安全事件响应
NIST IR 阶段
| 阶段 | 关键活动 |
|---|---|
| 1. 准备 | IR 计划、运行手册、工具、团队角色、联系名单、培训 |
| 2. 检测与分析 | 告警分级、范围评估、严重性分类、时间线 |
| 3. 遏制 | 短期(隔离)、长期(补丁/封锁)、证据保全 |
| 4. 根除 | 清除恶意软件/后门、修补漏洞、加固系统 |
| 5. 恢复 | 从干净备份恢复、密切监控、逐步回归生产 |
| 6. 事后总结 | 根本原因分析、时间线记录、经验教训、流程更新 |
严重性分类
| 严重性 | 定义 | 响应时间 |
|---|---|---|
| P1 — 严重 | 活跃入侵、数据外泄、勒索软件、系统宕机 | 立即(7×24) |
| P2 — 高危 | 已确认沦陷、服务降级、可疑管理员访问 | 1 小时 |
| P3 — 中危 | 检测到恶意软件、未授权访问尝试、策略违规 | 4 小时 |
| P4 — 低危 | 钓鱼尝试、检测到漏洞扫描、轻微异常 | 24 小时 |
遏制清单
- 将受影响系统从网络隔离(不要关机——保留取证证据)
- 在防火墙和 DNS 层面封锁攻击者 IP/域名
- 立即禁用被攻破的账号
- 撤销被攻破的 API 密钥、令牌、证书
- 在修改前捕获内存转储和磁盘镜像
- 保全日志(轮转到安全存储)
- 通知法务、合规和管理层
- 评估是否需要法律要求的泄露通知(GDPR 等)
证据收集
- 系统日志(认证、应用、操作系统事件)
- 网络抓包(pcap 文件)
- 内存转储(用 volatility 分析)
- 事件发生时的进程列表和运行中的服务
- 开放的网络连接列表
- 文件系统时间线(最近修改的文件)
- DNS 查询日志
- 相关的浏览器历史和邮件日志