• 应急响应的定义、范围
• 应急响应的流程
• 课程范围
• 应急响应处理表格

应急响应的定义

应急响应是一种行动，当计算机或者网络安全事件出问题了。

网络安全事件包括系统崩溃、未授权访问、dos、恶意软件执行

NIST是美国国家标准与技术研究院（National Institute of Standards and Technology）的缩写。它是美国联邦政府的一个机构，隶属于美国商务部下属的技术和工业部门。NIST的任务包括推动科学和技术创新、提高工业竞争力、促进公众安全和健康，以及支持政府的核心职能。NIST负责制定、推广和维护各种标准、度量和技术，以支持美国的科学、技术和经济发展。在信息安全领域，NIST提供了许多标准和指南，如NIST特别出名的是其《安全性和隐私性控制框架》（Security and Privacy Controls Framework）以及其他一系列指南，这些指南对组织管理信息安全方面提供了有用的指导。

SOCs团队（Security Operations Center teams）是指安全运营中心团队，负责监视、检测和响应网络安全事件和威胁。他们使用安全信息和事件管理系统（SIEM）等工具来收集、分析和解释安全事件日志和数据，以及实施相应的安全措施来保护组织的信息资产。

CSIRT团队（Computer Security Incident Response Team）是指计算机安全事件响应团队，也称为安全事件响应团队。这些团队负责处理和响应组织内部或外部发生的安全事件和攻击，以确保网络和信息系统的安全性和可用性。CSIRT团队的职责包括调查安全事件、识别受影响的系统、收集证据、应对攻击、修复漏洞和提供安全意见。他们通常与SOC团队合作，以有效地检测、分析和响应安全事件。

应急响应的范围

应急响应不仅仅包含入侵，恶意内部人员、可用性问题和知识产权丧失都属于事件处理的范畴。

应急响应的流程

作为一个应急响应人员，你的每日工作包括讨论攻击者尝试入侵系统，并且预防、检测和响应这种尝试。
你应该完全认识到攻击者的技术、战术和过程，特别是，你应该完全了解攻击者的安全kill chain全过程。

所有的应急响应指南都是帮助组织准备、防御和响应安全杀伤链的所有阶段，以及有效的应对入侵者。

4个阶段

准备
检测和分析
遏制、根除、恢复
事后活动

这四个阶段就是应急响应生命周期。

第一阶段-准备

• 员工
• 文档
• 防御方法

确定最小响应时间
事件处理人员应该拥有无限制的、随需访问系统的权限

multi-disciplinary team - 多学科团队
incident handlers - 事件处理人员
forensic analysts - 取证分析人员
malware analysts - 恶意软件分析人员
support from NOC - 网络运维中心（NOC）的支持
legal, PR depts - 法律、公关部门

建立spoc
“SPOC” 是 “Single Point of Contact” 的缩写，意为“单一联系点”。在组织或项目中，SPOC通常是指一个特定的个人或团队，负责与其他部门、团队或利益相关者沟通和协调。SPOC的作用是简化沟通流程，确保信息传递的准确性和及时性，以及统一协调决策和行动。

事件处理入门工具包
data acquisition software：数据采集软件
read-only diagnostic software：只读诊断软件
bootable Linux environment：可启动的Linux环境
HDS：硬盘驱动器（HDS缩写常用于指代硬盘）
ethernet tap：以太网监听器
cables：数据线缆
laptop：笔记本电脑

• 准备阶段的指导文档
  https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

员工

应急响应团队
IT安全训练
安全意识、社会工程学练习

文档

定义好的各种政策
预先定义好的响应程序
数据泄露/安全事件沟通计划
保持行动责任链

防御方法

安全设备

第二阶段-检测和分析

• 检测的方法
• 分享信息和知识
• 上下文感知威胁情报
• 对于你的网络的正确认识

检测和分析的要点

指定主要事件处理人员
建立信任和有效的信息共享
保障信息共享
基于你的网络建立多个层次的检测
建立基线，扩展可见性，了解你的不足

不同层次的分析

网络探针
主机感知
主机层
应用层

检测案例

网络层面的检测，需要NIDS, IPS, DMZ系统等检测设备
使用wireshark可以对网络进行分析

主机层面的探测，可以使用防火墙和HIPS系统
使用netstat -naob
可以检测网络活动

假设你要检测一个linux系统上使用22端口通信的一个恶意软件，可以使用
lsof -i :22

也可以使用 netstat -anp | grep :22

lsof扫描进程列表，所以可能会遗失隐藏进程和其他打开的sockets
netstat专注于打开的socket列表，使用-p选项，无论有没有找到有关的进程，都会输出到打开sockets

主机层面的检测，当我们在主机上温习数据，可以用A/Vs 和EDR (杀毒软件和态势感知软件)

应用层面的感知，有web应用日志，服务logs。

需要检测威胁的时候，管理员是非常重要的。在这个模块的末尾，有两个cheat sheets可以帮助管理员发现不正常的进程和服务。
文件，网络使用，计划任务，用户账户，第三方组件。

最后，在确定是安全时间之前：

• 这可能是用户疏忽吗？
• 这可能是事实吗，还是这只是一种不太可能的情况？
• 审查所有的证据
• 根据你之前的知识进行决断

你正在处理真实事件，问你自己以下危害评估问题：

• 确定漏洞利用范围
• 有没有可以受到影响的“皇冠珍宝”？
• 有效的漏洞利用的最小要求是什么？
• 是否广泛在野利用？
• 是否有缓解措施？
• 是否有威胁证据表面有传播特性？

