互联网企业安全高级指南3.12 关于应急响应

简介:

3.12 关于应急响应


很多人认为应急响应就是SSH连上被黑的机器去查rootkit,直到今天我也基本不漏读那些思路清晰的入侵分析的paper,只不过工程师关注的跟CSO关注的还是有些不一样。10年前,我是乙方工程师时去客户机器上查后门,虽然没有犯过明显的大错误,但有时候还是很怕把系统搞垮了,毕竟人家也没备份数据,所以总归心里不踏实。如果你在SRC接到白帽子报漏洞,打开一看人已经入侵到系统了,然后就突然心里一沉,慌慌张张就要了个root账号SSH连上去了,这种状态其实很不好,搞不好反添乱,一个不小心就发生了点小意外把什么东西搞挂了,然后莫名其名自己就变成罪魁祸首了。

 

图3-6 应急响应的PDCERF模型

应急响应有一个PDCERF模型(也可以参考NIST SP800-61),如图3-6所示。简单说来就是一连串步骤。P是指Preparation(准备),之前要做各种准备工具,具体一点的比如应急工具:静态编译的ls、ifconfig、ps等总归是要事前准备好。D是指Detection(诊断),初步诊断发生了什么类型的问题,以助于后续工作展开,同样是大规模流量,L4 DDoS,CC还是蠕虫爆发,对应的应急手段不一样。C是指Containment(抑制),这是被大多数人忽略的一步,首先应该是抑制受害范围,隔离使受害面不继续扩大,再追求根治,而不是一边任其蔓延,一边去查后门,到头来你查完这台机器,入侵者在这时间档里又搞到了另外两台,然后你就干瞪眼吧。这跟ITIL的思路是一样的,问题发生时首先是用事件管理以平息事件,恢复SLA为目标,至于到底是什么原因可以先放一放,等恢复服务了,再用问题管理来解决根因的事情。接下来就是大多数人最熟悉的那一步,E是指Eradication(根除),寻找根因,封堵攻击源。R是指Recovery(恢复),把业务恢复至正常水平。最后,F是指follow-up(跟踪),监控有无异常,报告,管理环节的自省和改进措施,现在俗称安全运营的持续改进环节。

ITSM的思路贯穿于企业安全建设的方方面面,了解攻防技术只是说你具备了参与企业安全建设的技术理论基础,但并不代表你具备了企业安全建设的正确方法。之前说到抑制的环节,首先要了解业务、数据流、各服务接口调用关系,这些都是日常的积累,否则随便一个隔离又把什么服务搞挂了。反过来倒推,如果安全团队平时连个数据流图都没有的,发现单点出现问题症状时大致的系统间影响和潜在的最大受害范围都估计不出来的,那安全建设即便是救火也肯定是一团糟啦。

相关文章
|
7月前
|
存储 监控 安全
企业如何建立网络事件应急响应团队?
建立企业网络事件应急响应团队是应对勒索软件等威胁的关键。团队的迅速、高效行动能减轻攻击影响。首先,企业需决定是外包服务还是自建团队。外包通常更经济,适合多数公司,但大型或有复杂IT环境的企业可能选择内部团队。团队包括应急响应小组和技术支持监控团队,前者专注于安全事件处理,后者负责日常IT运维和安全监控。团队应包括安全分析工程师、IT工程师、恶意软件分析师、项目经理、公关和法律顾问等角色。此外,选择合适的工具(如SIEM、SOAR、XDR),制定行动手册、合规政策,创建报告模板,并进行定期训练和演练以确保团队的有效性。外包时,理解团队构成和运作方式依然重要。
143 1
互联网应急响应中心
http://www.cert.org.cn/publish/main/46/index.html
672 0
|
运维 Prometheus 监控
ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
本文主要介绍了ARMS 助力极氪提效服务应急响应,重点介绍整体方案中围绕“告警、接手”两项落地的“以事件为中心的告警全生命周期管理”解决方案。
443 14
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
1037 0
信息安全-应急响应-阿里云安全应急响应服务
|
云安全 监控 安全
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践(1)
企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件:木马程序。”就不高速运转的脑神经,突然一阵抽搐……
3650 0
|
存储 监控 安全
安全应急响应的一些经验总结
本文讲的是安全应急响应的一些经验总结,在2016年,我尽可能的参与到了事件响应的工作中,并且我还花费了超过300小时的时间去作为今年很多安全事件或者数据泄露事件的顾问。这些工作中包括我目前正在进行的工作,协调事件受害者与事件响应人员的关系。
2379 0
|
安全 黑灰产治理
有重奖!阿里安全应急响应中心“2018 专项情报收集计划”
我们发布《2018专项情报收集计划》,相关情报我们有更强的意愿接收及给出更好的奖励,并根据提交情况在年末为卓越情报专家颁发“年度情报之星”荣誉。
2565 0
|
安全
安全应急响应工作中易犯的5大错误
本文讲的是安全应急响应工作中易犯的5大错误,转行或开启一份新工作的最大挑战之一,不是了解该做什么,而是学会不能做什么。
1268 0