应急响应流程
最近要忙的事情很多,要学的也很多,正好领导也要求做应急响应基础流程,基本上已经完工。细节部分还在完善,现在就将整体框架拿出来做个简单分享。
应急响应基础流程
应急响应
随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。 (PS:来源于网络)
本应急响应采纳了业内通常使用的PDCERF方法学,结合《中华人民共和国网络安全法》、 《国家网络安全事件应急预案》、 《信息安全技术信息安全事件分类分级指南》等规定。 (PS:逼格一定要高)
应急响应方式
现场应急响应:通常是要到客户突发现场进行应急处置。需注意相关操作必须获得用户授权,并对操作过程进行记录。
远程应急响应:远程通过电话、邮件等方式指导用户进行应急处置
应急响应流程
为最大限度科学、合理、有序地处置网络安全事件,采纳了业内通常使用的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。
准备阶段——>检测阶段——>抑制阶段——>根除阶段——>恢复阶段——>跟踪总结
应急响应—准备阶段
准备阶段需要及时和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述,初步判定事件响应策略,携带应急响应工具包前往客户现场。
准备阶段主要包括:事件背景、响应人员确定、事件响应策略、相关负责人联系方式、应急响应工具包、应急响应手册等。
应急响应—检测阶段
检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。
检测阶段主要包括:事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。
事件类型:
安全事件分类主要参考中央网信办发布《国家网络安全事件应急预案》,网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
应急响应—抑制阶段
采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。主要分为:物理遏制、网络遏制、主机遏制、应用遏制等
应急响应—根除阶段
主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。个人理解可以从以下几个方面入手:系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查等
应急响应—恢复阶段
恢复系统的运行过程,就是把受影响系统、设备、软件和应用服务还原到正常的工作状态;系统恢复、网络恢复、用户恢复、数据恢复以及重新部署。
恢复阶段主要包括:webshell清除、恶链清除、木马清除、补丁升级、应用网络恢复等
应急响应—跟踪阶段
在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失,为客户提供安全加固优化建议。
跟踪阶段主要包括:调查事件原因,输出应急响应报告,提供安全建议、避免同类事件再次发生。
最后:
声明:本流程是在博主个人理解的基础上进行整理,如有问题,请及时与我联系!
4547
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
