应急响应（总）

为了应各种意外事件，保证将损失降到最低，事件的主题可能来自自然界、系统自身故障，组织内部或外部的人、计算机病毒或蠕虫等
应急响应的三要素：

• 信息系统的重要程度
  
• 信息系统的损失程度
  
• 事件的影响
  

应急响应的管理六要素：

• 提供解决方案
  
• 对系统进行查漏补缺
  
• 明确司法途径
  
• 明确应急的意图
  
• 还原攻击
  
• 保障业务的正常运行（业务至上）
  

应急响应流程：

• 准备
  
• 发现
  
• 分析
  
• 上报
  
• 遏制
  
• 根除
  
• 跟踪
  

应急响应的几个阶段：

• 准备阶段
  
  
  • 分析资产的风险
    
    
    • 明确信息系统网络与系统架构
      
    • 明确信息系统的管理人员
      
    • 明确信息系统的保护要求
      
    • 计算损失和影响
      
    
    
  • 组建管理人员团队
    
    
    • 组建管理人员团队
      
    • 组建技术人员团队
      
    • 明确人员职责
      
    • 建立应急响应组织人员清单
      
    
    
  • 分析资产的风险
    
    
    • 制定应急处理的操作步骤
      
    • 制定应急处理的报告路线
      
    • 制定信息系统恢复的优先级顺序
      
    • 明确配合人员信息
      
    
    
  • 风险加固
    
    
    • 根据风险建立防御/控制措施
      
    • 安全管理及安全技术层面要同时兼顾
      
    
    
  • 保障资源储备
    
    
    • 信息安全应急响应专项资金
      
    • 应急响应所需的软硬件设备
      
    • 社会关系资源
      
    
    
  • 技术支持资源库
    
    
    • 网络拓扑图
      
    • 信息系统及设备安装配置文档
      
    • 常见问题处理手册
      
    
    
  
  
• 检测阶段
  
  
  • 日常运维监控
    
    
    • 收集各类故障信息
      
    • 确认信息系统的实时运行状况
      
    • 信息安全事件探测
      
    
    
  • 事件判断
    
    
    • 确认事件给信息系统带来的影响
      
    • 确认事件给信息系统造成的损害程度
      
    • 一般事件与应急事件的判定
      
    
    
  • 事件上报
    
    
    • 确认应急事件类型
      
    • 确认应急事件等级
      
    • 通知相关人员
      
    • 启动应急预案
      
    
    
  
  
• 事件通告
  
  
  • 事件通告方式
    
    
    • 即时通信工具
      
    • 视频/电话会议
      
    • 书面报告
      
    
    
  
  
• 事件等级判定
  
  
  • 一般事件
    
  • 较大事件
    
  • 重大事件
    
  • 特别重大事件
    
  
  
• 事件类型
  
  
  • 恶意程序类
    
    
    • 计算机病毒事件
      
    • 特伊洛木马事件
      
    • 勒索软件
      
    • 蠕虫事件
      
    • 僵尸网络程序
      
    • 挖矿程序
      
    
    
  • 网络攻击事件类
    
    
    • 拒绝服务攻击事件
      
    • 漏洞攻击事件
      
    • 网络钓鱼事件
      
    • 后门攻击事件
      
    • 网络扫描窃听事件
      
    • 干扰事件
      
    
    
  • web攻击事件类
    
    
    • webshell
      
    • 网页挂马事件
      
    • 网页篡改事件
      
    • 网页暗链事件
      
    
    
  • 业务安全事件类
    
    
    • 支付漏洞事件
      
    • 数据泄露事件
      
    • 权限泄露事件
      
    
    
  
  
• 遏制阶段
  
  
  • 控制事件蔓延
    
    
    • 采取有效的措施防止事件的进一步扩大
      
    • 尽可能减少负面影响
      
    
    
  • 遏制效应
    
    
    • 采取常规的技术手段处理应急事件
      
    • 尝试快速修复系统，清除应急事件带来的影响
      
    
    
  • 遏制检测
    
    
    • 确认当前的抑制手段是否有效
      
    • 分析应急事件发生的原因，为根除阶段提供解决方案
      
    
    
  • 遏制方式
    
    
    • 针对受害资产所确定的范围进行隔离，包括网络隔离，关机，关闭服务
      
    • 持续监控网络及系统活动，记录异常流量的IP，域名，端口
      
    • 停止或者删除不正常账号，隐藏账号，更改高强度口令
      
    • 挂起或关闭未授权的，可疑的应用程序或进程
      
    • 关闭不必要的，未知的和非法的服务
      
    • 关闭相应的共享
      
    • 删除系统各个用户下未授权的自启动程序
      
    • 使用反病毒软件或者其他的安全工具扫描，检查，清除病毒，木马，蠕虫，后门等可疑文件
      
    • 设置陷阱，如部署蜜罐，或者反攻攻击者的系统
      
    
    
  
  
• 根除恢复阶段
  
  
  • 启动应急预案
    
    
    • 协调各应急小组人员到位
      
    • 根据应急场景启动相关预案
      
    
    
  • 根除检测
    
    
    • 根据应急预案的执行情况，确认处置是否有效
      
    • 尝试恢复信息系统的正常运行
      
    
    
  • 持续检测
    
    
    • 当应急处置成功后对应急事件持续检测
      
    • 确认应急事件已根除
      
    • 信息系统运行恢复到正常状况
      
    
    
  
  
• 跟踪阶段
  
  
  • 应急响应报告
    
    
    • 由应急响应实施小组报告应急事件的处置情况
      
    • 由应急响应领导小组下达应急响应结束的指令
      
    
    
  • 应急事件调查
    
    
    • 对应急事件发生的原因进行调查
      
    • 评估应急事件对信息系统造成的损失
      
    • 评估应急事件对单位，组织带来的影响
      
    
    
  • 应急响应总结
    
    
    • 对存在的风险点进行加固和整改
      
    • 评价应急预案的执行情况和后续改进计划
      
    • 对应急响应组织成员进行评价，表彰优秀者
      
    
    
  
  
• 涉及到的相关技术
  
  
  • 网络安全事件检测技术
    
  • Unix系统检测技术
    
  • 数据库系统检测系统
    
  • 常见的应用系统检测技术
    
  • 攻击追踪技术
    
  • Windows系统检测技术
    
  • 入侵检测技术
    
  • 现场取样技术（wireshark）
    
  • 异常行为分析技术
    
  • 安全风险评估技术
    
  • 攻击隔离技术
    
  • 系统安全加固技术
    
  
  

应急响应预案

• 确定风险场景
  
• 描述可能收到的业务影响
  
• 描述使用的预防性策略
  
• 描述应急响应策略
  
• 识别和排列关键应用系统
  
• 行动计划
  
• 团队和人员的职责
  
• 联络清单
  
• 所需资源配置
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！