网络安全之应急流程

近期需要弄一个网络安全应急的流程，其实对于网络安全应急并不陌生，只是在一些特定的环境上会遇到一些难以解决的问题或者缺少某个岗位的技术人员，因为不同运营商的应急小队也是不同的岗位，如今有着安全设备的告警和预警，遇到入侵事件也变得更加方便排查和应急！

日常业务运行中我们遇到的入侵事件以及攻击事件都是一些攻击未遂事件，直接封堵IP就可以了，这个也是最基本的操作，如果那天真的到来，怎么处理，使用什么流程！

一、流程

应急响应分为：事前、事中、检测、响应、处置
网络安全工程师在应对安全事件和威胁时，通常会采取事前、事中、检测、响应和处置等阶段，以确保系统和数据的安全。下面将对这些阶段进行更详细的解释。

1. 事前阶段：
   在事前阶段，网络安全工程师主要致力于预防安全事件和威胁的发生。这包括以下方面：

   • 安全策略和规范制定：制定安全策略、规范和最佳实践，确保所有人员了解并遵守这些规定。
   • 安全培训和意识教育：为员工提供网络安全意识培训，加强他们对安全威胁和最佳实践的了解。
   • 漏洞管理和补丁更新：定期检查系统和应用程序的漏洞，及时应用厂商提供的安全补丁以修复漏洞。
   • 访问控制和权限管理：确保合适的访问控制措施和权限分配，以限制未经授权的访问和操作。
   • 网络拓扑：IP分布、安全域的划分、能够上外网的区域、边界的访问控制等，出来一个IP就知道在哪个区域。
   • 安全设备：已有的安全防御措施，waf、IPS、TIP、soc、hids、终端管控、杀毒软件 这些防御将在应急响应过程中大大提高应急效率，节省很多宝贵时间。
   • 应急预案：应急过程是高强度、争分夺秒的事情，在这种情况下很难考虑周全，因此需要事前做预案，对各种可能情况进行冷静、理智分析，包括解决方案、操作步骤、联系人员。
   • 应急演练：确保应急预案可用，流程顺畅，因此 需要事前进行演练，查找预案的不足，及时进行更正，确保预案可行性。

2. 事中阶段：
   在事中阶段，网络安全工程师主要关注正在发生的安全事件的监测和分析，并采取措施以尽快控制事态和限制损害。

   • 入侵检测系统（IDS）和入侵预防系统（IPS）：使用这些系统实时监测网络流量，检测异常活动和攻击尝试。
   • 安全信息和事件管理（SIEM）：集中管理、分析和响应安全事件，以快速识别异常和潜在的安全威胁。
   • 实时监控和警报：持续监控系统资源和网络流量，及时响应警报，并采取措施以应对潜在的安全威胁。

3. 检测阶段：
   在这个阶段，网络安全工程师致力于识别潜在的安全事件和威胁，以便迅速做出响应。

   • 漏洞扫描和漏洞评估：定期扫描系统和应用程序，识别可能存在的漏洞和弱点，以及可能的入侵路径。
   • 网络流量分析：分析网络流量以识别异常活动、恶意行为或潜在攻击模式。

4. 响应阶段：
   在响应阶段，网络安全工程师采取措施以阻止安全事件进一步扩大，并恢复受影响系统的正常运行。

   • 应急响应计划执行：根据事前制定的应急响应计划，展开快速、协调的响应行动。
     • 封锁公网IP -> 一般是攻击者的服务端公网IP地址
     • 封域名 -> 内网dns封掉回连dns
     • 线下被感染的主机 -> 网络隔离掉被感染的主机
     • 恶意软件采样 -> 恶意文件
     • 后门账号 -> 清理后门账号
     • 横向排查 -> 此类相关问题进行横向排查，确认是否有相关问题 ,比如确认恶意木马，计算hash，在HIDS检索，确认其他机器是否存在相同文件
   • 隔离受影响系统：立即隔离受感染或受攻击的系统，防止事件扩散和进一步损害。
   • 恢复服务：尽快恢复受影响系统的正常运行，确保业务不受重大影响。

5. 处置阶段：
   处置阶段侧重于对安全事件的深入分析、修复漏洞并制定长期改进计划。

   • 事件调查和分析：彻底调查安全事件，分析攻击手法、攻击路径和受影响的系统。
   • 修复和改进：修复系统漏洞、安全缺陷，更新安全策略和规范，以防止类似事件再次发生。
   • 报告和总结：撰写详细的事件报告，总结经验教训，提出改进措施，为未来的安全保障提供建议。