亚洲国产精品久久人人爱,成人在线精品视频,亚洲情侣在线

應(yīng)急響應(yīng)應(yīng)當(dāng)如何正確去做？

時(shí)間：2022-08-26 訪問(wèn)量：8761

應(yīng)急響應(yīng)要討論的通用場(chǎng)景：（1）判斷事件類(lèi)型-事件類(lèi)型分為7類(lèi)：大規(guī)模淪陷、挖礦病毒、勒索病毒、無(wú)文件落地、不死（頑固）馬、釣魚(yú)應(yīng)急響應(yīng)、數(shù)據(jù)劫持。（2）保持第一現(xiàn)場(chǎng)-第一現(xiàn)場(chǎng)包含：第一發(fā)現(xiàn)人、第一情報(bào)、失陷主體/群體、主體/群體行為、失陷環(huán)境。這個(gè)“保持”是指在盡可能實(shí)現(xiàn)的情況下去保留。這個(gè)“第一”是指最先發(fā)現(xiàn)情況的人，這個(gè)人所說(shuō)的情況。這個(gè)“第一”事實(shí)的失真率越高，所以要安服和應(yīng)急人員做好配合。（3）信息收集-這一步與滲透測(cè)試的第一步信息收集無(wú)異，即使前面兩個(gè)高度失真，這一步仍可以讓整個(gè)響應(yīng)起死回生，但是這一步?jīng)]做好將會(huì)影響后續(xù)所有操作。信息收集主要是做：流量、日志、可疑進(jìn)程的內(nèi)存、失陷系統(tǒng)鏡像、惡意樣本、客戶資產(chǎn)收集、資產(chǎn)相關(guān)漏洞測(cè)試報(bào)告、防御設(shè)備的日志。

應(yīng)急響應(yīng)還要做好阻斷工作：所謂阻斷只有三步：關(guān)站、關(guān)服務(wù)、拔網(wǎng)線。（1）切斷網(wǎng)絡(luò)情況分很多種：失陷后業(yè)務(wù)仍正常運(yùn)行、失陷后業(yè)務(wù)受滯、失陷后業(yè)務(wù)停擺。不同的情況，網(wǎng)絡(luò)切斷因地制宜。切斷網(wǎng)絡(luò)的目的：觀察病毒行為、觀察流量特征、阻斷對(duì)內(nèi)通信、阻斷對(duì)外連接。（2）阻斷傳播包括：對(duì)內(nèi)傳播、對(duì)外傳播。對(duì)內(nèi)傳播：進(jìn)程注入/遷移、第三方軟件感染、服務(wù)傳播。對(duì)外傳播：挖礦行為、外聯(lián)攻擊等。（3）隔離核心資產(chǎn)/隔離受害主體：這一步是應(yīng)急響應(yīng)的最終目的，無(wú)論實(shí)施過(guò)程如何、無(wú)論使用什么工具都必須保證被保護(hù)與淪陷方的隔離。隔離核心資產(chǎn)是為了做到三個(gè)原則：保護(hù)、避害、不損害。隔離受害主體為了保護(hù)第一現(xiàn)場(chǎng)、收集攻擊者信息等。