应急响应流程及思路
应急响应流程及思路
一:前言
对于还没有在项目中真正接触、参与过应急响应的同学来说,“应急响应”这四个字见的最多的就是建筑工地上的横幅 —— 人人懂应急,人人会响应。这里的应急响应和我们网络安全中的应急响应有着某种本质的相似,但却有些许操作的不同。
网络安全中的应急响应,我个人的将其分为两种:一种是事前响应 —— 即未雨绸缪,做到防患于未然;将灾难性事件扼杀在萌芽之中;另一种就是事后响应 —— 即亡羊补牢;灾难性事件发生之后将损失降到最小。对于网络安全而言,我们所遇到的大部分应急响应的情况都是事后响应,导致这个情况主要是因为我国网络安全现状下企业安全投入与产出效果之间的矛盾以及网络安全事业起步晚、整体网络安全意识不高等。对于企业而言,对网络安全的投入基本是合规驱动(满足法律法规要求和监管要求)和事件驱动(安全事件),加之我国网络安全整体意识不强,不少企业基本就是实行出了问题再弥补的被动式防御措施。因此,本文着重讨论事后响应的流程及思路。
二:应急响应流程及思路
A:事前响应
听到事前应急响应,不少同学肯定心里在想:事件没发生,何来应急?如何响应?笔者怕不是还没睡醒吧?如此不专业。在这里笔者保证:在和同学们分享此篇技术文章的时候是前一夜睡了一个好觉,还是自然醒。
网络安全中的事前应急响应简单的概括为就是企业因某些安服服务驱动因素事前向安全公司购买相关蓝队安服服务或攻防演练服务,比如风险评估服务、人员安全意识培训服务、进行安全巡检服务、制定安全运营管理计划服务、举行应急演练服务、攻防演练服务、进行数据安全备份等,以此来提前对未发生的安全事件做出防范措施。
B:事后响应
而对于事后应急响应,不少同学在不同的论坛、文章中也看见过。笔者将事后应急响应的流程归纳为:事件确认 ——> 事件抑制 ——> 事件处置 ——> 事件分析 ——> 编写报告 ——> 事后跟踪。
(一)事件确认:对已经发生的安全事件进行确认(是真实攻击还是设备误报等),定性分析处理事件所需要的资源支持。
1)确认安全事件的类型、评估事件的影响范围。
2)安服客户情绪,确定客户面对此次安全事件的真实需求和痛点。安全事件发生之后,客户可能存在焦急、紧张的情绪,作为技术人员需要用自己的专业性来安抚客户情绪,引导客户确认面对此次安全事件的真实需求,有利于技术人员快速、准确的处理安全事件。
3)根据经验定性判断处置此次安全事件所需要的资源支持(设备资源、人员资源、时间资源等等),并形成工单或报告提交给客户。(这个举措可以起到安抚客户情绪,并体现我们作为技术人员的专业性)
(二)事件抑制:确认为安全事件之后,为了防止攻击者将攻击面扩散,需要在一定程度上对事件进行攻击抑制。
在事件处置之前,我们可以根据事件的严重性制定相应的应急措施,并根据客户的业务情况进行具体的事件抑制操作。
(1)可中断业务:即发生严重安全事件时,客户运行的业务系统可以暂时中断修复。
1)关闭在此次安全事件中被攻击失陷的业务系统,并告知客户可向用户发布系统暂时维护的通知,安抚用户。
2)断开被攻击系统的网络,或关闭被攻击利用的服务。
3)禁止登录或删除被攻击的系统账户。
(2)不同中断业务:即发生严重安全事件时,客户的业务系统不能中断运行。
1)修改被攻击的系统账户密码。
2)根据被攻击的具体情况,重新配置安全设备的安全策略。
3)设置源IP白名单。
4)对攻击感染的设备或系统进行隔离处置。
(三)事件处置:在对攻击系统进行隔离或对攻击进行抑制之后,需要对事件攻击进行具体的处置。
1)清除被攻击系统中的病毒、木马、恶意程序等。可以使用清理工具进行检测和清理:内存和进程检测工具:Process Hacker,启动项监控工具:Autoruns,文件、恶意代码检测工具:Pchunter,杀软,EDR等。
