网络攻防学习笔记 Day62

机构、企业网络安全应急响应应具备以下能力：

1）数据采集、存储和检索能力

1. 能对全流量数据协议进行还原；

2. 能对还原的数据进行存储；

3. 能对存储的数据快速检索。

2）事件发现能力

1. 能发现高级可持续威胁（Advanced Persistent Threat，APT）攻击；

2. 能发现 Web 攻击；

3. 能发现数据泄露；

4. 能发现失陷主机；

5. 能发现弱密码及企业通用密码；

6. 能发现主机异常行为。

3）事件分析能力

1. 能进行多维度关联分析；

2. 能还原完整杀伤链；

3. 能结合具体业务进行深度分析。

4）事件研判能力

1. 能确定攻击者的动机及目的；

2. 能确定事件的影响面及影响范围；

3. 能确定攻击者的手法。

5）事件处置能力

1. 能在第一时间恢复业务正常运行；

2. 能对发现的病毒、木马进行处置；

3. 能对攻击者所利用的漏洞进行修复；

4. 能对问题机器进行安全加固。

6）攻击溯源能力

1. 具备安全大数据能力；

2. 能根据已有线索（IP 地址、样本等）对攻击者的攻击路径、攻击手法及背后组织进行还原。

PDCERF 方法最早于 1987 年提出，该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的，明确响应顺序和过程。

PDCERF 方法不是安全事件应急响应的唯一方法。在实际应急响应过程中，不一定严格存在这 6 个阶段，也不一定严格按照这 6 个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。

常见网络安全应急响应场景有勒索病毒、挖矿木马、Webshell、网页篡改、DDoS 攻击、数据泄露、流量劫持。

对主机进行排查，一般会从系统排查、进程排查、服务排查、文件痕迹排查、日志分析等方面进行，整合相关信息，进行关联推理，最后给出事件结论。