应急响应概述

## 概念

网络安全应急响应（Cybersecurity Incident Response, CSIR）是指针对网络攻击、数据泄露、恶意代码入侵等安全事件，通过 “预防 - 检测 - 处置 - 恢复 - 复盘” 的标准化流程，结合技术工具、团队协作与合规要求，快速控制风险、减少损失、追溯根源，并通过经验沉淀优化防护体系的系统性工程。

在发生确切的网络安全事件时，应急响应实施人员应及时采取行动，限制事件扩散和影响的范围，防范潜在的损失与破坏。实施人员应协助用户检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件的整体解决方案，排除系统安全风险，并协助追查事件来源，协助后续处置。

## PDCERF模型

PDCERF 模型是国际应急响应联盟（FIRST）提出的核心框架，全称为**Preparation（准备）、Detection（检测）、Containment（遏制）、Eradication（根除）、Recovery（恢复）、Follow-up（跟踪）** ，核心特点是强调 “事件全生命周期管理”，尤其突出 “跟踪阶段” 对长期风险防控的价值，形成从 “应对” 到 “优化” 的完整闭环。

### 准备阶段（Preparation）

核心目标：在事件发生前，建立 “人、流程、工具” 的响应能力，避免 “临阵慌乱”。

关键动作：

- 制定《应急响应预案》：明确事件分级标准（如参考 FIRST 的事件分级：低、中、高、严重）、角色分工（如应急指挥官、取证专家、合规联络员）、跨部门沟通机制（如业务中断时需通知的部门及时限）。
- 储备工具与资源：配置 “应急响应工具包”，包括日志分析工具（如 Splunk）、取证工具（如 FTK Imager）、漏洞扫描工具（如 Nessus），并确保工具可即时调用（如提前测试工具兼容性）。
- 团队能力建设：组建专职 / 兼职应急响应团队（CSIRT），定期开展培训（如 “恶意代码分析”“工控系统响应”），每半年至少 1 次模拟演练（如模拟勒索病毒攻击、数据泄露）。

实战要点：预案需 “可落地”，避免空泛 —— 例如明确 “中级别数据泄露事件，需在 2 小时内通知合规部门，4 小时内上报监管”，而非仅写 “及时上报”。

### 检测阶段（Detection）

核心目标：从海量告警中区分 “误报” 与 “真实事件”，初步定位事件类型、影响范围，为后续处置提供依据。

关键动作：

- 多源数据采集：整合 “网络流量（如 Wireshark 抓包）、主机日志（如 Windows Event Log）、应用日志（如 Web 服务器访问日志）、终端行为（如 EDR 监控数据）”，避免依赖单一数据源导致漏判。
- 威胁关联分析：结合威胁情报（如 MITRE ATT&CK 框架、FIRST 情报库），分析告警背后的 “攻击链”—— 例如 “异常登录 + 可疑进程启动 + 境外 IP 连接”，可判定为 “疑似权限滥用事件”，而非孤立的 “登录告警”。
- 初步研判与分级：根据 “影响范围（如 1 台主机 vs 100 台主机）、业务影响（如非核心服务中断 vs 支付系统中断）、数据敏感度（如公开数据 vs 用户身份证信息）”，对事件分级（如 “中级别”），并启动对应响应流程。

实战要点：避免 “过度依赖工具告警”—— 例如某企业 SIEM 日均产生 1000 + 告警，需通过 “规则优化”（如屏蔽已知正常 IP 的告警）降低误报率，聚焦高风险告警。

### 遏制阶段（Containment）

核心目标：在最小化业务影响的前提下，阻止攻击扩散（如病毒横向移动、数据持续泄露），避免损失扩大。

关键动作：

- 短期遏制（即时动作）：针对 “紧急风险” 采取快速措施，如隔离受感染主机（断开网络或防火墙策略拦截）、封堵攻击 IP（如在路由器或 WAF 中添加黑名单）、暂停存在漏洞的服务（如临时关闭未授权访问的 FTP 服务）。
- 长期遏制（持续防护）：在短期措施基础上，构建 “长效防护”，如修改泄露的账号密码（避免攻击者再次登录）、关闭不必要的端口（如关闭服务器的 445 端口防范 SMB 漏洞攻击）、部署临时防护规则（如 WAF 添加 “SQL 注入” 拦截规则）。

