应急响应(总)
为了应各种意外事件,保证将损失降到最低,事件的主题可能来自自然界、系统自身故障,组织内部或外部的人、计算机病毒或蠕虫等应急响应的三要素:
[*]信息系统的重要程度
[*]信息系统的损失程度
[*]事件的影响
应急响应的管理六要素:
[*]提供解决方案
[*]对系统进行查漏补缺
[*]明确司法途径
[*]明确应急的意图
[*]还原攻击
[*]保障业务的正常运行(业务至上)
应急响应流程:
[*]准备
[*]发现
[*]分析
[*]上报
[*]遏制
[*]根除
[*]跟踪
应急响应的几个阶段:
[*]准备阶段
[*]分析资产的风险
[*]明确信息系统网络与系统架构
[*]明确信息系统的管理人员
[*]明确信息系统的保护要求
[*]计算损失和影响
[*]组建管理人员团队
[*]组建管理人员团队
[*]组建技术人员团队
[*]明确人员职责
[*]建立应急响应组织人员清单
[*]分析资产的风险
[*]制定应急处理的操作步骤
[*]制定应急处理的报告路线
[*]制定信息系统恢复的优先级顺序
[*]明确配合人员信息
[*]风险加固
[*]根据风险建立防御/控制措施
[*]安全管理及安全技术层面要同时兼顾
[*]保障资源储备
[*]信息安全应急响应专项资金
[*]应急响应所需的软硬件设备
[*]社会关系资源
[*]技术支持资源库
[*]网络拓扑图
[*]信息系统及设备安装配置文档
[*]常见问题处理手册
[*]检测阶段
[*]日常运维监控
[*]收集各类故障信息
[*]确认信息系统的实时运行状况
[*]信息安全事件探测
[*]事件判断
[*]确认事件给信息系统带来的影响
[*]确认事件给信息系统造成的损害程度
[*]一般事件与应急事件的判定
[*]事件上报
[*]确认应急事件类型
[*]确认应急事件等级
[*]通知相关人员
[*]启动应急预案
[*]事件通告
[*]事件通告方式
[*]即时通信工具
[*]视频/电话会议
[*]书面报告
[*]事件等级判定
[*]一般事件
[*]较大事件
[*]重大事件
[*]特别重大事件
[*]事件类型
[*]恶意程序类
[*]计算机病毒事件
[*]特伊洛木马事件
[*]勒索软件
[*]蠕虫事件
[*]僵尸网络程序
[*]挖矿程序
[*]网络攻击事件类
[*]拒绝服务攻击事件
[*]漏洞攻击事件
[*]网络钓鱼事件
[*]后门攻击事件
[*]网络扫描窃听事件
[*]干扰事件
[*]web攻击事件类
[*]webshell
[*]网页挂马事件
[*]网页篡改事件
[*]网页暗链事件
[*]业务安全事件类
[*]支付漏洞事件
[*]数据泄露事件
[*]权限泄露事件
[*]遏制阶段
[*]控制事件蔓延
[*]采取有效的措施防止事件的进一步扩大
[*]尽可能减少负面影响
[*]遏制效应
[*]采取常规的技术手段处理应急事件
[*]尝试快速修复系统,清除应急事件带来的影响
[*]遏制检测
[*]确认当前的抑制手段是否有效
[*]分析应急事件发生的原因,为根除阶段提供解决方案
[*]遏制方式
[*]针对受害资产所确定的范围进行隔离,包括网络隔离,关机,关闭服务
[*]持续监控网络及系统活动,记录异常流量的IP,域名,端口
[*]停止或者删除不正常账号,隐藏账号,更改高强度口令
[*]挂起或关闭未授权的,可疑的应用程序或进程
[*]关闭不必要的,未知的和非法的服务
[*]关闭相应的共享
[*]删除系统各个用户下未授权的自启动程序
[*]使用反病毒软件或者其他的安全工具扫描,检查,清除病毒,木马,蠕虫,后门等可疑文件
[*]设置陷阱,如部署蜜罐,或者反攻攻击者的系统
[*]根除恢复阶段
[*]启动应急预案
[*]协调各应急小组人员到位
[*]根据应急场景启动相关预案
[*]根除检测
[*]根据应急预案的执行情况,确认处置是否有效
[*]尝试恢复信息系统的正常运行
[*]持续检测
[*]当应急处置成功后对应急事件持续检测
[*]确认应急事件已根除
[*]信息系统运行恢复到正常状况
[*]跟踪阶段
[*]应急响应报告
[*]由应急响应实施小组报告应急事件的处置情况
[*]由应急响应领导小组下达应急响应结束的指令
[*]应急事件调查
[*]对应急事件发生的原因进行调查
[*]评估应急事件对信息系统造成的损失
[*]评估应急事件对单位,组织带来的影响
[*]应急响应总结
[*]对存在的风险点进行加固和整改
[*]评价应急预案的执行情况和后续改进计划
[*]对应急响应组织成员进行评价,表彰优秀者
[*]涉及到的相关技术
[*]网络安全事件检测技术
[*]Unix系统检测技术
[*]数据库系统检测系统
[*]常见的应用系统检测技术
[*]攻击追踪技术
[*]Windows系统检测技术
[*]入侵检测技术
[*]现场取样技术(wireshark)
[*]异常行为分析技术
[*]安全风险评估技术
[*]攻击隔离技术
[*]系统安全加固技术
应急响应预案
[*]确定风险场景
[*]描述可能收到的业务影响
[*]描述使用的预防性策略
[*]描述应急响应策略
[*]识别和排列关键应用系统
[*]行动计划
[*]团队和人员的职责
[*]联络清单
[*]所需资源配置
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]