检查阶段。检查的目的是确认入侵事件是否发生,如果实际发生服务器被黑客入侵事件,评价危害、范围和发展速度,事件是否会进一步升级。然后根据评价结果通知相关人员进入阻挡黑客攻击过程。
抑制阶段。遏制的目的是控制事件影响的范围、损失和破坏的进一步扩大,避免事件的进一步升级。
例如,在感染蠕虫的事件中,有必要在网络水平上关闭传播的端口。否则,安全人员在本机器中杀菌时,蠕虫会感染其他服务器。对于被黑客攻击的服务,可以在最初的时间利用ACL和防火墙隔离攻击者,关闭服务,拔下网络线或关闭服务器等方式。如果紧急人员只想在第一时间检查后门和入侵痕迹,在此期间,攻击者可能会从该机器转移到其他服务器。具体的控制方式需要紧急响应者综合考虑对业务的影响和控制效果,判断的标准是对业务的影响最小、控制效果最好。
根除阶段。根除了找到系统的脆弱性进行修复,去除攻击者的后门、webshell等,安装rootkits的机器需要重新安装操作系统,防止杀人不完全被黑客再次进入。
恢复阶段。恢复阶段是根除攻击源、修复系统后恢复在线,也称为恢复业务的连续性。然后消除抑制阶段添加的临时战略。
跟踪总结阶段。业务系统恢复后,需要整理事件总结报告,包括事件发生和各部门介入处理的时间线,事件可能造成的损失。复盘安全事件发生的根本原因是根据经验教训进一步优化安全战略。优化安全战略时,必须从技术、人员、管理、工程等多个维度来考虑。安全本身不是纯粹的技术问题,只有技术手段才能解决一部分安全问题。
事件管理和问题管理是ITIL的两个核心模块,对应急响应也有重要的参考意义。事件管理的核心思想是迅速解决问题,尽快恢复业务系统的可用性,结果重要的业务系统中断的每一分钟都会给公司带来损失,问题管理的核心思想是通过处理一个或一种事件,总结其性,解决彻底的解决办法,从根本上消除这种事件的发生。