应急响应(总)

为了应各种意外事件,保证将损失降到最低,事件的主题可能来自自然界、系统自身故障,组织内部或外部的人、计算机病毒或蠕虫等

应急响应的三要素:

  1. 信息系统的重要程度
  2. 信息系统的损失程度
  3. 事件的影响

应急响应的管理六要素:

  1. 提供解决方案
  2. 对系统进行查漏补缺
  3. 明确司法途径
  4. 明确应急的意图
  5. 还原攻击
  6. 保障业务的正常运行(业务至上)

应急响应流程:

  1. 准备
  2. 发现
  3. 分析
  4. 上报
  5. 遏制
  6. 根除
  7. 跟踪

应急响应的几个阶段:

  1. 准备阶段
    1. 分析资产的风险
      1. 明确信息系统网络与系统架构
      2. 明确信息系统的管理人员
      3. 明确信息系统的保护要求
      4. 计算损失和影响
    2. 组建管理人员团队
      1. 组建管理人员团队
      2. 组建技术人员团队
      3. 明确人员职责
      4. 建立应急响应组织人员清单
    3. 分析资产的风险
      1. 制定应急处理的操作步骤
      2. 制定应急处理的报告路线
      3. 制定信息系统恢复的优先级顺序
      4. 明确配合人员信息
    4. 风险加固
      1. 根据风险建立防御/控制措施
      2. 安全管理及安全技术层面要同时兼顾
    5. 保障资源储备
      1. 信息安全应急响应专项资金
      2. 应急响应所需的软硬件设备
      3. 社会关系资源
    6. 技术支持资源库
      1. 网络拓扑图
      2. 信息系统及设备安装配置文档
      3. 常见问题处理手册
  2. 检测阶段
    1. 日常运维监控
      1. 收集各类故障信息
      2. 确认信息系统的实时运行状况
      3. 信息安全事件探测
    2. 事件判断
      1. 确认事件给信息系统带来的影响
      2. 确认事件给信息系统造成的损害程度
      3. 一般事件与应急事件的判定
    3. 事件上报
      1. 确认应急事件类型
      2. 确认应急事件等级
      3. 通知相关人员
      4. 启动应急预案
  3. 事件通告
    1. 事件通告方式
      1. 即时通信工具
      2. 视频/电话会议
      3. 书面报告
  4. 事件等级判定
    1. 一般事件
    2. 较大事件
    3. 重大事件
    4. 特别重大事件
  5. 事件类型
    1. 恶意程序类
      1. 计算机病毒事件
      2. 特伊洛木马事件
      3. 勒索软件
      4. 蠕虫事件
      5. 僵尸网络程序
      6. 挖矿程序
    2. 网络攻击事件类
      1. 拒绝服务攻击事件
      2. 漏洞攻击事件
      3. 网络钓鱼事件
      4. 后门攻击事件
      5. 网络扫描窃听事件
      6. 干扰事件
    3. web攻击事件类
      1. webshell
      2. 网页挂马事件
      3. 网页篡改事件
      4. 网页暗链事件
    4. 业务安全事件类
      1. 支付漏洞事件
      2. 数据泄露事件
      3. 权限泄露事件
  6. 遏制阶段
    1. 控制事件蔓延
      1. 采取有效的措施防止事件的进一步扩大
      2. 尽可能减少负面影响
    2. 遏制效应
      1. 采取常规的技术手段处理应急事件
      2. 尝试快速修复系统,清除应急事件带来的影响
    3. 遏制检测
      1. 确认当前的抑制手段是否有效
      2. 分析应急事件发生的原因,为根除阶段提供解决方案
    4. 遏制方式
      1. 针对受害资产所确定的范围进行隔离,包括网络隔离,关机,关闭服务
      2. 持续监控网络及系统活动,记录异常流量的IP,域名,端口
      3. 停止或者删除不正常账号,隐藏账号,更改高强度口令
      4. 挂起或关闭未授权的,可疑的应用程序或进程
      5. 关闭不必要的,未知的和非法的服务
      6. 关闭相应的共享
      7. 删除系统各个用户下未授权的自启动程序
      8. 使用反病毒软件或者其他的安全工具扫描,检查,清除病毒,木马,蠕虫,后门等可疑文件
      9. 设置陷阱,如部署蜜罐,或者反攻攻击者的系统
  7. 根除恢复阶段
    1. 启动应急预案
      1. 协调各应急小组人员到位
      2. 根据应急场景启动相关预案
    2. 根除检测
      1. 根据应急预案的执行情况,确认处置是否有效
      2. 尝试恢复信息系统的正常运行
    3. 持续检测
      1. 当应急处置成功后对应急事件持续检测
      2. 确认应急事件已根除
      3. 信息系统运行恢复到正常状况
  8. 跟踪阶段
    1. 应急响应报告
      1. 由应急响应实施小组报告应急事件的处置情况
      2. 由应急响应领导小组下达应急响应结束的指令
    2. 应急事件调查
      1. 对应急事件发生的原因进行调查
      2. 评估应急事件对信息系统造成的损失
      3. 评估应急事件对单位,组织带来的影响
    3. 应急响应总结
      1. 对存在的风险点进行加固和整改
      2. 评价应急预案的执行情况和后续改进计划
      3. 对应急响应组织成员进行评价,表彰优秀者
  9. 涉及到的相关技术
    1. 网络安全事件检测技术
    2. Unix系统检测技术
    3. 数据库系统检测系统
    4. 常见的应用系统检测技术
    5. 攻击追踪技术
    6. Windows系统检测技术
    7. 入侵检测技术
    8. 现场取样技术(wireshark)
    9. 异常行为分析技术
    10. 安全风险评估技术
    11. 攻击隔离技术
    12. 系统安全加固技术

应急响应预案

  1. 确定风险场景
  2. 描述可能收到的业务影响
  3. 描述使用的预防性策略
  4. 描述应急响应策略
  5. 识别和排列关键应用系统
  6. 行动计划
  7. 团队和人员的职责
  8. 联络清单
  9. 所需资源配置
posted @ 2022-09-25 20:22  田家少闲月-  阅读(79)  评论(0编辑  收藏  举报