如何使用本指南:
主页(本页)应被视为"超赞的事件响应"指南的综合版,即"傻瓜版"。每个阶段都有描述,并为您提供高效有效响应所需的最佳实践。但如果您想要更多细节或需要额外指导,每个部分都会有一个[阅读更多]链接,提供更深入的内容。
这个精心策划的工具和资源列表旨在帮助安全领导者、分析师和DFIR团队,并且一直在不断完善。希望您觉得它有价值,一如既往,欢迎并感谢提出拉取请求!
资金支持:
如果您认为一个社区驱动、开源且经过验证的"超赞事件响应"资源对互联网参考有价值,请考虑支持这个项目。您可 以在右侧边栏或点击下方的赞助按钮找到更多关于支持项目的信息。任何贡献都将不胜感激,100%用于支持这个项目!
准备阶段,是所有步骤中最可能被跳过的,只有在公司遭受重大损失并不得不聘请外部顾问后才会受到关注。
不要跳过这个步骤
请现在就做。当你不需要雇佣我来帮助你应对事件时,你会感谢我的。
超赞的事件响应发生在事件发生之前。准备工作既简单又有趣。通过在危机发生前做好准备,你可以将影响降到最低,并确保在面对攻击时能快速响应。 而且,你会看起来像个超级英雄!
事件管理的基本前提是以结构化的方式响应事件。大规模事件可能会造成混乱;团队事先达成一致的结构可以减少混乱。在灾难发生前制定沟通和协调努力的规则,可以让你的团队在事件发生时专注于解决问题。如果你的团队已经练习并熟悉了沟通和协调,他们在事件发生时就不需要担心这些因素。
-- Google, 事件响应
超赞的事件响应需要多个团队之间的协作,这不仅仅是IT和安全部门的事(惊喜!)。任何重大网络事件都是全公司范围的危机,需要高管、法务、通讯、人力资源、灾难恢复、IT运营、开发和安全部门的支持。确保这些人了解他们在事件期间的角色,并有权采取行动。 本节描述如何确保你拥有合适的人员、能力、权限和流程,以便有效应对危机。 然后我们将讨论如何测试你的IR能力,以验证一切是否按预期运行。
你的公司应该有一个全面的计划,概述在网络攻击或泄露事件中应采取的步骤。一个超赞的事件响应计划(IRP)应该涵盖几个关键组成部 分,以确保对网络事件的有效和协调响应。准备章节的事件响应计划部分详细介绍了超赞事件响应计划(IRP)中应包含的内容。
制定计划后,要进行演练!有句话说"像战斗一样训练,像训练一样战斗"(或类似的话)。进行桌面演练,验证你制定的控制措施是否按预期工作!相信我,你会发现一些需要调整的地方。需要一个TTX想法的起点吗?去看看@badthingsdaily,选择一些可能发生在你身上的事情!
我处理过数千起事件,从未见过一个组织记录了所有对检测和/或响应极其有用的数据源。通常这是因为他们simply不知道该记录什么,或者日志解决方案是他们尚未解决(或获得费用批准)的问题。有一个日志计划是必不可少的,作为安全领导者,你不能在新的应用、服务、网络或资产引入到你的环境时不断回去获取更多预算。这些成本需要在项目实施前就纳入考虑,现在就要在高管层面建立这种理解。最基本的是,你需要记录环境中最关键区域的日志,这些日志应该位于单独的系统上,并保留至少90天。关于日志记录的深入讨论,请参见准备章节的日志记录部分。
保持所有软件和系统使用最新的安全补丁和升级是至关重要的。这不仅包括操作系统,还包括连接到网络的任何应用程序和设备。应该有一个文件化的政策,说明关键、高、中、低严重性软件补丁的时间表,并有一个文件化的例外处理流程。利用资产跟踪系统和定期安全评估来验证这个过 程是否按预期运行。虽然我在本指南中不会详细介绍,但建立一个识别漏洞、部署软件更新和定期测试的流程将大大减少你需要使用事件响应计划的机会。
定期的安全评估可以帮助在系统漏洞被利用之前识别它们。这可以包括定期的渗透测试、漏洞扫描和安全审计。至少,漏洞扫描应该每月进行一次,网络上的每个资产至少每季度扫描一次。渗透测试应至少每年进行一次。
