應急響應是既緊急又重要的工作���,對工程師的技術與意識都有一定的要求�,比如很多安全工程師接到業務系統被黑的情報后����,可能會聯系業務負責人要到服務器賬戶�����,然后登錄到服務器中檢查被滲透的痕跡與后門���。這段時間非常寶貴����,反映太慢可能會使一些本來可以快速平息的安全小事件發酵成造成重大的損失安全事故��。對于應急響應����,首先要了解應急響應的指導原則與方法論�,只關注技術的話,可能會本末倒置��。其次要求應急人員有較高的入侵檢測能力�,否則在排查被入侵的系統時,上去查了半天啥也發現不了�����,最后給出的結論是安全的�。
應急響應的準備階段:有條件的話,自上而下達成應急響應共識��,建立應急響應流程與應急響應小組�,由應急小組全權負責對緊急安全事件的處理、資源協調工作���,應急小組的成員除了技術負責人外,還要有公關負責人����,方便在必要的時候,根據安全團隊的建議對外進行公關����。 對于沒有條件建立應急響應流程的安全部門來說���,最基本的要做好以下準備: 至少要有入侵檢測的能力及具備相應技能的應急響應人員�����,否則登錄上去也查不出啥�����,甚至給出錯誤的結論,最好能準備一套有效的入侵檢測工具����; 維護一份各業務系統的資產列表���,應急聯系人列表���,否則出事了后�����,安全工程師自下而上找一圈也找不到相應的負責人配合處理,會錯過最佳處理時機���。
應急響應準備的工作內容主要有2個:一是對信息系統進行初始化的快照;二是準備應急響應工具包��。在檢測的時候將保存的快照與信息系統當前狀態進行對比���,是發現安全事件的一種重要途徑�。除對比系統初始化快照外�,安全事件檢測手段還包括部署入侵檢測設備、流量監控和防病毒系統集中監控等。在恢復階段��,恢復方式包含2種:一是在應急處理方案中列明所有系統變化的情況下��,直接刪除并恢復所有變化��;二是在應急處理方案中未列明所有系統變化的情況下,重裝系統����。跟進階段的目的是通過對系統的審計(進行完整的檢測流程)���,確認系統有沒有被再入侵����。
