应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

1.网络安全的特性

整体性:业务与利益相关

动态性:技术不断发展

开放性:没有物理边界

相对性:没有绝对的安全

2.网络应急响应:

定义:在对网络安全态势、组织的网络系统运行情况和面临安全威胁有清楚的认识下,在管理、技术和人员方面进行计划和准备,当网络安全事件突发时,能够有序应对并妥善处理,降低组织的损失,并能够改进网络安全突发事件的策略和计划

应急响应对网络安全事件所做的具体准备,如数据、工具、人力和计划方面,以及事件发生时的处置和事件后的针对分析。

3.方向分类:

红队:攻击方

蓝队:狩猎

青队: 网络安全问题初出现,能够及时响应反制保护企业安全

工作内容: 采取合适的应对策略和措施保障自身业务信息系统持续性。

3应急响应流程

1.应急响应准备

获取当前网络安全事件信息

事件发生前,做好日常运维检测,收集各类故障信息。(区别系统自身故障和人为破坏)

(区分一般事件和应急响应事件)

充分获取当前事件信息从而启动响应的预案(事件上报,确认应急响应事件类型和应急事件的等级)

通知相关人员,启用应急预案

2.启用网络安全应急响应预案

1.应急预案内容

1.1 总则

1.2组织体系和职责

1.3事件预警

1.4应急处置

1.5后期处置

1.6预防工作

1.7保障措施

1.8附则

2.应急小组划分

应急领导小组、应急预案制定小组、应急执行小组、应急保障小组、技术保障小组、支持保障小组

3.应急响应保护

1.抑制保护

应急响应事件发生,采用临时策略对目录机器进行止损。

措施:直接策略:断网,断网好处:防止删除日志和重要文件

方法:查清影响的机器和范围

进行网络隔离,关闭响应的端口

切换备份机器,保障业务正常

常规应急响应:修复系统,分析产生的原因,加固系统。

2.数据保护

2.1winows系统

1.保护物理设备(物理隔离,防止人为物理破坏机器)

事件严重的话,保护现场。

2.对内存和磁盘制作相关进行(取证数据)

磁盘镜像(Disk Image) 将存储器的完整内容和结构都保存在一个文件)

windows系统 https://getdataforensics.com/product/fex-imager/

1.进入首页,是介绍它的版本,以及支持的系统。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

点击下载windows版本。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

开始安装

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

使用管理员模式运行

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

第一种是整个硬盘备份。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

第二个是按分区模式进行备份。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

开始备份

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

备份完成。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

第二个工具:https://www.datanumen.com/disk-image/

进入首页,下载

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

然后双击,开始安装。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

进行备份。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

2.2Linux系统

lsblk 查看磁盘编号

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

开始备份sda5

sudo dd bs=512 if=/dev/sda5 | gzip -9 > image-os.gz

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

内存镜像制作

1.内存快照,病毒木马都是内存驻留,不会在硬盘留有痕迹。避免自我销毁,此时进行保留内存镜像,

利于多次分析。

Magnet RAM Capture

http://magnetfiles.com/free_tools/MagnetRAMCapture/

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

进程文件制作

procdump

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

进入首页下载

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

使用方法:

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

主要用法:procdump64.exe –ma <pid>

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

第一种用法:procdump64.exe notepad进行制作。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

第二种:找到notepad的pid值

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

使用procdump64.exe -ma 13260

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

对比之后,发现第二个保存的比较完整,值得推荐。

应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)应急响应入门篇-应急响应流程及数据保护(应急响应处理流程)

总结:本文主要从应急响应的流程,划分,应急响应各个阶段,人员划分,准备阶段及碰到应急响应的时候,如何将风险降低。还有对数据保护的一些方式。

本文由Arthur原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/260061
安全客 – 有思想的安全新媒体

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年11月16日 上午9:42
下一篇 2022年11月16日 上午9:44

相关推荐

  • PMP项目管理 – 如何获得PDU

    笔者最近在忙着如何获取PDU,什么是PDU呢?为什么要获得PDU?怎么获得PDU?笔者一一道来。 国际项目管理认证 – PMP 先介绍一下国际项目管理认证,PMP,全称…

    2022年6月3日
    277
  • 大学生科研项目一般为什么级别的(大学生的科研项目是谁给的)

    大学生的科研项目是谁给的? 对于许多大学生来说,科研项目是实现自我价值和拓展学术视野的重要途径。然而,如何获得适宜的科研项目是一个挑战。在这种情况下,大学生的科研项目是谁给的就显得…

    科研百科 2024年8月1日
    66
  • 横向科研项目及经费管理办法

    横向科研项目及经费管理办法 随着科技的不断发展,横向科研项目及经费管理也在不断更新和完善。为了更好地管理横向科研项目和经费,我们制定了一套横向科研项目及经费管理办法,以确保项目的资…

    科研百科 2024年4月9日
    180
  • 文件档案管理系统

    文件档案管理系统是计算机系统中非常重要的一部分,用于管理文件和文件夹。它可以帮助用户方便地存储、组织和访问文件,同时也提供了许多高级功能,如搜索、共享和备份。 文件档案管理系统的设…

    科研百科 2024年8月30日
    29
  • 协同办公系统操作手册(协同办公系统公司)

    协同办公系统公司:用科技提升工作效率 协同办公系统公司是一家专注于提供企业级协同办公软件的公司。他们的使命是通过技术创新和不断改进,为企业用户提供高效、便捷、安全、可靠的协同办公解…

    科研百科 2024年6月4日
    83
  • 设计行业项目管理软件

    设计行业项目管理软件 随着设计行业的不断发展,设计行业项目管理软件已经成为了设计行业中必不可少的工具。本文将介绍一款适用于设计行业的项目管理软件,以便设计师们能够更好地管理项目进度…

    科研百科 2024年8月15日
    47
  • 为什么越来越多人选择海外发稿?海外媒体发稿的优势有哪些?(海外发稿平台)

    随着社交媒体和数字化媒体的兴起,越来越多的企业和个人意识到在海外市场进行品牌推广和营销的重要性。然而,对于大多数中国企业而言,直接将产品和品牌推向海外市场,无疑面临着文化差异、语言…

    科研百科 2024年4月22日
    103
  • 项目管理需求

    项目管理需求 项目管理是指在特定的时间段内,通过计划、执行和控制资源来达成项目目标的过程。在现代商业环境中,项目管理已经成为了企业成功的关键因素之一。然而,传统的项目管理方法已经无…

    科研百科 2024年8月19日
    64
  • 信息系统项目管理师–第5章信息系统工程(信息系统项目概述)

    信息系统项目管理师(第四版)第5 章信息系统工程本章考情分析根据考试大纲,本章知识点会涉及综合知识、案例分析,综合知识占3-5 分左右。 本章主要学习信息系统工程内容,本章内容大部…

    科研百科 2024年4月24日
    101
  • 黑心奸商?装系统收费1000,还高价卖淘汰服务器!(装系统收费多少)

    导读: 不知道从什么时候开始“无商不奸”,深入大家的思维理念。那么我要描述的事情:装个操作系统收费高达千元,顺带高价出售淘汰服务器一台,这是不是一个黑心奸商? 事情从上一篇讲述“D…

    科研百科 2024年8月7日
    53