网络入侵的应急响应方案


如何得知被网络入侵

建立自己的风控监控中心、蜜罐、暗桩,得到报警;

响应方案

0. 人员配备

  • 明确一名总指挥人员
  • 明确一名事件记录人员
    并及时公布到信息同步工具,让团队人员及时同步到信息,明确时态进展;

1. 网络隔离

要做到有效的网络隔离,就需要在事前做好企业的资产收集,包括对局域网和公网的网络拓扑。

2. 反向推理

问题场景:
假设A公司被告知,公司内的用户数据被盗取了。

做完正常推理之后(比如访问量是否异常、服务器登录记录....)没发现什么好的结论,可以用反向推理,就是指根据现留存的线索,反推出源头,因为如果现有业务非常多的话,用这个思路能快速定位出关键节点。

容易进坑:
如果线索非常多,或者各个条件非常的均匀,还是容易迷失在茫茫数据流中...

所以找到关键线索很重要。

如何解决:
平时在预防的时候,就得在 一些敏感的数据传输过程中,需要打上一些特殊(唯一)标签,一些保存数据的地方,某部分数据作假成唯一标识,输出数据的接口,随机性输出这种标识数据,这样在事后排查的时候,只要发现了这种唯一标识的数据,可以达到理想效果,找到关键点。不然只能靠缘分了。

3. 建立应急手册

事前准备好各类型事件的应急响应手册,平时需要演练过。

4. 甄别木马程序

4-1. 将多台类似服务器的进程都取出,对比分析出异常名的进程。
4-2. 将多台类似服务器的日志都取出,做对比分析,分析是否有异常行为。

未完待续

转载于:https://www.cnblogs.com/mysticbinary/articles/10423130.html

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值