應急響應入門篇-應急響應流程及數據保護
責編:gltian |2021-12-02 15:04:191.網絡安全的特性
整體性:業務與利益相關
動態性:技術不斷發展
開放性:沒有物理邊界
相對性:沒有絕對的安全
2.網絡應急響應:
定義:在對網絡安全態勢、組織的網絡系統運行情況和面臨安全威脅有清楚的認識下,在管理、技術和人員方面進行計劃和準備,當網絡安全事件突發時,能夠有序應對并妥善處理,降低組織的損失,并能夠改進網絡安全突發事件的策略和計劃
應急響應對網絡安全事件所做的具體準備,如數據、工具、人力和計劃方面,以及事件發生時的處置和事件后的針對分析。
3.方向分類:
紅隊:攻擊方
藍隊:狩獵
青隊: 網絡安全問題初出現,能夠及時響應反制保護企業安全
工作內容: 采取合適的應對策略和措施保障自身業務信息系統持續性。
3應急響應流程
獲取當前網絡安全事件信息
事件發生前,做好日常運維檢測,收集各類故障信息。(區別系統自身故障和人為破壞)
(區分一般事件和應急響應事件)
充分獲取當前事件信息從而啟動響應的預案(事件上報,確認應急響應事件類型和應急事件的等級)
通知相關人員,啟用應急預案
1.應急預案內容
1.1 總則
1.2組織體系和職責
1.3事件預警
1.4應急處置
1.5后期處置
1.6預防工作
1.7保障措施
1.8附則
2.應急小組劃分
應急領導小組、應急預案制定小組、應急執行小組、應急保障小組、技術保障小組、支持保障小組
應急響應事件發生,采用臨時策略對目錄機器進行止損。
措施:直接策略:斷網,斷網好處:防止刪除日志和重要文件
方法:查清影響的機器和范圍
進行網絡隔離,關閉響應的端口
切換備份機器,保障業務正常
常規應急響應:修復系統,分析產生的原因,加固系統。
1.保護物理設備(物理隔離,防止人為物理破壞機器)
事件嚴重的話,保護現場。
2.對內存和磁盤制作相關進行(取證數據)
(磁盤鏡像(Disk Image) 將存儲器的完整內容和結構都保存在一個文件)
windows系統?https://getdataforensics.com/product/fex-imager/
1.進入首頁,是介紹它的版本,以及支持的系統。
點擊下載windows版本。
開始安裝
使用管理員模式運行
第一種是整個硬盤備份。
第二個是按分區模式進行備份。
開始備份
備份完成。
第二個工具:https://www.datanumen.com/disk-image/
進入首頁,下載
然后雙擊,開始安裝。
進行備份。
lsblk 查看磁盤編號
開始備份sda5
sudo dd bs=512 if=/dev/sda5 | gzip -9 > image-os.gz
內存鏡像制作
1.內存快照,病毒木馬都是內存駐留,不會在硬盤留有痕跡。避免自我銷毀,此時進行保留內存鏡像,
利于多次分析。
Magnet RAM Capture
http://magnetfiles.com/free_tools/MagnetRAMCapture/
進程文件制作
procdump
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
進入首頁下載
使用方法:
主要用法:procdump64.exe –ma <pid>
第一種用法:procdump64.exe + notepad進行制作。
第二種:找到notepad的pid值
使用procdump64.exe -ma 13260
對比之后,發現第二個保存的比較完整,值得推薦。
總結:本文主要從應急響應的流程,劃分,應急響應各個階段,人員劃分,準備階段及碰到應急響應的時候,如何將風險降低。還有對數據保護的一些方式。
轉載自安全客:https://www.anquanke.com/post/id/260061
下一篇:谷歌云平臺工作負載攻擊方法分析