护网行动 | 蓝队应急响应流程概述

了解蓝队应急响应的流程

         应急响应通常是指为了应对各种意外事件发生前所做的准备，以及在意外事件发生后所采取的措施。

        网络安全应急响应是指对已经发生或可能发送的安全事件进行监控、分析、协调、处理、保护资产安全。

        网络安全应急响应主要是为了让人们对网络安全有所认识、有所准备，以便在遇到突发的网络安全事件时能做到有序应对，妥善处理。

应急事件的重大级别：

                 1、特别重大事件

                        红色预警，一级响应

                 2 、重大事件

                        橙色预警，二级响应

                 3、较大事件

                        黄色预警、三级响应

                 4、一般事件

                        蓝色预警、四级响应

应急事件类型

                 1、应用安全

                        Webshell、网页篡改、网页挂马...

                 2、系统安全

                        勒索病毒、挖矿木马、远控后门...

                 3、网络安全

                        DDOS攻击、ARP攻击、流量劫持...

                 4、数据安全

                        数据泄露、损坏、加密...

应急响应模型（PDCERF模型）

                      

                        1、准备阶段（Preparation）
                        2、检测阶段（Detection）
                        3、抑制阶段（Containment）
                        4、根除阶段（Eradication）
                        5、恢复阶段（Recovery）
                        6、总结阶段（Follow-up）

        1）准备阶段

                应急团队建设
                应急方案制定
                渗透测试评估
                安全基线检查

        2）检测阶段

                判断事件类型
                判断事件级别
                确定应急方案

        3）抑制阶段

                限制攻击/破坏波及的范围，同时也是降低潜在的损失

                阻断：IP地址，网络连接，危险主机。。。 
                关闭：可疑进程，可疑服务。。。
                删除：违规账号、危险文件。。。

        4）根除阶段

                通过事件分析找出根源并彻底根除，以避免被再次利用
                增强：安全策略、全网监控。。。
                修复：应用漏洞、系统漏洞 、补丁更新。。。
                还原：操作系统、业务系统。。。

        5）恢复阶段

                把被破坏的信息彻底还原到正常运作状态

                恢复业务系统、恢复用户数据、恢复网络通信

        6）总结

                回顾并整合应急响应过程的相关信息，进行时候分析总结和修订安全计划、政策、程序、并进行训练，防止入侵的再次发生

                事件会议总结、响应报告输出、响应工作优化