@局外人
2年前 提问
1个回答

应急响应服务的内容

007bug
2年前

应急响应服务内容包括以下这些:

  • 找到问题点:并在短时间内判断此次事件是否与安全有关。在发现故障后快速定位问题点考验的是运维团队和安全团队的综合协调能力。

  • 快速恢复业务:这个阶段重点是准确,应急预案的选择和执行是否有效是关键。

  • 进行全面排查,消除隐患:入侵者一般都会给自己留条后路,一个入侵点被封堵后不至于毫无办法。需要应急团队能够找出共性的特征(如:后门文件、反连域名等),然后进行细致筛查,没有应急团队的可以要求厂商协助处置。

  • 控制事件蔓延:采取有效的措施防止事件的进一步扩大,尽可能减少负面影响。

  • 遏制效应:采取常规的技术手段处理应急事件,尝试快速修复系统,消除应急事件带来的影响。

  • 遏制监测:确认当前的抑制手段是否有效,分析应急事件发生的原因,为根除阶段提供解决方案。

  • 启动应急预案:协调各应急响应小组人员到位,根据应急场景启动相关预案;

  • 根除监测:根据应急预案的执行情况确认处置是否有效,尝试恢复信息系统的正常运行;

  • 持续监测:当应急处置成功后对应急事件持续监测,确认应急事件已根除,检查信息系统运行是否恢复到正常状况;

  • 情报获取:在情报收集这一块,可以跟各家安全厂商沟通,希望能免费帮忙提供威胁情报支持,当然在资金充足的情况下,也可以采用付费订阅的方式每周或每天发送至工作邮箱。

  • 情报分析:可以根据漏洞利用的难易程度,受影响范围,还有网上是否已经有POC来进行区分,也就是优先级,一般我们都会选择远程代码执行,任意代码执行,exp,poc的漏洞优先进行分析,这样可以尽量快速的处理,毕竟每个企业的安全人员都是非常少的。

  • 情报决策:一般我们都会将写个情报分析报告,其中会包括情报来源,情报类型,可利用情况,修复方式,受影响的资产,是否已有poc,等,从而得出一个风险级别,发送给领导决策,审阅,一般高危以上的情报,且单位也有受影响的资产,这时都会直接找领导现场沟通,待同意后再进行下一步操作,切记,邮件一定要领导审阅。

  • 情报处置:针对已筛选出的情报,领导也审阅完成,这时就根据内部的规范流程,准备好应急处置的方案,受影响的资产,反馈表等,提交流程给开发团队,对漏洞进行修复处置,这时我们也需要跟进验证漏洞的修复情况,直至修复完成。