应急响应
作者:互联网
1、什么是应急响应
应急响应( Incident Response/ Emergency Response )通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障(这里的系统包括主机范畴内的问题,也包括网络范畴内的问题)、组织内部或外部的人、计算机病毒或蠕虫等。
2、应急响应模型
应急响应PDCERF模型,将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。
准备阶段:分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库
检测阶段:日常运维监控、事件判断、事件上报
典型事故现象包括:账号被盗用;骚扰性的垃圾信息;业务服务功能失效;业务内容被明显篡改;系统崩溃、资源不足。
抑制阶段:抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制.
(1)控制事件蔓延
1)采取有效的措施防止事件的进一步扩大。
2)尽可能减少负面影响。
(2)遏制效应
1)采取常规的技术手段处理应急事件。
2)尝试快速修复系统,消除应急事件带来的影响。
(3)遏制监测
1)确认当前的抑制手段是否有效。
2)分析应急事件发生的原因,为根除阶段提供解决方案。
抑制采用的方式可能有多种,常见的包括:
(1)关掉已受害的系统;
(2)断开网络;
(3)修改防火墙或路由器的过滤规则;
(4)封锁或删除被攻破的登录账号;
(5)关闭可被攻击利用的服务功能。
根除阶段:根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。
对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。
主动方式是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察到攻击方所采用的攻击方法。
被动方式是根据系统的异常现象去追查问题的根本原因。被动方式会综合用到以下的多种方法。系统异常行为分析(找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码)、日志审计(日志审计是通过检查系统及其环境的日志信息和告警信息来分析是否有攻击者做了哪些违规行为。)、入侵监测(通过捕获并检测进出系统的数据流,利用入侵监测工具所带的攻击特征数据库,可以在事件分析过程中帮助定位攻击的类型。)、安全风险评估(通过漏洞扫描工具或者是防病毒软件等安全风险评估工具扫描系统的漏洞或病毒可以有效地帮助定位攻击事件。)
恢复阶段:主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。
跟踪阶段:主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。应急响应报告、应急事件调查、应急响应总结
参考链接:应急响应、应急响应事件、网络应急响应 - FreeBuf网络安全行业门户
标签:攻击,系统,响应,事件,应急,阶段 来源: https://www.cnblogs.com/hubin123/p/16524491.html