声明!
学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec
应急响应准备
风险评估: 了解技术资产、系统和数据,井了解它们对业务的重要性
威胁分析: 策略、技术和实践确定风险点,反向推动控制到位
人员、流程和技术: 建立团队、配备工具、制定流程剧本,演练
控制: 响应手册,事前流程规避、事中数据支持、事后备份恢复
成熟度评估: CREST提供成熟度评估工具,这是个持续的过程流程培训+实践技能培训
一、应急响应手册概述
该手册详细规定了在不同安全事件发生时应执行的标准操作程序,按安全事件类别进行了分类阐述。
二、各安全事件类别及相关情况
(一)PB01 扫描
PB01.1 IP 地址扫描:涉及对 IP 地址进行扫描相关的应急处理操作。
PB01.2 端口扫描:针对端口扫描情况制定的应急操作流程。
(二)PB02 托管威胁
PB02.1 病毒隔离:当检测到病毒时采取隔离措施的操作规范。
PB02.2 检测到登录尝试失败:针对登录尝试失败情况的应急响应步骤。
PB02.3 检测到已知漏洞:在发现已知漏洞时应执行的操作程序。
(三)PB03 入侵
PB03.1 检测到入侵指示:明确在检测到有入侵迹象时的应对操作。
PB03.2 非特权帐户泄露:针对非特权帐户泄露事件的处理流程。
PB03.3 未经授权的权限提升:对于出现未经授权提升权限情况的应急措施。
PB03.4 恶意员工活动:处理员工从事恶意活动的相关操作规范。
PB03.5 管理帐户泄露:在管理帐户泄露时应采取的行动步骤。
(四)PB04 可用性
PB04.1 拒绝服务 (DOS/DDOS):应对拒绝服务攻击(包括 DOS 和 DDOS)的操作流程。
PB04.2 破坏:针对系统等被破坏情况的应急处理程序。
(五)PB05 信息
PB05.1 未经授权访问信息:处理未经授权访问信息事件的操作规范。
PB05.2 未经授权修改信息:在发现未经授权修改信息时应执行的步骤。
PB05.3 数据泄露:针对数据泄露情况制定的应急措施。
(六)PB06 欺诈
PB06.1 未经授权使用资源:对于未经授权使用资源这类欺诈行为的处理流程。
PB06.2 侵犯版权:处理侵犯版权欺诈事件的操作规范。
PB06.2 欺骗身份:应对欺骗身份欺诈情况的应急措施。
(七)PB07 恶意内容
PB07.1 网络钓鱼电子邮件:处理网络钓鱼电子邮件的操作步骤。
PB07.2 恶意网站:针对恶意网站的应急处理程序。
PB07.3 受感染的 U 盘:在遇到受感染的 U 盘时应采取的行动。
(八)PB08 恶意软件检测
PB08.1 病毒或蠕虫:针对检测到病毒或蠕虫时的应急操作流程。
PB08.2 勒索软件:处理勒索软件的相关操作规范。
PB08.3 APT:应对高级持续性威胁(APT)的应急措施。
(九)PB09 技术诚信
PB09.1 网站污损:处理网站污损情况的应急操作流程。
PB09.2 DNS 重定向:针对 DNS 重定向情况制定的应急措施。
(十)PB10 盗窃
PB10.1 盗窃资产:在发生资产盗窃事件时应采取的行动步骤。
这份手册通过对各类安全事件的详细分类及对应应急操作的明确,为应对不同的网络安全问题提供了较为全面的指导规范。
二、演练与沟通
锻炼团队应响能力,验证应响计划的有效性
红蓝对抗,模拟真实攻击场景
总结经验、发现问题、改进计划
应响过程中及时充分准确的信息沟通至关重要
沟通对象涉及内部员工、外部合作伙伴、客户、媒体、政府等
三、事件检测与响应
- 安全事件的发生。事件上报
- 系统监控与检查日志告警
- 确定事件级别
- 检测是否存在入侵
- 调查事件
- 采取遏制措施
- 溯源取证
四、报告与总结
编写应急响应件报告
标题、编号
件归类级别
受影响的系统、账号登。事件详细过程
还原事件时间线进一步调查计划
经验总结与改进建议
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
