Emergency Response/Incident Response :安全人员在遇到 突发事件 后所采取的措施和行动 突发事件:影响一个系统的正常工作的情况,此处的系统包括主机以及网络范围内的问题,这种”情况“包括常见的黑客入侵、信息窃取,DDOS拒绝攻击、网络流量异常等。
于是他编写了一个程序,可以在计算机间传播,并要求每台机器将信号发送回控制服务器,以进行计数,非常简洁的方案。1988年11月2日该程序被从麻省理工学院(MIT)施放到互联网上(不知是否是要掩盖自己在康奈尔)。 程序运行的效果非常好,其实是太好了以致莫里斯自己很快无法控制,出现了恐慌。 短短12小时内,超过6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪,其中涉及NASA、各主要大学以及未被披露的美国军事基地,不计其数的数据和资料毁于这一夜之间。 最后由普渡和伯克利大学的研究人员花了72个小时来解决制止这种蠕虫。在莫里斯蠕虫病毒数周之后,卡内基梅隆大学建立了世界上第一个网络应急响应小组。1990年,国际网络安全合作组织FIRST(Forum of Incident Response and Security Teams)正式成立。
俗话说,道高一尺,魔高一丈,不管我们做了多少的安全方面的工作,攻击者还是有可能在一个夜黑风高的晚上偷偷的潜入到我们的系统,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。以下为应急响应事件处理的一般阶段
(策略、防御、程序、人员、工具、基础设施、资金)
(检测、调查、评价、报告、决策)
(安全域(地理/层次/人机/业务)、边界控制)
(定位、对症下药、副作用)
(数据恢复、状态恢复、行为恢复、环境恢复)
(追究责任、改进)