為了應各種意外事件,保證將損失降到最低,事件的主題可能來自自然界、系統自身故障,組織內部或外部的人、計算機病毒或蠕蟲等
應急回應的三要素:
- 資訊系統的重要程度
- 資訊系統的損失程度
- 事件的影響
應急回應的管理六要素:
- 提供解決方案
- 對系統進行查漏補缺
- 明確司法途徑
- 明確應急的意圖
- 還原攻擊
- 保障業務的正常運行(業務至上)
應急回應流程:
- 準備
- 發現
- 分析
- 上報
- 遏制
- 根除
- 跟蹤
應急回應的幾個階段:
- 準備階段
- 分析資產的風險
- 明確資訊系統網路與系統架構
- 明確資訊系統的管理人員
- 明確資訊系統的保護要求
- 計算損失和影響
- 組建管理人員團隊
- 組建管理人員團隊
- 組建技術人員團隊
- 明確人員職責
- 建立應急回應組織人員清單
- 分析資產的風險
- 制定應急處理的操作步驟
- 制定應急處理的報告路線
- 制定資訊系統恢復的優先級順序
- 明確配合人員資訊
- 風險加固
- 根據風險建立防御/控制措施
- 安全管理及安全技術層面要同時兼顧
- 保障資源儲備
- 資訊安全應急回應專項資金
- 應急回應所需的軟硬體設備
- 社會關銑澩
- 技術支持資源庫
- 網路拓撲圖
- 資訊系統及設備安裝配置檔案
- 常見問題處理手冊
- 分析資產的風險
- 檢測階段
- 日常運維監控
- 收集各類故障資訊
- 確認資訊系統的實時運行狀況
- 資訊安全事件探測
- 事件判斷
- 確認事件給資訊系統帶來的影響
- 確認事件給資訊系統造成的損害程度
- 一般事件與應急事件的判定
- 事件上報
- 確認應急事件型別
- 確認應急事件等級
- 通知相關人員
- 啟動應急預案
- 日常運維監控
- 事件通告
- 事件通告方式
- 即時通信工具
- 視頻/電話會議
- 書面報告
- 事件通告方式
- 事件等級判定
- 一般事件
- 較大事件
- 重大事件
- 特別重大事件
- 事件型別
- 惡意程式類
- 計算機病毒事件
- 特伊洛木馬事件
- 勒索軟體
- 蠕蟲事件
- 僵尸網路程式
- 挖礦程式
- 網路攻擊事件類
- 拒絕服務攻擊事件
- 漏洞攻擊事件
- 網路釣魚事件
- 后門攻擊事件
- 網路掃描竊聽事件
- 干擾事件
- web攻擊事件類
- webshell
- 網頁掛馬事件
- 網頁篡改事件
- 網頁暗鏈事件
- 業務安全事件類
- 支付漏洞事件
- 資料泄露事件
- 權限泄露事件
- 惡意程式類
- 遏制階段
- 控制事件蔓延
- 采取有效的措施防止事件的進一步擴大
- 盡可能減少負面影響
- 遏制效應
- 采取常規的技術手段處理應急事件
- 嘗試快速修復系統,清除應急事件帶來的影響
- 遏制檢測
- 確認當前的抑制手段是否有效
- 分析應急事件發生的原因,為根除階段提供解決方案
- 遏制方式
- 針對受害資產所確定的范圍進行隔離,包括網路隔離,關機,關閉服務
- 持續監控網路及系統活動,記錄例外流量的IP,域名,埠
- 停止或者洗掉不正常賬號,隱藏賬號,更改高強度口令
- 掛起或關閉未授權的,可疑的應用程式或行程
- 關閉不必要的,未知的和非法的服務
- 關閉相應的共享
- 洗掉系統各個用戶下未授權的自啟動程式
- 使用反病毒軟體或者其他的安全工具掃描,檢查,清除病毒,木馬,蠕蟲,后門等可疑檔案
- 設定陷阱,如部署蜜罐,或者反攻攻擊者的系統
- 控制事件蔓延
- 根除恢復階段
- 啟動應急預案
- 協調各應急小組人員到位
- 根據應急場景啟動相關預案
- 根除檢測
- 根據應急預案的執行情況,確認處置是否有效
- 嘗試恢復資訊系統的正常運行
- 持續檢測
- 當應急處置成功后對應急事件持續檢測
- 確認應急事件已根除
- 資訊系統運行恢復到正常狀況
- 啟動應急預案
- 跟蹤階段
- 應急回應報告
- 由應急回應實施小組報告應急事件的處置情況
- 由應急回應領導小組下達應急回應結束的指令
- 應急事件調查
- 對應急事件發生的原因進行調查
- 評估應急事件對資訊系統造成的損失
- 評估應急事件對單位,組織帶來的影響
- 應急回應總結
- 對存在的風險點進行加固和整改
- 評價應急預案的執行情況和后續改進計劃
- 對應急回應組織成員進行評價,表彰優秀者
- 應急回應報告
- 涉及到的相關技術
- 網路安全事件檢測技術
- Unix系統檢測技術
- 資料庫系統檢測系統
- 常見的應用系統檢測技術
- 攻擊追蹤技術
- Windows系統檢測技術
- 入侵檢測技術
- 現場取樣技術(wireshark)
- 例外行為分析技術
- 安全風險評估技術
- 攻擊隔離技術
- 系統安全加固技術
應急回應預案
- 確定風險場景
- 描述可能收到的業務影響
- 描述使用的預防性策略
- 描述應急回應策略
- 識別和排列關鍵應用系統
- 行動計劃
- 團隊和人員的職責
- 聯絡清單
- 所需資源配置
本文來自博客園,作者:田家少閑月-,轉載請注明原文鏈接:https://www.cnblogs.com/zhaoyunxiang/p/16649050.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/509676.html
標籤:其他