应急响应
1.什么是应急响应
应急响应是指在网络安全事件发生后,快速、有效地采取行动,防止或减少对系统和数据造成的损害,保护网络安全的行为。这需要有一个完整的应急响应计划,包括应急预案、应急指挥中心、应急响应流程、应急演练等。在应急响应中,承担重要角色的是应急响应团队,他们需要快速响应、有效地指挥和协作,根据事件类型和严重程度进行分类、定位、分析和处理,最终消除威胁、恢复系统和数据的正常运行状态。应急响应还需要对事件进行跟踪和评估,总结经验教训,并针对新的威胁做好预防措施,以确保网络安全的持续性和可靠性。
2.应急响应中事件的级别
根据常见的安全应急响应模型和规范,事件的级别通常按照以下四级划分:
1.信息级(Informational):表示一些可能需要关注,但不需要立即采取行动的事件。
2.低级(Low):表示可能存在安全风险,但对系统、服务或数据的影响很小,不会对业务产生较大影响。需要适当行动,但不需要过分关注。
3.中级(Medium):表示存在实际的安全风险,对系统、服务或数据可能会造成一定的影响,需要采取紧急行动加以控制和消除。
4.高级(High):表示存在严重的安全风险,可能会对系统、服务或数据产生重大影响,需要立即采取紧急行动,并按照事件响应计划进行应急处理。
3.应急响应中的事件类型
1.应用安全:
Webshell、网页篡改、网页挂马…
2.系统安全
勒索病毒、挖矿木马、远程后门…
3.网络安全
DDOS攻击、APR攻击、流量劫持…
4.数据安全
数据泄露、损坏、加密…
4.如何做应急响应
1.制定应急响应计划
根据公司的安全需求,制定应急响应计划,明确安全事件报告的渠道、事件响应的步骤、负责人和各种安全事件的处理方式。
2.建立应急响应小组
安全事件发生后,应尽快组建应急响应小组,包括网络安全专家、系统管理员、安全管理人员和其他相关人员,全力处理事件。
3.识别安全威胁
当收到安全事件报告时,第一步是对事件进行初步调查,识别安全威胁的种类、影响和攻击来源。根据调查结果采取进一步行动。
4.隔离和阻止攻击
在确认安全事件后,需要立即隔离与该事件相关的数据和系统组件,避免安全威胁扩散。管理员还需要阻止攻击来源并修复安全漏洞。
5.恢复正常操作
安全事件的处理后,需要进行系统和数据恢复的工作,并确保恢复正常操作。与此同时,需要监测系统的安全性和保障防范措施,以避免此类事件的再次发生。
6.重新评估和改进
在应急响应工作完成后,需要对该事件进行全面分析,总结经验教训。通过评估后,改进计划和措施,并制定更好的预防和应对策略。
注意:在整个过程中,保持沟通和透明,对外界及时报告安全事件的处理过程和处理结果,减少安全事件的影响和损失。
5.应急响应团队组建
内部团队:
- 监控组:利用各类系统监控、查看监控系统日志,对应用/系统/网络/数据进行安全监测。
- 响应组:应用组、系统组、设备组
- 研判组:溯源分析、专家组
- 文档组:应急响应方案制定、事件报告输出、经验总结输出
外部团队:
- 合作单位:安全厂商、安全服务团队
- 监管单位:网信办、公安部
6.入侵排查
- 系统排查
- 进程排查
- 服务排查
- 文件痕迹排查
- 日志分析
- 内存分析
- 流量分析
- 威胁情报
7.安全产品
安全网关类:
防火墙、UTM、网闸、抗DDOS防火墙、VPN、上网行为管理
评估工具类:
漏扫系统、网络分析系统
威胁管理类:
入侵监测系统(IDS)、入侵防御系统(IPS)、WAF
应用管理类:
堡垒机、审计系统、终端管理系统、安全运维平台