前几天跟一朋友聊到了应急响应,一些个人理解跟大家唠一唠~
0X01 什么是应急响应
“应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
简单说就是,应对事件前、中、后的措施。
0X02 方法论
其实针对上述这些早在1987年就有人提出了PDCERF方法,即:
准备(Preparation)
检测(Detection)
抑制(Containment)
根除(Eradication)
恢复(Recovery)
跟踪(Follow-up)
<mark style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box; overflow-wrap: break-word !important;">六个阶段的工作,如下:</mark>
准备阶段:
- 分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库
检测阶段:
- 日常运维监控、事件判断、事件上报
遏制阶段:
- 控制事件蔓延、遏制效应、遏制监测
根除&恢复阶段:
- 启动应急预案、根除监测、持续监测
跟踪阶段:
- 应急响应报告、应急事件调查、应急响应总结
0X03 个人拙见
当然,除了上边提到的之外也有大佬针对应急响应做了实战性的笔记梳理,针对不同系统、不同场景、多维度,都有很详细的描述,怎么排查、有什么工具、工具怎么用等等。可以说互联网上针对应急响应相关的资料、案例、操作流程,已经琳琅满目,而且也都特别实用,所以我今天想聊的其实是回归根本,我们为什么做应急响应?怎么做?
<mark style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box; overflow-wrap: break-word !important;">为什么做应急响应?怎么做?</mark>
因为受攻击了。检查账号安全、历史命令、异常端口、异常进程、计时任务...
受攻击->应急,这个逻辑没错。但我理解做应急响应的真正意义是止损、除根、优化。
止损, 定位问题、解决问题、溯源。除根, 以点带面、整改同类问题。优化, 发现手段、监控策略、应急处置流程。
在之前我每次应急事件都是按照检查账号安全、历史命令、异常端口、异常进程、计时任务...这个流程去做,做完写报告走人,俗称"救火队长"。
但是后来思考它背后的逻辑,发现其实不同的场景应急关注点、优先级是不一样的。
结合止损、除根、优化三个点,分析不同场景:
-
挖矿事件,对业务、对终端的危害其实就是占用服务器资源,但并不会有直接损失,所以侧重的其实是
<mark style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box; overflow-wrap: break-word !important;">如何除根</mark>
,因此我们需要花时间去排查源头,分析病毒是怎么进来的、是否还在传播。
-
DDOS事件,与挖矿事件相比DDOS攻击侧重的肯定就是
<mark style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box; overflow-wrap: break-word !important;">快速止损</mark>
,这类事件可以让业务直接不能正常运行,因此我们第一时间要做的就是如何让服务正常运行起来、并且
<mark style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box; overflow-wrap: break-word !important;">重中之重的是优化</mark>
,优化我们的应急处置流程等等提高止损效率。
-
入侵事件,针对黑客入侵事件
止损、除根、优化三个点都非常重要,但优先级最高的肯定是止损防止黑客横向移动造成更大危害,止损优先级虽高但是它重要吗?重要!但不是最重要。<mark style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box; overflow-wrap: break-word !important;">除根&优化最重要,除根,分析排查入侵的源头并堵住口子。优化,纵观安全建设体系分析哪个环节出了差错,为什么没发现、为什么没防御到。</mark>
应急事件夺命连环问:
怎么造成的?怎么进来的?(定位)
会不会传播?怎么传播的?(定位)
目的是什么?危害是什么?(定损)
病毒删除了?还会重启吗?(止损)
入口堵住了?真除根了吗?(止损)
会再出现吗?再来能发现?(优化)
再出现咋办?能快速处置?(优化)
ps:定位问题很重要,但不是最重要!以上就是我的一些浅薄之见,各位姑妄听之。
0X04 参考链接
https://github.com/Bypass007/Emergency-Response-Noteshttps://www.freebuf.com/articles/network/199468.htmlhttps://www.freebuf.com/articles/es/249593.html
关注并回复"0616"可领取应急响应资料哦
