初识网络安全应急响应

1.应急响应的基本能力

一、数据采集、存储和检索

1. 能对全流量数据协议进行还原；
2. 能对还原的数据进行存储；
3. 能对存储的数据快速检索。

二、事件发现

1. 能发现高级可持续威胁（APT）攻击；
2. 能发现 Web 攻击；
3. 能发现数据泄露；
4. 能发现失陷主机；
5. 能发现弱密码及企业通用密码；
6. 能发现主机异常行为。

三、事件分析

1. 能进行多维度关联分析；
2. 能还原完整杀伤链；
3. 能结合具体业务进行深度分析。

四、事件研判

1. 能确定攻击者的动机及目的；
2. 能确定事件的影响面及影响范围；
3. 能确定攻击者的手法。

五、事件处置

1. 能在第一时间恢复业务正常运行；
2. 能对发现的病毒、木马进行处置；
3. 能对攻击者所利用的漏洞进行修复；
4. 能对问题机器进行安全加固。

六、攻击溯源

1. 具备安全大数据能力；
2. 能根据已有线索（IP 地址、样本等）对攻击者的攻击路径、攻击手法及背后组织进行还原。

---

2.应急响应的基本流程

1、准备阶段

准备阶段以预防为主。主要工作涉及识别机构、企业的风险，建立安全政策，建立协作体系和应急制度。

例如，扫描、风险分析、打补丁等

2、检测阶段

检测阶段主要检测事件是已经发生的还是正在进行中的，以及事件产生的原因。确定事件性质和影响的严重程度，以及预计采用什么样的专用资源来修复

一般典型的事故现象包括：

（1） 账号被盗用；
（2） 骚扰性的垃圾信息；
（3） 业务服务功能失效；
（4） 业务内容被明显篡改；
（5） 系统崩溃、资源不足。

3、抑制阶段

抑制阶段的主要任务是限制攻击/破坏波及的范围，同时也是在降低潜在的损失。

（1） 完全关闭所有系统；
（2） 从网络上断开主机或断开部分网络；
（3） 修改所有的防火墙和路由器的过滤规则；
（4） 封锁或删除被攻击的登录账号；
（5） 加强对系统或网络行为的监控；
（6） 设置诱饵服务器进一步获取事件信息；
（7） 关闭受攻击的系统或其他相关系统的部分服务。

4、根除阶段

根除阶段的主要任务是通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同的手段攻击系统

5、恢复阶段

恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表，从可信的备份介质中恢复用户数据，打开系统和应用服务，恢复系统网络连接，验证恢复系统，观察其他的扫描，探测可能表示入侵者再次侵袭的信号

6、总结阶段

总结阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、政策、程序，并进行训练，以防止入侵的再次发生

总结阶段的工作主要包括以下 3 方面的内容：

（1） 形成事件处理的最终报告；
（2） 检查应急响应过程中存在的问题，重新评估和修改事件响应过程；
（3） 评估应急响应人员相互沟通在事件处理上存在的缺陷，以促进事后进行更有针对性的培训。