根据应急响应的pdcerf方法,我们分为六个阶段来处理,分别是准备(preparation)、检测(detection)、遏制(containment)、根除(eradication)、恢复(recovery)、跟踪(follow-up)。如下所示:
第一阶段:准备(preparation)
此阶段以预防为主。主要工作涉及识别公司的风险,建立安全政策,建立协作体系和应急制度;按照安全政策配置安全设备和软件,为应急响应与恢复准备主机。通过网络安全措施,为网络进行一些准备工作,比如扫描、风险分析、打补丁,如有条件且得到许可,建立监控设施,建立数据汇总分析的体系和能力;制订能够实现应急响应目标的策略和规程,建立信息沟通渠道和通报机制,有关法律法规的制定;创建能够使用的响应工作包;建立能够集合起来处理突发事件的csirt。
第二阶段:检测(detection)
检测事件是已经发生还是在进行中,以及事件产生的原因和性质。确定事件性质和影响的严重程度,预计采用什么样的专用资源来修复。选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件的范围。通过汇总,确定是否发生了全网的大规模事件;确定应急等级,决定启动哪一级应急方案。
第三阶段:遏制(containment)
及时采取行动遏制事件发展。初步分析,重点确定适当的遏制方法,如隔离网络,修改所有防火墙和路由器的过滤规则,删除攻击者的登录账号,关闭被利用的服务或者关闭主机等;咨询安全政策;确定进一步操作的风险,控制损失保持最小;列出若干选项,讲明各自的风险,应该由服务对象来做决定。确保封锁方法对各网业务影响最小;通过协调争取各网一致行动,实施隔离;汇总数据,估算损失和隔离效果。
第四阶段:根除(eradication)应急响应等级划分
彻底解决问题隐患。分析原因和漏洞;进行安全加固;改进安全策略。加强宣传,公布危害性和解决办法,呼吁用户解决终端问题;加强检测工作,发现和清理行业与重点部门的问题。
第五阶段:恢复(recovery)
被攻击的系统由备份来恢复;做一个新的备份;对所有安全上的变更作备份;服务重新上线并持续监控。持续汇总分析,解各网的运行情况;根据各网的运行情况判断隔离措施的有效性;通过汇总分析的结果判断仍然受影响的终端的规模;发现重要用户及时通报解决;适当的时候解除封锁措施。
第六阶段:跟踪(follow-up)
关注系统恢复以后的安全状况,特别是曾经出问题的地方;建立跟踪文档,规范记录跟踪结果;对响
应效果给出评估;对进入司法程序的事件,进行进一步的调查,打击违法犯罪活
动。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论