2)清理Web站点中存在的木马、暗链、挂马页面等。可以使用D盾、河马等进行木马、病毒检测和查杀。
3)恢复被攻击者篡改的系统、设备配置,删除攻击者创建的账户。
4)删除异常的系统服务,清理异常进程。
5)若业务中断,需要重启业务。
(四)原因分析:查找并分析此次安全事件的攻击链,利于预测、阻止和应对潜在的攻击。
1)进行威胁情报收集,确定攻击IP,了解攻击者的基本情况,利于后续的溯源工作。
2)对系统日志、Web日志、安全产品相关日志、网络流量日志等进行分析,理解攻击者的入侵手法,调查此次安全事件的原因。
3)根据客户需求,对攻击者进行溯源。
(五)编写报告:根据此次安全事件的具体情况编写《xx事件应急响应报告》
1)事件处置完成之后,根据此次安全事件的情况编写安全报告,描述安全事件的具体情况、处置过程、处置结果以及对事件的分析,并向客户提出整改建议、安全产品加固建议。【此处作为安全厂商的安全人员应该着重对待 —— 商机】
(六)事后跟踪:对此次安全事件进行跟踪,定时询问客户系统安全情况。
一般的文章或论坛中对于应急响应的流程并没有这一步,作为技术侧人员认为在《xx安全事件报告》提交、通过之后此次事件就算结束。但笔者认为,事后跟踪却是另一个故事的开始。
我国的安全服务现状是重产品轻服务,安全企业的收入主要还是依靠安全产品侧。虽然现在很多厂商想极力改变这种现状,但至少目前我国安全服务还是重产品轻服务。因此,在对于应急响应的流程中笔者加入了最后一环:事后跟踪。
事后跟踪一方面可以复盘发现在安全事件应急响应中存在的不足和问题,利于安全企业进行改进提高;另一方面有助于事后监测客户系统安全情况,更重要的是给客户一种专业、负责的感觉。同时事后跟踪可以增强企业与客户的粘性,帮助客户明确企业在安全体系建设中的缺陷,利于帮助客户企业提高安全运营体系建设,降低、甚至杜绝此类安全事件再次发生的可能。
相关文章:
应急响应流程及思路
应急响应流程及思路 一:前言 对于还没有在项目中真正接触、参与过应急响应的同学来说,“应急响应”这四个字见的最多的就是建筑工地上的横幅 —— 人人懂应急,人人会响应。这里的应急响应和我们网络安全中的应急响应有着某种本质的相似&…...
网页自适应
自适应 那就要最好提前商量好 是全局自适应 或者是 局部自适应 一般网站页面纵向滚动条都是无法避免的 都是做横向适配也就是宽度 那就不能写死宽度像素 局部自适应 一般对父元素设置百分比就行 里面的子元素就设置固定像素、 比如一些登录 全局自适应 也就是要对每个元素…...
什么是Sui Kiosk,它可以做什么,如何赋能创作者?
创作者和IP持有者需要一些工具帮助他们在区块链上实现其商业模式。Sui Kiosk作为Sui上的一种原语可以满足这种需求,为创作者提供动态选项,使他们能够在任何交易场景中设置完成交易的条件。 本文将向您介绍为什么要在SuiFrens中使用Sui Kiosk,…...
【MySQL】mysql connect
目录 一、准备工作 1、创建mysql用户 2、删除用户 3、修改用户密码 3.1、自己改自己密码 3.2、root用户修改指定用户的密码 4、数据库的权限 4.1、给用户授权 4.2、回收权限 二、连接mysql client 1、安装mysql客户端库 2、验证是否引入成功 三、 mysql接口 1、初…...
基于 vue2 发布 npm包
背景:组件化开发需要,走了一遍发布npm包的过程,采用很简单的模式实现包的发布流程,记录如下。 项目参考:基于vue的时间播放器组件,并发布到npm_timeplay.js_xmy_wh的博客-CSDN博客 1、项目初始化 首先&a…...
