事情状态判断
了解现状(咨询甲方管理员)
发生时间 操作系统 系统服务
确认现状(自己尝试一下)
甲方提供的事件是否是真实的 根据现状提出可能存在的问题 确认是否感染了其他设备
临时处置
核心(隔离)
内容
被感染(物理隔离 ,网络隔离(ACL,防火墙)禁用U盘) 系统有备份:启用备用服务器,并且开启所有的防护功能:被攻击设备物理隔离 系统无备份,但有很重要的文件:服务现在能否使用;不能:直接隔离:能使用:发布空窗期并开启防护设备 系统无备份,但也不重要:直接隔离 未感染 ACL隔离 关闭SSH与RDP远程服务 禁止使用U盘
信息收集分析
入侵检测
攻击链条 漏洞成因 恶意操作
内容
Windows 用户与用户组 文件 服务与进程 端口连接 系统信息 启动项 日志分析 流量分析
事件处理
受害机 核心:根据不同的漏洞成因选择不同的根除方法 内容 web漏洞 ssh暴力破解 关闭ssh服务 设置强密码 设置登录策略 配置ssh访问黑名单 删除后门 恢复数据 sql注入 过滤 预编译 上WAF 恢复数据 病毒类 断网隔离 删除病毒 数据解密 重装系统
未感染设备 核心:防患于未然 内容:上安全设备 更新补丁 关闭不需要的设备 方法:漏洞检测 漏洞防御
事件防御
核心:预防被攻击成功,监控攻击行为
内容
定期完成安全巡检 定期基线排查 有计划的渗透测试 定期员工培训 定期开展应急响应演练
监控 :部署安全设备