来源:https://github.com/certsocietegenerale/IRM
一、准备
■为每个实体定义将参与危机单元的参与者。这些角色应该记录在一个联系人列表中,并永久保持最新。
■确保一个分析工具已经启动,功能正常(杀毒软件,IDS,日志分析器),没有被破坏,并且是最新的。
■确保拥有你的网络架构图。
■确保有最新的资产清单。
■持续进行安全观察,并向负责安全的人员通报威胁趋势。
二、识别
2.1 检测感染
应该收集和分析来自几个来源的信息:
■杀毒日志,
■入侵检测系统,
■服务器上的可疑连接尝试,
■大量被锁账户,
■可疑的网络流量,
■防火墙中的可疑连接尝试,
■支持电话大量增加,
■高负荷或系统冻结,
■发送了大量电子邮件
如果发现了这些症状中的一个或几个,在“准备”步骤中定义的参与者将进行联系,并在必要时创建一个危机单元。
2.2识别感染
分析症状,识别蠕虫、传播媒介和对策。
可以从以下方面找到线索:
■cert的公告;
■外部支持联系人(防病毒公司等);
■安全网站(Secunia、SecurityFocus等)
通知首席信息安全官。
如有需要,请与您的CERT联系。
2.3 评估感染的范围
定义感染的边界(例如::全球性感染,局限于附属机构等)。
如果可能,确定感染的业务影响。
三、遏制
应该执行以下操作和监控的危机管理单元:
1. 断开感染区域与Internet的连接。
2. 隔离感染区域。从任何网络断开连接。
3. 对业务至关重要的流量不能断开,在确保它不能成为感染媒介或找到经过验证的规避技术后允许断开。
4. 中和传播载体。传播矢量可以是任何东西,从网络流量到软件缺陷。必须采取相应对策(补丁、流量阻塞、去功能化设备等)
例如,可以使用以下技术:
——补丁部署工具(WSUS)
——windows GPO,
——防火墙规则,
——运营过程。
5. 在感染区域的每个子区域重复步骤2到4,直到蠕虫停止扩散。如果可能,使用分析工具(防病毒控制台、服务器日志、支持调用)监控感染。
必须监控蠕虫的传播。
确保笔记本电脑、掌上电脑或移动存储器不能被蠕虫用作传播载体。如果可能的话,阻止他们所有的连接。
要求终端用户准确地遵守指令。
在这一步的最后,感染应该得到控制。
四、修复
1、识别
确定工具和补救方法。
应考虑下列资源:
-供应商修复(微软、甲骨文等)
-防病毒签名数据库-外部支持联系人-安全网站
-定义消毒过程。该流程必须通过外部结构进行验证,例如您的CERT。
2、测试
测试消毒过程,确保它能正常工作,不会破坏任何服务。
3、部署
部署消毒工具。几个选项可以使用:
-Windows WSUS -GPO
-防病毒签名部署
-手动配置
警告:一些蠕虫可以阻止一些补救部署方法。如果是这样,就必须找到一个变通办法。
补救进度应由危机单元进行监控。
五、恢复
确认前面的步骤都已正确完成,并得到管理部门的批准,然后再进行下一步操作。
1. 重新打开蠕虫用作传播方法的网络流量。
2. 重新连接子区域
3. 将移动笔记本电脑重新连接到该区域
4. 重新连接该区域到您的本地网络
5. 重新连接该区域到互联网
所有这些步骤都应循序渐进,并由危机小组进行技术监督。
六、之后
报告
应编写一份危机报告,并向危机管理单元的所有参与者提供。
应说明下列主题:
-感染的最初原因
-每个重要事件的行动和时间表
-什么做对了
-出了什么问题?
-事故成本
利用
应确定改进蠕虫感染管理过程的行动,以利用这一经验。
网友评论