应急响应基本流程

PDCERF应急响应基本流程

一、准备阶段（Preparation）

准备阶段是整个应急响应的基础，核心任务是预先建立起有效的应急响应机制，确保在安全事件发生时及时响应。
1、主要任务

• 组建并培训应急响应人才，包括但不限于IT人员、安全专家等
• 制定应急响应预案，进行应急响应演练
  2、技术及工具
• 风险评估，所用工具：Nessus、Metasploit
• 蜜罐的部署
• 灾难后重建技术

二、检测阶段(Detection)

1、主要任务
<1> 针对网络及系统进行监控与检测
<2> 分析安全警报和日志，及时发现异常情况
<3> 确定事件类型、性质和影响范围，并判断严重程度以及优先级
2、技术及工具

• 入侵检测系统（IDS）： Snort、OSSEC
• 威胁情报平台：微步在线、360威胁情报中心
• 网络流量分析工具：WireShark、 tcpdump
• 系统日志分析工具：LogParser

抑制阶段(Containment)

1、主要任务
<1>确定受影响的范围
<2>及时隔离受攻击的系统，切断与其他未受攻击的系统的联系
<3>彻底切断攻击源和被攻击者的连接
<4>根据攻击特征，修改服务端口
2、技术

• 网络隔离
• IP地址封禁
• 关闭部分端口和服务
• 降权

根除阶段(Eradication)

1、主要任务
<1>彻底化解本次攻击
<2>查找并消除攻击根源
<3>清除恶意程序及后门
2、技术手段

• 恶意代码清除：火绒剑、360
• 漏洞修复：安装补丁、修正配置错误、更新安全策略

恢复阶段(Recovery)

1、主要任务：如果确保系统已然安全，攻击已经被完全化解，可以进行系统恢复
2、技术手段

• 利用备份进行系统恢复
• 逐步恢复业务功能
• 渗透测试，验证系统是否安全，漏洞是否已被修复

跟踪阶段(Follow-up)

主要任务

• 调查本次事件的成因
• 生成应急响应报告
• 提供安全建议，避免事件再次发生