应急响应通常来说像电视剧里破案一样,要讲究证据链的,做到环环相扣,但又无需像案件侦查那般严谨,即可以大胆想像又可以大胆取证。毕竟大部分应急响应不是为了抓住黑客而是为了查清问题根源提供修复参考,让系统所有者放心,为公司相关部门在网络安全方面提供参考,更全面更准确的制定安全策略。
作为购买应急响应服务甲方公司,应急报告除了漂亮外,他们还希望看到一份有用的报告。根据这份有用的报告来封堵黑客、修复安全漏洞、提高安全意识。
报告中可以有分析截图,关键证据点用截图,但把应急报告做成病毒分析报告不可取。通常来说,应急报告中,需涉及到以下几部分。
0~被黑后呈现的现象。
1~第一个被入侵的主机,也就是黑客入口ip,以及接下来影响范围,这个范围包含ip范围、业务范围、数据范围等。
2~入口的脆弱性,漏洞或弱口令等。
3~黑客修改过的文件路径、时间、文件作用。
4~所有可以发现的入侵痕迹的时间节点。
5~黑客使用的ip、域名、木马后门等,以及入侵方式,入侵过程。受害主机间的跳转关系。
6~入侵证据链,以及证据链上的每个节点关键证据。
7~有用的、针对性的安全建议。
总结成简短点就是:谁,什么时候,通过什么,入侵了哪里,影响范围是什么,怎么修复。
网友评论