基于Axios完成前后端分离项目数据交互
一、安装Axios npm i axios -S 封装一个请求工具:request.js import axios from axios// 创建可一个新的axios对象 const request axios.create({baseURL: http://localhost:9090, // 后端的接口地址 ip:porttimeout: 30000 })// request 拦截器 // 可以自请求…...
时序预测 | MATLAB实现基于PSO-BiLSTM、BiLSTM时间序列预测对比
时序预测 | MATLAB实现基于PSO-BiLSTM、BiLSTM时间序列预测对比 目录 时序预测 | MATLAB实现基于PSO-BiLSTM、BiLSTM时间序列预测对比效果一览基本描述程序设计参考资料 效果一览 基本描述 MATLAB实现基于PSO-BiLSTM、BiLSTM时间序列预测对比。 1.Matlab实现PSO-BiLSTM和BiLSTM…...
C# 生成唯一ID
1.首先通过nuget安装yitter.idgenerator 下面的三行代码搞定...
python怎么提取视频中的音频
目录 操作步骤 1. 安装MoviePy库: 2. 导入MoviePy库和所需的模块: 3. 提取音频: 可能遇到的问题 1. 编解码器支持: 2. 依赖项安装: 3. 文件路径问题: 4. 内存消耗: 5. 输出文件大小&a…...
学习设计模式之建造者模式,但是宝可梦
前言 作者在准备秋招中,学习设计模式,做点小笔记,用宝可梦为场景举例,有错误欢迎指出。 建造者模式 建造者模式是一种创建型模式,主要针对于某一个类有特别繁杂的属性,并且这些属性中有部分不是必须的。…...
数学建模:变异系数法
🔆 文章首发于我的个人博客:欢迎大佬们来逛逛 变异系数法 变异系数法的设计原理是: 若某项指标的数值差异较大,能明确区分开各被评价对象,说明该指标的分辨信息丰富,因而应给该指标以较大的权重…...
paddle.load与pandas.read_pickle的速度对比(分别在有gpu 何无gpu 对比)
有GPU 平台 测试通用代码 import time import paddle import pandas as pd# 测试paddle.load start_time time.time() paddle_data paddle.load(long_attention_model) end_time time.time() print(f"Paddle load time: {end_time - start_time} seconds")# 测试…...
探讨uniapp的路由与页面栈及参数传递问题
1首先引入页面栈 框架以栈的形式管理当前所有页面, 当发生路由切换的时候,页面栈的表现如下: 页面的路由操作无非:初始化、打开新页面、页面重定向、页面返回、tab切换、重加载。 2页面路由 uni-app 有两种页面路由跳转方式&am…...
字节一面:你能讲一下跨域吗
前言 最近博主在字节面试中遇到这样一个面试题,这个问题也是前端面试的高频问题,作为一名前端开发工程师,我们日常开发中与后端联调时一定会遇到跨域的问题,只有处理好了跨域才能够与后端交互完成需求,所以深入学习跨域…...
leetcode 563.二叉树的坡度
⭐️ 题目描述 🌟 leetcode链接:https://leetcode.cn/problems/binary-tree-tilt/description/ 代码: class Solution { public:int childFind(TreeNode* root , int& sumTile) {if (root nullptr) {return 0; // 空树坡度为0}int l…...
【第1章 数据结构概述】
目录 一. 基本概念 1. 数据、数据元素、数据对象 2. 数据结构 二. 数据结构的分类 1. 数据的逻辑结构可分为两大类:a. 线性结构;b. 非线性结构 2. 数据的存储结构取决于四种基本的存储方法:顺序存储、链接存储、索引存储、散列存储 3. …...
【附安装包】MyEclipse2019安装教程
软件下载 软件:MyEclipse版本:2019语言:简体中文大小:1.86G安装环境:Win11/Win10/Win8/Win7硬件要求:CPU2.5GHz 内存4G(或更高)下载通道①百度网盘丨下载链接:https://pan.baidu.co…...
poi-tl设置图片(通过word模板替换关键字,然后转pdf文件并下载)
选中图片右击 选择设置图片格式 例如word模板 maven依赖 <!-- java 读取word文件里面的加颜色的字体 转pdf 使用 --><dependency><groupId> e-iceblue </groupId><artifactId>spire.doc.free</artifactId><version>3.9.0</ver…...
