了解蓝队应急响应的流程
应急响应通常是指为了应对各种意外事件发生前所做的准备,以及在意外事件发生后所采取的措施。
网络安全应急响应是指对已经发生或可能发送的安全事件进行监控、分析、协调、处理、保护资产安全。
网络安全应急响应主要是为了让人们对网络安全有所认识、有所准备,以便在遇到突发的网络安全事件时能做到有序应对,妥善处理。
应急事件的重大级别:
1、特别重大事件
红色预警,一级响应
2 、重大事件
橙色预警,二级响应
3、较大事件
黄色预警、三级响应
4、一般事件
蓝色预警、四级响应
应急事件类型
1、应用安全
Webshell、网页篡改、网页挂马...
2、系统安全
勒索病毒、挖矿木马、远控后门...
3、网络安全
DDOS攻击、ARP攻击、流量劫持...
4、数据安全
数据泄露、损坏、加密...
应急响应模型(PDCERF模型)
1、准备阶段(Preparation)
2、检测阶段(Detection)
3、抑制阶段(Containment)
4、根除阶段(Eradication)
5、恢复阶段(Recovery)
6、总结阶段(Follow-up)
1)准备阶段
应急团队建设
应急方案制定
渗透测试评估
安全基线检查
2)检测阶段
判断事件类型
判断事件级别
确定应急方案
3)抑制阶段
限制攻击/破坏波及的范围,同时也是降低潜在的损失
阻断:IP地址,网络连接,危险主机。。。
关闭:可疑进程,可疑服务。。。
删除:违规账号、危险文件。。。
4)根除阶段
通过事件分析找出根源并彻底根除,以避免被再次利用
增强:安全策略、全网监控。。。
修复:应用漏洞、系统漏洞 、补丁更新。。。
还原:操作系统、业务系统。。。
5)恢复阶段
把被破坏的信息彻底还原到正常运作状态
恢复业务系统、恢复用户数据、恢复网络通信
6)总结
回顾并整合应急响应过程的相关信息,进行时候分析总结和修订安全计划、政策、程序、并进行训练,防止入侵的再次发生
事件会议总结、响应报告输出、响应工作优化