实践常识丨应急响应流程 应急响应Incident Response在护网中发挥最后屏障的作用。在进行红蓝对抗中应急响应的目标是在攻击发生后在最短的时间内控制影响还原路径固定证据。是确保目标系统不被攻陷、关键数据不被窃取的重要环节。业界最常用的一套模型是PDCERF将响应分为六个阶段。准备阶段这个阶段能够确保在真正遇到攻击时应急响应的速度和效率。准备工具使用U盘等干净可靠的存储器存储准备好的取证工具、流量分析工具wireshark、日志分析工具、杀毒、沙箱等工具。预案制定针对常见的攻击数据泄露、DDoS等提前写好遭到攻击的预案从而在面对攻击时快速应对限制攻击。团队分工护网团队要分好应急响应小组组内定好角色分工各司其责。检测分析这个阶段主要是研判内容从海量的告警中确定是否真的发生了安全事件。线索收集IDS/IPSSIEM/SOC告警、全流量威胁检测、用户异常行为等各种渠道。初步研判1、定性确认是否是误报确定是内部操作违规还是来自外部的攻击。2、定损攻击已经造成的影响设计的范围资产、数据3、定级根据已有的标准往往是公司标准按照影响范围决定事件等级决定资源的投入和上报情况。证据保留要记录所有的操作开启操作审计确保证据保留完整。遏制阶段此为检测到攻击入侵后的第一阶段主要进行的是切断传播、阻断攻击主要任务为控制损失而不是恢复。网络层遏制在交换机或防火墙上隔离受感染的VLAN断网但不关机保留内存证据封禁恶意IP/域名。主机层遏制阻断可疑进程的网络连接挂起或限制用户账号修改被盗凭证。应对方案选择根据实际的请款选择临时阻断还是长期隔离并且提前通知业务方。根除阶段根除阶段是在成功遏制了攻击影响范围限制了攻击后解决事件根本原因。修补漏洞修复攻击者利用的高危漏洞例如SQL注入、未授权访问等漏洞。清除恶意软件杀死恶意进场、删除持久化服务、计划任务、注册表项、启动项和webshell。全局重置对所有受影响的机器等资产强制重置其密码、销毁泄露的凭证和会话令牌。补丁加固针对被攻击点打补丁确保不会在其他位置发生同样的攻击。恢复阶段本阶段要从最核心的业务开始逐步恢复正常的服务并且要确保系统是正确干净的不再有后门等残留问题。可信备份恢复对于可以确定没有受到攻击影响的纯净备份可以恢复备份并做完整的扫描。分阶段上线先进行小范围的灰度验证进行监控。如果没有发生异常便可以全量切回流量了。增强监控在发生攻击后要对其进行严密监控确保攻击者没有通过后门再次造访。跟进和复盘时间处理完毕后进行事后复盘。复盘报告按照时间线还原攻击路径评估相应时效也就是给本次应急响应打分主要依据是MTTD平均检测时间、MTTR平均响应时间改进将复盘中发现的短板缺点转变为具体的弥补措施更新应急预案。