应急响应工作流程是什么?老男孩网络安全培训
老男孩IT教育
行业新闻
2020年12月15日 16:32
网络安全应急响应工作流程是什么?网络安全工作中,应急响应工作是重要的一项。随着互联网技术的发展,网络安全工作越来越终要。企业对于网络安全工程师的需求逐渐在增加。学习网络安全的人们也越来越多了。但是对于应急响应的工作流程,有很多小伙伴并不太熟悉,我们就一起来看下吧。
网络安全应急响应工作流程是什么?网络安全工作中,应急响应工作是重要的一项。随着互联网技术的发展,网络安全工作越来越终要。企业对于网络安全工程师的需求逐渐在增加。学习网络安全的人们也越来越多了。但是对于应急响应的工作流程,有很多小伙伴并不太熟悉,我们就一起来看下吧。
应急响应工作流程是怎样的?
01.筹备工作
在这一阶段,预防是主要的一步,在事件真正发生之前就做好了应急准备。它主要包括以下内容:
制定应急工作流程的文件计划,并建立一套基于威胁态势的合理防御措施;
发展预警和警报的模式和流程,并建立一套尽可能有效的事件处理程序。
建立备份系统和程序,根据相关网络安全策略配置安全设备和软件;
建立支持事件反应活动的基础设施,获得处理问题所需的资源和人员,进行相关的安全培训,并进行应急事件处理的预演方案。
02.事件检测阶段
识别和检测各种网络安全紧急情况。一旦入侵检测机制或另一个受信任的站点警告到达入侵,就有必要确定系统和数据被入侵的程度。入侵响应需要管理层批准,决定是否关闭受损的系统和是否继续运行,以及是否继续收集入侵者活动的数据。通报信息的数据和类型,通知什么人。主要包括以下几种处理方法:
布置入侵检测设备和全球预警系统以确定网络异常
预测事件的范围和影响的严重程度,以确定启动相应应急措施的计划
事件的风险危害大小,涉及多少网络,有多少主机受到影响,情况危急程度;
确定事件的责任人,指定一名负责人全面处理此事并提供必要的资源
攻击者攻击的漏洞范围有多广,以便通过汇总确定是否在整个网络上发生了大规模入侵
典型的事故现象包括:
(1)帐户号码被盗
(2)干扰垃圾信息
(3)业务服务功能失效;
(4)业务内容明显被篡改。
(5)系统崩溃,资源不足。
03.抑制处置
入侵检测系统检测到安全事件发生后,抑制目的是限制攻击的范围,限制潜在的损失和破坏,在事件被抑制后,找出事件的根源,彻底消除事件;然后启动系统恢复,将所有被侵害的系统、应用程序、数据库等恢复到它们正常的任务状态。
收集与入侵有关的所有信息,收集和保护证据,确保安全获取和保存证据
确定将系统恢复到正常状态的需求和时间表,从受信任的备份媒体恢复用户数据和应用程序服务。
抑制的方式可能有多种,包括:
(1)关掉已受害系统;
(2)断开网络;
(3)修改防火墙或路由器的过滤规则;
(4)封锁或删除已损坏的登录账号;
(5)关闭可被攻击利用的服务功能。
04.根除阶段
通过对恶意代码或恶意行为的分析,找出事件的来源,彻底清除相应的补救措施,准确定位攻击源并采取措施中断攻击,清理系统,恢复数据、程序、服务,彻底恢复所有受损系统和网络设备的正常工作状态。
总之,信息安全应急响应系统应从以上几个方面更加完善,统一和规范事件报告格式,建立及时、准确的安全事件报告系统,在分类的基础上进一步研究各种安全事件的应对对策,从而建立应急决策专家系统,建立网络安全事件数据库,对应急处置过程具有重要意义。
事件的确认只是一个初步的事件分析过程。事件分析的目的是找出问题的根源。在事件分析的过程中,主要有两种方式:主动和被动。
主动方式:是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察攻击方所采用的攻击方法。
被动模式:根据系统的异常现象,找出问题的根源。被动方式会综合用到以下的多种方法。
(1)系统异常行为分析:在维护系统白板及其环境特性的基础上,通过与正常情况的比较,找出攻击者的活动轨迹和攻击者在系统中植入的攻击代码。
(2)日志审计:日志审计通过检查系统及其环境的日志信息和告警信息来分析攻击者是否有违规行为。
(3)入侵监测:对于正在进行的攻击行为,入侵监测可以通过捕获和检测系统内外的数据流来帮助定位事件分析过程中的攻击类型,并利用入侵监控工具带来的攻击特征数据库。
(4)安全风险评估:无论是网络攻击还是病毒感染,系统中的漏洞都可能对系统造成损害。
05.恢复阶段
让系统恢复到受损前的正常运行环境。恢复阶段的主要任务是将损坏的信息完全恢复到正常运行状态。确定恢复系统正常的要求和时间表,从可信备份媒体、开放系统和应用服务恢复用户数据,恢复系统网络连接,验证恢复系统,观察其他可能表明入侵者再次入侵的扫描、检测和其他信号。
06.跟进阶段
跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵.根据入侵的严重程度和影响,决定是否进行新的风险分析,并制定新的系统和网络资产清查清单,如有必要参与调查和起诉。这一阶段的工作在筹备阶段起着重要的支撑作用。
跟踪阶段的工作主要包括3个方面的内容。
(1)形成事件处理的最终报告。
(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程。
(3) 对应急人员在事件处理中的缺陷进行评估,促进事后有针对性的培训
以上便是对于“应急响应工作流程是什么”的相关介绍。做网络安全工程师要学习的技能有很多,应急响应工作流程只是其中之一。更多网络安全技能,推荐关注老男孩教育网络安全培训课程。全程面授理论加实战教学,帮助更多学习者掌握网络安全技巧。更多网络安全视频,点击链接进入老男孩网络安全自学视频,开始学习之旅。