应急响应服务程序.docx
- 文档编号:8257543
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:7
- 大小:53.49KB
应急响应服务程序.docx
《应急响应服务程序.docx》由会员分享,可在线阅读,更多相关《应急响应服务程序.docx(7页珍藏版)》请在冰豆网上搜索。
应急响应服务程序
文件编号:
HC-ITSS-2015-021
应急响应服务程序
xxxx科技有限公司
2015年6月
1.
服务范围
1.此服务包可以单独销售。
2.此服务包可以作为大型安全服务项目的子项。
3.此服务包也适用于已经做过其它安全服务项目之一但未购买此项服务的客户,可以给用户提供一段时间的应急响应服务。
4.在和客户签定服务协议前,应对服务的需求进行界定。
5.在与客户签署此服务协议时,应按照客户要求签署保密协议。
2.服务形式
1.本地应急响应
应急响应组在第一时间赶往用户网络系统安全事件的发生地点,在现场为用户查找事件发生原因并解决相应问题,最后出具详细的应急响应服务报告。
2.远程应急响应(备选,仅当事件并非应急时)
Ø用户通过电话、Email、传真等方式请求安全事件响应,应急响应组通过相同的方式为用户解决问题。
Ø经与用户网络相关人员确认后,用户方提供主机或设备的临时支持帐号,由应急响应组远程登陆主机进行检测、修复以及取证等服务,问题解决后出具详细的应急响应服务报告。
Ø远程系统无法登陆或无法通过远程访问的方式为用户解决问题时,经用户确认后,转到本地应急响应相关流程,同时此次远程响应无效,归于本地应急响应类型。
3.服务内容
1.预先准备与计划
2.检测与分析事件
3.控制安全威胁的影响范围
4.杜绝产生安全事件的原因,消除影响
5.修复与加固受损系统
6.监控与审查系统运行状态
7.总结报告与更新安全策略
步骤
传统方法学---PDCERF
华城楼宇改良型方法学
1
准备(Preparation)
预先准备与计划
2
检测(Detection)
检测与分析事件
3
抑制(Containment)
控制安全威胁的影响范围
4
根除(Eradication)
杜绝产生安全事件的原因,消除影响
5
恢复(Recovery)
修复与加固受损系统
6
跟踪(Follow-up)
监控与审查系统运行状态
7
总结报告与更新安全策略
4.服务目标
以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的负面影响。
5.服务流程
1.确认用户已经购买应急响应服务,询问并记录用户的具体情况,让用户保持现场,判断是否可以进行远程应急响应,确立服务的时间、地点、范围和内容。
2.在确认用户的应急响应请求后30分钟内,向项目管理组填写和提交申请。
项目管理组应在接到服务申请后1小时内给予答复,并根据客户要求安排和督促工程师完成服务内容,以及提供相关文档或其他形式的必要支持,同时通知该项目的销售负责人员。
3.对于远程应急响应无论是否解决,进行处理的当天,服务工程师必须返回响应情况的简报,直到此次响应服务的结束。
4.对于本地应急响应,由项目管理组必须提供2名以上安全服务工程师。
原则上,对本地范围内的用户,3-6小时候到达现场;对异地用户,24小时加路途时间内到达现场。
5.安全服务工程师严格按照本规范中描述的方法进行相关操作,服务完成后要求用户填写《安全服务验收单》。
并向项目管理组提交《应急响应服务报告表》和《安全服务验收单》等所有此项安全服务产生的文档。
由项目管理组通知该项目的销售负责人员。
6.如果用户做过其它安全服务之一而没有购买应急响应服务,一般可以给用户提供最多2次的应急响应服务,并向其推荐销售部门的联系人,争取其成为我们的用户。
6.
