【应急能力提升5】应急响应报告点评

本文为整个专题的第五篇，前面完成了方案设计、攻击模拟、应急响应，接下来是对应急响应过程及结果进行点评，在每一个“模拟-应急”之后，组织参与人员提交应急响应报告，由红队组长、防护组长、运营组长和aerfa一齐审阅，并按照评分要点对每份报告进行评价，最终输出评语和选出最佳团队。

在一期模拟（从SQLi攻击到挖矿与权限维持专题）中，收到5份应急响应报告；二期模拟（内网Linux与Windows横向漏洞攻击），增加了2个小组，收到8份报告（有一个小组写了2份报告，最短都是20+页，最长能达到50+页），每份看完至少在30min以上。评委需要提前去熟悉攻击流程、攻击点及对应的时间点，又要关注整体的应急逻辑、证据充分性、推断正确性等多个方面，难度极大。

01

—

评分要点

应急响应报告质量如何，怎么评价呢？为了能较好的落地，抓主要关键点进行提炼，总结了一些要点来评价应急响应做的好与坏。由于本次专项针对的是应急响应实战能力，故从以下三个方面来进行评估：

• 应急响应步骤与方法：考量应急响应人员掌握应急方法、流程与思路的实际情况，在应急场景中十分重要。如遇到被攻击场景，在不了解情况和不保持现场环境情况下，上机一顿操作猛如虎，很可能会对后续或他人的分析带来干扰。
• 攻击点与证据充分性：主要考验的是应急响应人员分析能力，然而分析能力有和很多因素相关，比如基础的日志含义、格式、解析；操作系统命令；应急响应工具使用；安全漏洞与渗透思路等。其能力的主要外在表现，就是分析出来的攻击点证据确凿，这即是应急响应人员的硬实力。
• 攻击链的复原完整度：对于渗透思路和逻辑能力的要求较高，在第一个场景中环境单一，只要掌握基本的技能基本上可以分析出来；第二个场景就需要较强的逻辑能力，不厌其烦的进行分析和梳理思路才能取得不错成绩，这是初级应急响应人员走向高级别的门槛。

02

—

应急捕获攻击点对比表

第I期模拟后，评委拿着5个小组的应急响应报告进行阅读，虽说报告模板格式统一，但是交上来的内容和质量不一，更别提某个攻击细节的分析了。在第II期中，红队一位负责攻击的同学主动看了所有应急报告，把每个小组命中的攻击点都列出来、并与自己的攻击路线逐一比对，输出对比表给评委，极大提高了评分环节的效率。

（表格原创于前内部蓝军成员--番茄）

以表格中“组别-攻击矩阵”的方式来总结，显得十分清晰，这不仅减轻了评委的工作量，同时也是一种针对复杂场景梳理要点的最佳实践。不过也通知了评委不能仅靠这张图表进行评分，需要关心报告中的细节。

03

—

应急响应评分要点表

表格中的其他项，不都是针对应急响应的考核。由于在实际的业务场景中，涉及到情况可能比较复杂，比如需要和业务方（客户）沟通、过程分析交流、编写报告反馈等软技能，所以在本课题中一并把这些内容的也纳入进行评分。