实战要点：平衡 “安全” 与 “业务连续性”—— 例如某电商平台遭遇 DDoS 攻击，不可直接断网，而是通过 “CDN 分流 + 黑洞路由” 缓解流量压力，确保核心交易服务可用。

### 根除阶段（Eradication）

核心目标：定位攻击的 “根本原因”（如漏洞、后门、配置错误），并彻底清除，避免威胁 “死灰复燃”。

关键动作：

- 深度溯源：通过 “取证分析” 定位威胁根源，如用 Volatility 分析内存镜像识别隐藏恶意进程、用 Wireshark 分析数据包追溯攻击入口（如钓鱼邮件附件、漏洞利用请求）、检查系统配置找出薄弱点（如弱口令、权限过宽）。
- 全面清除：针对根源采取措施，如查杀所有终端的恶意代码（避免仅清理单台主机）、修补漏洞（如安装 Windows MS17-010 补丁）、删除后门程序（如清理隐藏的远控木马）、修正错误配置（如将公开的云存储桶设为私有）。

实战要点：避免 “表面清除”—— 例如某企业遭遇 APT 攻击，仅删除表面恶意文件不够，需检查是否存在 “持久化后门”（如修改注册表启动项、植入恶意驱动），需用专业取证工具（如 EnCase）深度扫描。

### 恢复阶段（Recovery）

核心目标：在确保威胁已彻底清除的前提下，分阶段恢复系统与业务，避免 “恢复即二次感染”。

关键动作：

- 恢复前验证：在 “测试环境” 中恢复系统（如用备份数据恢复一台测试服务器），通过漏洞扫描、恶意代码查杀确认环境安全，再推进到生产环境。
- 分阶段恢复：按 “业务优先级” 恢复，如优先恢复核心服务（如金融机构的转账系统、医院的挂号系统），再恢复非核心服务（如内部办公系统）；每恢复一个环节，需持续监控 1-2 小时，确认无异常后再恢复下一个。
- 持续监控：恢复期间加强 “实时监控”，如通过 EDR 监控终端行为、通过 SIEM 分析日志，一旦发现异常（如再次出现可疑 IP 连接），立即暂停恢复并重新排查。

实战要点：不可 “急于求成”—— 例如某企业因勒索病毒停机，不可直接用备份全量恢复，需先确认备份未被感染，且生产环境已清除病毒，否则会导致备份数据也被加密。

### 跟踪阶段（Follow-up）

核心目标：总结事件处置经验，将 “漏洞点” 转化为 “防护增强点”，实现安全体系的持续迭代，这是 PDCERF 与其他框架（如 NIST）的核心差异。

关键动作：

- 撰写《事件总结报告》：详细记录 “事件时间线（何时发现、何时遏制、何时恢复）、处置步骤、根源分析、损失评估（如业务中断时长、经济损失）、未解决问题”，避免仅记录 “过程” 而无 “分析”。
- 落地改进措施：针对报告中的 “漏洞点” 制定可执行的改进方案，明确 “责任人” 与 “完成时限”，例如：
  - 若事件因 “员工点击钓鱼邮件” 引发，需在 1 个月内开展全员钓鱼邮件模拟培训；
  - 若因 “漏洞未及时修补” 引发，需优化 “漏洞管理流程”，将高危漏洞修复时限从 7 天缩短至 2 天。
- 定期复盘与更新：每季度回顾 “改进措施落地情况”（如检查漏洞修复率、培训完成率），并根据新威胁（如新型勒索病毒、0day 漏洞）更新应急预案与工具，确保响应能力适配新风险。