服务方法
1.预先准备与计划
Ø基于该事件可能的威胁建立一组合理的防御和控制措施方案
Ø确定处理问题必须的组织和人员
Ø启动文档记录(服务操作的每一步都必须详细记录,包括由何人收集、如何收集、何时收集以及何人进行了访问。
)
Ø建立一个支持事件响应活动的基础设施
✧独立和安全的物理环境
✧优先的网络访问通道与权限
✧充足的应急资源(各种利用工具、备份介质、监控系统等)
2.检测与分析事件
Ø迅速创建2份完整系统备份(一份用来充当日后的举报证据,一份可用来做系统恢复)
Ø初步评估:
✧确定事件是已经发生了还是在进行当中
✧根据严重程度和安全策略,判断是否需要通过让受影响的系统脱机将其隔离起来
✧估计事件的范围
Ø查找黑客踪迹
✧检查审计日志是否存在异常活动(不正常连接、安全审计失败,失败的登录尝试,非工作时间的活动)、日志不存在或日志有空缺
✧检查黑客工具(密码破解工具、特洛伊木马等等)
✧文件、目录和共享权限的更改
✧检查是否有XX的应用程序被配置为自动启动
✧检查帐户是否权限提高或有XX的组成员
✧检查是否有XX的进程
✧检查防火墙、IDS等系统日志
Ø扫描系统漏洞
Ø记录所发生的事件
Ø确认事件:
✧确定是否属于安全事件
✧确定攻击的类型、方式及严重程度
✧确定攻击来源与意图
✧识别所有受攻击的系统。
如果发现其他系统,请重新调用检测步骤
✧重新评估,如果必要,可以给事件重新指定优先级别
Ø如有必要,通知NCSIRT联络员寻求其它IT部门的技术支持与帮助
Ø如有必要,通知信息交流官员寻求其它单位组织(例如ISP接入商)的帮助
3.控制安全威胁的影响范围
Ø应急处理方案获得用户的授权
Ø与用户共同测试应急处理方案验证效果
✧拒绝服务类攻击抑制
考虑断网或修改边界网络设备访问控制的设置等
✧系统漏洞及恶意代码类攻击抑制件
考虑断网、修改边界网络设备访问控制的设置、打补丁或安装杀毒软件等
✧网络欺骗类攻击抑制
考虑断网或修改相关安全配置
✧网络窃听类攻击抑制
更换网络设备(如将HUB换成交换机)或将监听设备离线
✧数据库SQL注入类攻击抑制
修改用户口令,对输入的信息进行检查
Ø与用户共同测试应急处理方案是否影响系统运行,对系统的影响程度不可接受时返回检测与分析阶段
Ø实施应急处理方案
Ø当实施应急处理方案失败的情况下,采取应变和回退措施,并返回到检测阶段
4.杜绝产生安全事件的原因,消除影响
根除安全事件的影响与抑制安全事件的影响在时间上存在交叉和重复的情况。
其基本流程与抑制过程相同,制订的方案则需要与用户一起做更加精细的准备。
5.修复与加固受损系统
Ø出具修复建议方案,并进行模拟测试,提交测试结果,在得到用户方的认可后方可进行后续工作。
Ø考虑用新硬盘重建一个全新的系统(应将现有的硬盘卸下并保存起来,因为在决定起诉攻击者时它们可以作为证据)。
Ø修改所有防火墙和路由器的过滤规则,拒绝来自疑似发起攻击的主机的所有的流量
Ø封锁或删除被攻击的登陆帐号
Ø确保所有本地系统与服务的密码都换成与攻击发生之前不同的密码。
还应更改其它相关主机的帐户密码。
Ø关闭或修补被利用的服务与配置
Ø清除攻击方遗留下来的后门、木马等文件
Ø复原被篡改的文件权限与配置
Ø加固系统与服务配置,去除其它安全隐患
Ø提高系统或网络行为的监控级别
Ø利用经过验证的最近未受影响的备份有选择地把受侵害或被破坏的系统、应用、数据等还原到它们正常的任务状态
Ø建立系统文件完整性校验数据库,并保存在安全的地方。
在每次系统文件正常更改后建立新的完整性校验数据库。
Ø验证系统功能,并根据历史基准数据比较系统性能
Ø如有必要,通知NCSIRT联络员寻求其它IT部门的技术支持与帮助
Ø如有必要,通知信息交流官员寻求其它单位组织(例如ISP接入商)的帮助
6.监控与审查系统运行状况
在安全应急事件处理完成后的72小时内,服务工程师根据需要从远程或本地继续监视客户系统运营情况(主要监视重复性攻击和由于遏制步骤所导致的错误配置),确保故障根本上得到解决,并填写监控报告。
7.总结报告与更新安全策略
Ø将所有笔记、记录汇编成一份综合性安全意外事件活动日志。
Ø分发给意外事件的参与者,以便审查和批准。
(包括适用于司法的证据)。
Ø审查违反安全的原因,改善预防措施,防止未来再发生的意外事件和相关攻击。
Ø为管理或法律目的收集损失统计信息,帮助财务部门评估违反安全造成的代价。
Ø给管理层和其他关键人物准备报告,以解释事件发生的原因、违反安全造成的代价以及未来如何预防。
Ø帮助客户更新和完善现有信息安全策略。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 应急 响应 服务 程序
![提示](https://static.bdocx.com/images/bang_tan.gif)