更多的信息可以看：https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

第三阶段-遏制、根除、恢复

遏制，防止入侵地更加深入
根除，删除入侵者的工具，使用备份进行根除
恢复，保存和监控来确保没有东西躲避了探测

遏制分为短期遏制、系统备份、长期遏制。短期遏制就是使得入侵无效。 长期遏制，就是保证入侵者无法访问受害主机，被隔离在网络之外。

在处理事件之前，我们需要对事件进行分类，1. 类型 2. 影响 3. 程度

类型。例如Dos拒绝服务， 信息泄露，恶意软件，恶意邮件，外部漏洞利用，内网漏洞利用
影响。是关键系统的影响，还是非关键系统受影响。事件的影响和响应时间紧密相关。如果应急响应时间短，就能缩小事件的影响范围，反之亦然。
程度。严重程度和级别紧密相关，例如，是否要通知CISO或者更上层的管理人员？应急响应需要帮助的时候，应该有一个高级管理人员，例如CIO、CISO，这种人应该是第一个被通知的高层管理人员。

短期遏制

可以断网，隔离受害主机，切断机器的电源等等。但是需要避免修改机器的硬盘。

数据取证
机器中的内存应该首先取证，因为它比硬盘中的数据更有价值。

最有价值的设备排序如下： 注册表 > CPU缓存 > 内存 > 硬盘 > 外部存储设备

数据取证分为静态分析和动态分析。

静态分析指的是数据在系统重启后，也不会改变。这种分析通常是在硬盘上执行的。 动态分析指的是，分析进程中的数据。数据在系统重启或用户操作后，就会改变。一个使用内存的进程，有可能存有密码、信息、域名或者IP。 动态的数据，也可能存在于硬盘之中。例如，临时文件，日志文件等等。

系统的OS不能完全被信任，因为系统可能存在rootkit。

分析的方法： 第一种，从磁盘到镜像文件 第二种，从磁盘到磁盘（克隆）

第一种，从磁盘到镜像文件 顾名思义，这种方法是制作一个硬盘的镜像文件，我们叫做法医镜像“forensic image” 这种方法的优点是，可扩展性和有效性。当我们获取数据的时候，改变数据的风险是很高的。因此，要使用Write Blockers之类的软件，防止数据丢失或变更。

Write Blockers可以防止硬盘被写入数据。Write Blockers有基于硬件的，也有软件。

证据的完整性，可以使用hash函数。hash可以看作是一种指纹。 所有的计算好的hash字符串应该被妥善保管。因为这些可以证明数据没有被修改。 可以使用以下的哈希函数：

SHA-1
SHA-2
SHA-3
MD5 其中SHA-1，MD5不再安全了，因为会遭受碰撞攻击的影响。

长期遏制

和你的网络运营提供商ISP联系，特别是遇到分布式dos攻击、蠕虫、钓鱼攻击。ISP总是保留着有用的日志。 遏制的方法，首先需要取得管理员、高管的授权。 关键的系统不能简单地关机了事，因为运行着重要的商业进程或者操作。

如果高管/管理员同意关机，我们就可以来到根除阶段，把攻击者的操作影响消除。

如果受害主机不能关机，那么就应该：

系统打补丁
HIDS
修改密码
添加额外的防火墙/路由器规则
特定的源或者目的地的数据，进行丢包处理
限制攻击者的访问
长期遏制就像受伤后使用的创可贴，需要确保攻击者被拦截在外部。在遏制阶段，我们需要找到入侵的根源，识别攻击者使用的方法。

遏制阶段最重要的一个步骤，就是删除攻击者投放的恶意软件、rootkits或其他工具。并且提高防御体系，例如增加防火墙规则，打补丁，更新系统，修改复杂密码等等。

恢复阶段

在根除阶段之后，就到了恢复阶段。这个阶段就是让系统恢复生产状态。 有以下几个要点：1. 系统恢复过程 2. 恢复操作 3. 监控

系统恢复过程
一旦受影响的机器恢复了，询问组织的负责人，确保系统的运行状态是正常的，同时，询问系统的一切是否按照他们的要求运行。

恢复操作
需要决定什么时间让恢复的系统进入生产状态。

监控
多观察恢复的系统，以免后门仍然存在。

监控基于主机的入侵检测系统，和基于网络的入侵检测系统。

分析关键的日志和事件，防止再次感染和入侵。

第四阶段-事后活动

攻击者的攻击方式变得越来越复杂，应急响应的事后报告阶段绝不是无足轻重的，它同样重要。

报告不仅仅包括识别的脆弱点、疏忽和盲点，同样也要提及你在攻击的每个阶段的有效操作。

在事件结束后，需要召开一个会议，邀请系统管理员、高管、IT安全团队参加。

应急响应报告

• 事件联系列表
• 事件发现
• 事件受损名单
• 事件遏制
• 事件根除

事件联系列表，需要包含组织联系人，例如CISO, CIO，SPOC, ISP SPOC, 本地网络安全组织机构等等

事件发现，需要写，谁是第一发现人，事件的总结（类型，地点，详细信息等等）

事件受损名单，包含被入侵主机的位置，日期，受影响的系统的序列号，网络连接情况，主机名，IP地址，MAC地址。

事件遏制，需要包含系统被隔离的日期和时间，方式。系统备份的活动。

事件根除，入侵的根源找到了吗，入侵方式分析。确保攻击者不会再次入侵的操作。