采取行动，限制事件扩散和影响的范围，防范潜在的损失与破坏。实施人员应协助用户检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件的整体解决方案，排除系统安全风险，并协助追查事件来源，协助后续处置。

常见的安全事件

不同的安全事件类型应急方式也会有所区别，下面来看看常见的一些安全事件都有哪些。

Web入侵：挂马、篡改、Webshell

系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞，提权

病毒木马：远控、后门、勒索软件、挖矿程序

信息泄漏：刷裤、数据库登录（弱口令）

网络流量：频繁发包、批量请求、DDOS攻击，流量劫持

新增漏洞：纰漏出来新的漏洞类型

发生上述的安全问题时,我们需要解决的几个问题：

1）本次事件的影响范围有多大

2）如何遏制本次攻击

3）本次安全事件的入侵路线，如何堵住入口？

4）让业务恢复正常

应急响应流程（PDCERF模型）

目前使用最广泛的应急响应流程就是PDCERF模型了。该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的，明确响应顺序和过程。

PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中，不一定严格存在这6个阶段，也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。

第一阶段：准备——让我们严阵以待

PDCERF模型第一阶段即是准备工作，包括应急响应的规范制度、具体技术工具和平台的搭建运营等。制度规范制定后需要真正能落实执行，并依靠模拟演练来提升处理效率。技术工具和平台有所区别，工具是类似于静态编译的ls、lsof、ps、netstat以及一些快速分析日志、扫描文件特征的脚本等，这些到了目标机器上就会发挥作用；而平台则是在企业部署了FW、NIDS、HIDS、WAF等系统后，将各种安全系统在终端、网络、应用上采集的日志集中送到平台进行关联分析（如SOC系统）。

在该阶段在做好应急演练工作，提高人员的应急能力，避免在面对实际情况的时候过于慌张。同时也可以发现应急预案的不足之处。

第二阶段：检测——对情况综合判断

检测阶段主要检测事件是已经发生的还是正在进行中的，以及事件产生的原因。确定事件性质和影响的严重程度，以及预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，估计安全事件的范围。通过汇总，查看是否发生了全网的大规模事件，从而确定应急等级及其对应的应急方案。

如互联网某边缘系统被攻击，在SOC系统上报警有扫描行为，可能只需要运营人员简单拒绝就可以了，安全自动化做得好的企业可能就自动拦截了，不需要介入应急响应流程。进一步，这个边缘系统报警有执行敏感指令而且父进程属于Web应用，这可能就需要应急人员开始处置了，但是否上报，上报到哪个层级，估计只是汇报给安全主管就可以了。再进一步，如果网银系统有大量撞库攻击事件，同时有客户报障其账户因错误多次被锁，那只汇报给安全主管肯定不合适了。

第三阶段：抑制——制止事态的扩大

抑制阶段的主要任务是限制攻击/破坏波及的范围，同时也是在降低潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。

抑制策略通常包含以下内容：

（1）完全关闭所有系统；

（2）从网络上断开主机或断开部分网络；

（3）修改所有的防火墙和路由器的过滤规则；

（4）封锁或删除被攻击的登录账号；

（5）加强对系统或网络行为的监控；

（6）设置诱饵服务器进一步获取事件信息；

（7）关闭受攻击的系统或其他相关系统的部分服务。

第四阶段：根除——彻底的补救措施

根除阶段的主要任务是通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同的手段攻击系统，引发安全事件。并加强宣传，公布危害性和解决办法，呼吁用户解决终端问题。加强监测工作，发现和清理行业与重点部门问题。

第五阶段：恢复——系统恢复常态

恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表，从可信的备份介质中恢复用户数据，打开系统和应用服务，恢复系统网络连接，验证恢复系统，观察其他的扫描，探测可能表示入侵者再次侵袭的信号。一般来说，要想成功地恢复被破坏的系统，需要干净的备份系统，编制并维护系统恢复的操作手册，而且在系统重装后需要对系统进行全面的安全加固。

第六阶段：跟踪总结——还会有第二次吗

总结阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、政策、程序，并进行训练，以防止入侵的再次发生。基于入侵的严重性和影响，确定是否进行新的风险分析，给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

总结阶段的工作主要包括以下4方面的内容：

（1）形成事件处理的最终报告；

（2）检查应急响应过程中存在的问题，重新评估和修改事件响应过程；

（3）评估应急响应人员相互沟通在事件处理上存在的缺陷，以促进事后进行更有针对性的培训

（4）分析造成该事件的原因，后续是否可以在事前发现该风险并修复

应急响应排查思路

在现场处置过程中，先要确定事件类型与时间范围，针对不同的事件类型，对事件相关人员进行访谈，了解事件发生的大致情况及涉及的网络、主机等基本信息，制定相关的应急方案和策略。随后对相关的主机进行排查，一般会从系统排查、进程排查、服务排查、文件痕迹排查、日志分析等方面进行，整合相关信息，进行关联推理，最后给出事件结论。

应急响应的前提

巧妇难为无米之炊，应急响应的有一个前提，那就是我们能够发现入侵行为的发生以及我们保留了入侵行为的日志等文件。

入侵的感知能力

入侵检测可以通过多种设备发现，如waf，hids，蜜罐，NIDS等等。要搭建纵深的防御与检测体系，帮忙我们能够及时的发现入侵行为。

数据采集，存储和检索能力

还原攻击路径的一个最主要的方式就是通过日志以及流量的信息，因此需要具备以下的能力

（1）能对全流量数据协议进行还原；

（2）能对还原的数据进行存储；

（3）能对存储的数据快速检索。

总结

本篇文章对应急响应的一些基础知识做了一个大概的总结，后面还会继续针对每种不同类型的事件如何去具体分析进行总结。

  

专注分享安全知识和在工作中遇到的一些问题，大家可以关注一下我的微信公众号，一同进步，谢谢大家！