[element-ui] el-tree 懒加载load
懒加载:点击节点时才进行该层数据的获取。 注意:使用了懒加载之后,一般情况下就可以不用绑定:data。 <el-tree :props"props" :load"loadNode" lazy></el-tree>懒加载—由于在点击节点时才进行该层数据的获取…...
【C++】使用 nlohmann 解析 json 文件
引言 nlohman json GitHub - nlohmann/json: JSON for Modern C 是一个为现代C(C11)设计的JSON解析库,主要特点是 易于集成,仅需一个头文件,无需安装依赖 易于使用,可以和STL无缝对接,使用体验…...
铭豹扩展坞 USB转网口 突然无法识别解决方法
当 USB 转网口扩展坞在一台笔记本上无法识别,但在其他电脑上正常工作时,问题通常出在笔记本自身或其与扩展坞的兼容性上。以下是系统化的定位思路和排查步骤,帮助你快速找到故障原因: 背景: 一个M-pard(铭豹)扩展坞的网卡突然无法识别了,扩展出来的三个USB接口正常。…...
linux 错误码总结
1,错误码的概念与作用 在Linux系统中,错误码是系统调用或库函数在执行失败时返回的特定数值,用于指示具体的错误类型。这些错误码通过全局变量errno来存储和传递,errno由操作系统维护,保存最近一次发生的错误信息。值得注意的是,errno的值在每次系统调用或函数调用失败时…...
leetcodeSQL解题:3564. 季节性销售分析
leetcodeSQL解题:3564. 季节性销售分析 题目: 表:sales ---------------------- | Column Name | Type | ---------------------- | sale_id | int | | product_id | int | | sale_date | date | | quantity | int | | price | decimal | -…...
Axios请求超时重发机制
Axios 超时重新请求实现方案 在 Axios 中实现超时重新请求可以通过以下几种方式: 1. 使用拦截器实现自动重试 import axios from axios;// 创建axios实例 const instance axios.create();// 设置超时时间 instance.defaults.timeout 5000;// 最大重试次数 cons…...
IP如何挑?2025年海外专线IP如何购买?
你花了时间和预算买了IP,结果IP质量不佳,项目效率低下不说,还可能带来莫名的网络问题,是不是太闹心了?尤其是在面对海外专线IP时,到底怎么才能买到适合自己的呢?所以,挑IP绝对是个技…...
uniapp手机号一键登录保姆级教程(包含前端和后端)
目录 前置条件创建uniapp项目并关联uniClound云空间开启一键登录模块并开通一键登录服务编写云函数并上传部署获取手机号流程(第一种) 前端直接调用云函数获取手机号(第三种)后台调用云函数获取手机号 错误码常见问题 前置条件 手机安装有sim卡手机开启…...
给网站添加live2d看板娘
给网站添加live2d看板娘 参考文献: stevenjoezhang/live2d-widget: 把萌萌哒的看板娘抱回家 (ノ≧∇≦)ノ | Live2D widget for web platformEikanya/Live2d-model: Live2d model collectionzenghongtu/live2d-model-assets 前言 网站环境如下,文章也主…...
9-Oracle 23 ai Vector Search 特性 知识准备
很多小伙伴是不是参加了 免费认证课程(限时至2025/5/15) Oracle AI Vector Search 1Z0-184-25考试,都顺利拿到certified了没。 各行各业的AI 大模型的到来,传统的数据库中的SQL还能不能打,结构化和非结构的话数据如何和…...
DBLP数据库是什么?
DBLP(Digital Bibliography & Library Project)Computer Science Bibliography是全球著名的计算机科学出版物的开放书目数据库。DBLP所收录的期刊和会议论文质量较高,数据库文献更新速度很快,很好地反映了国际计算机科学学术研…...
在Zenodo下载文件 用到googlecolab googledrive
方法:Figshare/Zenodo上的数据/文件下载不下来?尝试利用Google Colab :https://zhuanlan.zhihu.com/p/1898503078782674027 参考: 通过Colab&谷歌云下载Figshare数据,超级实用!!࿰…...