实战要点：避免 “复盘流于形式”—— 例如某企业的总结报告仅记录 “事件过程”，未明确改进措施，或措施无责任人、无时限，导致同类事件在 3 个月后再次发生。

## 安全事件

> 恶意代码攻击

| 攻击类型        | 攻击特点                                                     |
| --------------- | ------------------------------------------------------------ |
| 勒索病毒        | 加密目标数据（企业服务器 / 个人文件），索要赎金（多为加密货币），不付款则无法解密 |
| 传统病毒 / 木马 | 病毒可自我复制扩散；木马伪装成正常程序（如 “办公软件.exe”），窃取账号或远程控机 |
| 无文件恶意代码  | 仅驻留设备内存，不写入硬盘，逃避传统杀毒软件扫描，常见于 APT 攻击 |

> 网络攻击

| 攻击类型   | 攻击特点                                                     |
| ---------- | ------------------------------------------------------------ |
| DDoS 攻击  | 发起海量虚假流量（如 UDP 洪水、HTTP POST 洪水），压垮服务器带宽 / 资源，导致业务中断 |
| 供应链攻击 | 渗透软件 / 硬件供应链（如污染开源工具、篡改设备固件），批量影响下游企业 / 用户 |
| 中间人攻击 | 拦截网络传输（如公共 Wi-Fi、未加密链路），窃取登录信息、支付数据，篡改传输内容 |

> 数据泄露

| 攻击类型     | 攻击特点                                                     |
| ------------ | ------------------------------------------------------------ |
| 内部人员泄露 | 内部员工滥用权限（如导出客户信息）或恶意窃取，多为数据倒卖或报复目的 |
| 撞库泄露     | 利用已泄露的 “账号 + 密码”，批量尝试登录其他平台（如电商、金融 APP），获取有效账号 |
| 暗网数据交易 | 将泄露的数据（身份证、信用卡信息）在暗网挂售，按条定价，匿名交易（用加密货币） |

> 应用层攻击

| 攻击类型        | 攻击特点                                                     |
| --------------- | ------------------------------------------------------------ |
| SQL 注入        | 向应用输入恶意 SQL 语句（如 “and 1=1”），篡改 / 窃取数据库数据（如用户表、订单表） |
| 跨站脚本（XSS） | 在网页植入脚本（如评论区、登录页），窃取访客 Cookie、账号，或跳转恶意网站 |
| API 滥用        | 利用未授权 / 未限流的 API 接口，批量爬取数据（如物流信息、商品价格）或触发恶意操作 |

> 配置错误类

| 攻击类型     | 攻击特点                                                     |
| ------------ | ------------------------------------------------------------ |
| 云存储公开   | 云桶（如 AWS S3、阿里云 OSS）设为 “公共读写”，数据直接暴露互联网，可被搜索引擎收录 |
| 权限过度分配 | 给普通账号开放管理员权限（如 IAM 角色设 “Action:*”），导致越权操作或数据泄露 |
| 安全组误配   | 开放核心端口（如 22、3389）到 “0.0.0.0/0”，被黑客暴力破解植入恶意程序 |

> 物理安全事件类

| 攻击类型 | 攻击特点                                                     |
| -------- | ------------------------------------------------------------ |
| 设备失窃 | 笔记本、U 盘、服务器等物理设备丢失，未加密的数据（如客户资料）直接被获取 |
| 硬件植入 | 在路由器、USB 设备、服务器硬件中植入后门芯片 / 恶意固件，实现远程控制或数据窃取 |

> 社会工程类攻击

| 攻击类型 | 攻击特点                                                     |
| -------- | ------------------------------------------------------------ |
| 钓鱼邮件 | 伪装成官方发件人（如银行、公司 HR），诱导点击恶意链接或下载带毒附件 |
| CEO 欺诈 | 伪造高管邮箱，向财务部门发送转账指令，或要求发送敏感文件（如财务报表） |
| 水坑攻击 | 入侵目标群体常访问的网站（如行业协会官网），植入恶意代码，感染访客设备 |

