为了应各种意外事件,保证将损失降到最低,事件的主题可能来自自然界、系统自身故障,组织内部或外部的人、计算机病毒或蠕虫等
应急响应的三要素:
- 信息系统的重要程度
- 信息系统的损失程度
- 事件的影响
应急响应的管理六要素:
- 提供解决方案
- 对系统进行查漏补缺
- 明确司法途径
- 明确应急的意图
- 还原攻击
- 保障业务的正常运行(业务至上)
应急响应流程:
应急响应的几个阶段:
- 准备阶段
- 分析资产的风险
- 明确信息系统网络与系统架构
- 明确信息系统的管理人员
- 明确信息系统的保护要求
- 计算损失和影响
- 组建管理人员团队
- 组建管理人员团队
- 组建技术人员团队
- 明确人员职责
- 建立应急响应组织人员清单
- 分析资产的风险
- 制定应急处理的操作步骤
- 制定应急处理的报告路线
- 制定信息系统恢复的优先级顺序
- 明确配合人员信息
- 风险加固
- 根据风险建立防御/控制措施
- 安全管理及安全技术层面要同时兼顾
- 保障资源储备
- 信息安全应急响应专项资金
- 应急响应所需的软硬件设备
- 社会关系资源
- 技术支持资源库
- 网络拓扑图
- 信息系统及设备安装配置文档
- 常见问题处理手册
- 检测阶段
- 日常运维监控
- 收集各类故障信息
- 确认信息系统的实时运行状况
- 信息安全事件探测
- 事件判断
- 确认事件给信息系统带来的影响
- 确认事件给信息系统造成的损害程度
- 一般事件与应急事件的判定
- 事件上报
- 确认应急事件类型
- 确认应急事件等级
- 通知相关人员
- 启动应急预案
- 事件通告
- 事件等级判定
- 事件类型
- 恶意程序类
- 计算机病毒事件
- 特伊洛木马事件
- 勒索软件
- 蠕虫事件
- 僵尸网络程序
- 挖矿程序
- 网络攻击事件类
- 拒绝服务攻击事件
- 漏洞攻击事件
- 网络钓鱼事件
- 后门攻击事件
- 网络扫描窃听事件
- 干扰事件
- web攻击事件类
- webshell
- 网页挂马事件
- 网页篡改事件
- 网页暗链事件
- 业务安全事件类
- 遏制阶段
- 控制事件蔓延
- 采取有效的措施防止事件的进一步扩大
- 尽可能减少负面影响
- 遏制效应
- 采取常规的技术手段处理应急事件
- 尝试快速修复系统,清除应急事件带来的影响
- 遏制检测
- 确认当前的抑制手段是否有效
- 分析应急事件发生的原因,为根除阶段提供解决方案
- 遏制方式
- 针对受害资产所确定的范围进行隔离,包括网络隔离,关机,关闭服务
- 持续监控网络及系统活动,记录异常流量的IP,域名,端口
- 停止或者删除不正常账号,隐藏账号,更改高强度口令
- 挂起或关闭未授权的,可疑的应用程序或进程
- 关闭不必要的,未知的和非法的服务
- 关闭相应的共享
- 删除系统各个用户下未授权的自启动程序
- 使用反病毒软件或者其他的安全工具扫描,检查,清除病毒,木马,蠕虫,后门等可疑文件
- 设置陷阱,如部署蜜罐,或者反攻攻击者的系统
- 根除恢复阶段
- 启动应急预案
- 根除检测
- 根据应急预案的执行情况,确认处置是否有效
- 尝试恢复信息系统的正常运行
- 持续检测
- 当应急处置成功后对应急事件持续检测
- 确认应急事件已根除
- 信息系统运行恢复到正常状况
- 跟踪阶段
- 应急响应报告
- 由应急响应实施小组报告应急事件的处置情况
- 由应急响应领导小组下达应急响应结束的指令
- 应急事件调查
- 对应急事件发生的原因进行调查
- 评估应急事件对信息系统造成的损失
- 评估应急事件对单位,组织带来的影响
- 应急响应总结
- 对存在的风险点进行加固和整改
- 评价应急预案的执行情况和后续改进计划
- 对应急响应组织成员进行评价,表彰优秀者
- 涉及到的相关技术
- 网络安全事件检测技术
- Unix系统检测技术
- 数据库系统检测系统
- 常见的应用系统检测技术
- 攻击追踪技术
- Windows系统检测技术
- 入侵检测技术
- 现场取样技术(wireshark)
- 异常行为分析技术
- 安全风险评估技术
- 攻击隔离技术
- 系统安全加固技术
应急响应预案
- 确定风险场景
- 描述可能收到的业务影响
- 描述使用的预防性策略
- 描述应急响应策略
- 识别和排列关键应用系统
- 行动计划
- 团队和人员的职责
- 联络清单
- 所需资源配置
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
