本文为整个专题的第六篇,前面完成了方案设计、攻击模拟、应急响应、评分环节,接下来是回顾每个攻击模拟之后的专题会。
针对每一个专题,单独组织了一次专题会;每次会议在提交应急响应报告后一周内进行,时间间隔越短,参与的人员印象越深刻,效果也越好。在总结会中,根据应急响应报告将每个组存在的问题(应急思路、分析逻辑、实际操作细节、报告行文逻辑、汇报表现)与优势进行点评,除了发现本次专项开展过程中暴露的问题外,还能关联日常工作得到提升引导。
01
—
总结会目的
除了最初的应急响应实战能力提升目的外,组织各组人员参加总结会进行汇报、讨论、听点评,还会带来一些额外的好处:
02
—
总结会流程
在该专项的两次总结会中,每次的主要流程都基本相同,主要包括:
03
—
总结会沉淀
经过两次总结会,总体应急响应能力有了明显的提升,基本达到预期的效果。比如在第一次汇报时,有的小组报告质量比较差,有的甚至不清楚如何将证据串起来分析;但在第二次汇报时,各组的分析思路和报告编写质量变好了很多,攻击路径虽然写得不全,但是描述的很清晰,相比第一次已经有了巨大变化。通过这两个模拟专项,也确实沉淀了一些有价值的思路、流程、问题和学习资源。
部分小组的报告基本上算是应急响应的“标品”,应急响应的思路清晰,考虑问题全面,涉及到的操作也十分详细。几乎可以直接拿来当做模板,供给大家学习和使用。
(Linux系统排查思路)
(Windows系统排查思路)
其中,个人比较认可的的应急响应步骤如下:
将总结会中发现的问题映射到日常工作,更进一步找到了大家在应急实战中存在的不足之处。另外无论是攻击、防护还是检测,都发现一些问题有待解决,比如:
如何才能做好应急响应?通过本次课题中的两次攻击模拟与应急响应,从参加的7个小组、15+人员,可以印证需要下面这些能力:
以上能力的积累,也是我们在后续新员工培养中的输入项,同时亦可以此为应急响应专业技能图谱的评判维度,对该序列同学进行技术职级评定。