安全测试应急响应工作分为哪些阶段?

时间:2022-01-21     来源:易思训教育 作者:易思训
分享: 更多

今天易思训(www.yisixun.com)小编要跟大家分享的文章是安全测试应急响应工作分为哪些阶段

 

01、准备工作

此阶段以预防为主,在事件真正发生前为应急响应做好准备。主要包括以下几项内容:

制定用于应急响应工作流程的文档计划,并建立一组基于威胁态势的合理防御措施;

制定预警与报警的方式流程,建立一组尽可能高效的事件处理程序;

建立备份的体系和流程,按照相关网络安全政策配置安全设备和软件;

建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急反映事件处理的预演方案;

 

02、事件检测阶段

 

识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵,需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据)。通报信息的数据和类型,通知什么人。主要包括以下几种处理方法:

布局入侵检测设备、全局预警系统,确定网络异常情况;

预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;

事件的风险危害有多大,涉及到多少网络,影响了多少主机,情况危急程度;

确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;

攻击者利用的漏洞传播的范围有多大,通过汇总,确定是否发生了全网的大规模入侵事件;

一般典型的事故现象包括:

1)账号被盗用;

2)骚扰性的垃圾信息;

3)业务服务功能失效;

4)业务内容被明显篡改;

5)系统崩溃、资源不足。

 

03、抑制处置

在入侵检测系统检测到有安全事件发生之后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手系统恢复,把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;

确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;

抑制采用的方式可能有多种,常见的包括:

1)关掉已受害的系统;

2)断开网络;

3)修改防火墙或路由器的过滤规则;

4)封锁或删除被攻破的登录账号;

5)关闭可被攻击利用的服务功能。

 

04、根除阶段

通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

 

05、恢复阶段

让系统恢复破坏之前的正常运行环境。 恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。

 

06、跟进阶段

跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

 

以上就是小编今天为大家分享的安全测试应急响应工作分为哪些阶段的文章,希望本篇文章能够对正在或想要学习安全测试的小伙伴们有所帮助,想要了解更多关于安全测试的教程,记得关注易思训教育IT培训官网(www.yisixun.com),希望同学们学习顺利。

 

IT培训选易思训教育培训机构,易思训IT培训课程是易思训品牌课程,易思训培训汇集IT培训讲师,IT就到易思训教育!了解详情请登陆易思训教育培训官网(www.yisixun.com)!


相关文章

今日优惠
免费试听教程