## 排查思路

首先明确目标与事件类型：先根据初始告警（如 EDR 报恶意进程、用户反馈数据丢失）确定事件大类（恶意代码、数据泄露、DDoS 等），聚焦排查方向（如恶意代码需找进程 / 文件，数据泄露需查访问日志）。

### 界定排查范围

> 从核心资产出发，画 “影响链路”

以首个异常资产（如 192.168.1.100 服务器）为起点，按链路扩散：

- 网络链路：查上下游设备（交换机、路由器）是否有相同异常；
- 业务链路：查关联系统（如该服务器对接的数据库）；
- 账号链路：查使用该设备的账号是否登录其他主机。

> 用 3 个维度缩小范围

- 时间维度：锁定异常首次出现时间（如 EDR 告警时间），排查该时段前后操作；
- 权限维度：查受影响资产的访问权限（如公开云存储的外部访问记录）；
- 特征维度：提取异常特征（如恶意进程名、攻击端口），全网匹配同类问题。

### 分层排查

> 主机层面：核心查 “终端内异常”，针对恶意代码、权限滥用

| 排查对象 | 关键操作                                                     |
| -------- | ------------------------------------------------------------ |
| 进程     | 用任务管理器 /top 查高占用、无正常路径、伪造系统名的进程（如 “svch0st.exe”）；用 Volatility 找内存隐藏进程 |
| 文件     | 查 Temp / 桌面 / 下载文件夹的陌生文件（如.exe/.vbs）；对比系统文件修改时间（异常篡改会与其他系统文件时间不一致） |
| 注册表   | 查启动项（HKLM...\Run）是否有陌生程序；看文件关联是否被篡改（如勒索病毒改后缀关联） |
| 日志     | Windows 查事件查看器（安全日志 ID4625 登录失败、ID4688 进程创建）；Linux 查 /var/log/auth.log（登录记录） |

> 网络层面：核心查"异常流量"

| 排查对象 | 关键操作                                                     |
| -------- | ------------------------------------------------------------ |
| 流量特征 | 用 Wireshark / 防火墙日志查：DDoS 看 “单一 IP 高频发 UDP 包”“流量峰值突增”；数据泄露看 “大文件向境外 IP 传输” |
| 网络连接 | 用 netstat -ano（Windows）/netstat -tulnp（Linux）查未授权外部连接（如连陌生 IP 的 8080 端口） |
| 拓扑节点 | 从受影响主机网关向上查（核心交换机、出口防火墙），看异常流量是否扩散到其他节点 |

> 数据层面：核心查 “数据操作记录”

| 排查对象   | 关键操作                                                     |
| ---------- | ------------------------------------------------------------ |
| 访问日志   | 数据库查 general_log（MySQL）/SQL Profiler（SQL Server），看 “批量查敏感数据”“未授权账号访问”；云存储查 OSS/S3 访问日志，看外部 IP 下载记录 |
| 数据完整性 | 对比最近正常备份（用 MD5 校验），定位被篡改的文件 / 数据库表（如首页 HTML 被改黑页） |
| 传输记录   | 查邮件日志（是否外发敏感文件）、DLP 工具（是否有 U 盘拷贝 / 微信传输敏感数据） |

> 应用层面：核心查“漏洞与配置”

| 排查对象 | 关键操作                                                     |
| -------- | ------------------------------------------------------------ |
| Web 日志 | 查 Nginx/Apache 日志，看 “SQL 注入语句（and 1=1）”“文件上传.php”“暴力破解登录请求” |
| 应用配置 | 查是否开 “目录遍历”“调试模式”；Web 应用看管理员账号是否用弱密码、API 是否未做认证 |
| 漏洞扫描 | 用 Nessus/AWVS 扫应用漏洞（如 Log4j2、Struts2），确认是否有未打补丁的高危漏洞 |