这不是超赞的漏洞管理计划,所以我就不赘述细节了。但如果你想减少事件响应(被动)并寻求主动解决方案,那么请修补你的系统,并经常测试。
在过去几年里,我处理的大部分事件都是因为第三方在"他们的"系统上失去了对"我们的"数据的控制。你可以构建最安全的环境,但仍然可能因为你的供应商......没有做到这一点而进行事件响应。了解谁拥有什么数据和访问权限可以大大减少识别安全事件起源的时间。如果你有极其关键(或秘密)的数据存放在第三方那里,确保他们的标准符合你的标准。当然,云提供商符合这个标准,但要扩展你的思考范围,包括律师事务所、会计、建筑管理等。(天哪)
就超赞的事件响应而言,你需要培训你的员工如何报告安全事件,并培训那些有事件响应责任的人员(上面列出的)他们的具体角色。我试图让这个指南专注于IR,但对所有员工进行定期的网络安全最佳实践和数据隐私重要性的培训是至关重要的。这不仅会提高对潜在风险的认识,还能帮助预防事件的发生。
现在是确定安全消息渠道的好时机,我建议在事件初始阶段不要使用任何企业消息解决方案。我推荐使用Signal。让每个被确定为事件响应团队成员的人确保安装并测试它。当你遇到事件时,创建一个与事件相关的代号的新群聊,并让消息在1周后删除。通常在事件启动时,你对事件的全部范围还不确定,并且会犯错误。采取这些行动将防止威胁者获得内部信息和法律发现活动,但在你这样做之前请与你的法律团队确认。
与外部专家建立合作关系,如网络安全公司或事件响应团队,可以在危机发生时提供额外的支持和专业知识。在事件发生前就建立这些关系可以确保快速有效的响应。现在是与IR公司签订事件响应保留协议的好时机。在事件发生时寻求帮助可能非常困难(有时可能需要几个月才能获得合适的资源),所以越早完成越好。但在此之前,请确保您了解网络保险的覆盖范围(以及不覆盖的内容)。
大多数事件响应人员都是技术人员,优秀的事件响应人员明白网络事件是公司风险。因此,了解网络保险的覆盖范围有助于相应地调整事件响应计划。它让您了解通过保单可获得的资源和服务,如访问事件响应团队、取证调查、法律支持和公关协助。我参与过几次事件,现场团队不得不停止所有事件响应行动,因为网络保险要求他们的IR团队执行所有操作。事先了解这一点会有很大帮助,减少重复工作,缩短缓解时间。这种理解确保您的事件响应计划考虑到可用的保险范围,并有效利用保险提供的资源。准备章节对了解您的网络保险提供商有更详细的介绍。
在我们宣布事件之前,我们需要识别安全事件的严重程度和影响。本节描述了构建有效网络防御团队的最佳实践,以确保您正确监控环境中的正确内容,以便快速检测环境中发生的事件。话虽如此,识别不仅仅是监控,我喜欢将其视为识别与当前事件相关的所有"妥协指标"。
为了充分理解安全事件的范围,我们需要证据来审查。这是什么时候发生的?多久以前?有多少系统受影响?是否有任何数据被窃取/销毁?谁做的?所有这些问题都可以通过优秀的日志策略来回答。准备章节的日志部分是应该记录的系统的良好起点。
在识别章节阅读更多内容
事件响应的"遏制"阶段是指主要目标是限制安全事件或漏洞影响和范围的阶段。在此阶段,事件响应团队迅速工作以防止进一步损害,隔离受影响的系统或区域,并减轻与事件相关的即时风险。遏制阶段对于最小化事件可能造成的潜在危害和为随后的恢复和补救工作奠定基础至关重要。
在遏制章节阅读更多内容
事件响应的"根除"阶段是事件响应团队专注于从受影响的系统和基础设施中完全清除安全事件或漏洞原因的阶段。目标是消除攻击者存在的任何残余,并确保环境安全,没有可能在未来被利用的漏洞。根除阶段通常在遏制阶段之后,在恢复和经验教训阶段之前。
在根除章节阅读更多内容
事件响应的"恢复"阶段是指重点转向恢复正常业务运营,并将受影响的系统、网络和数据恢复到完全功能和安全状态的阶段。恢复阶段在遏制和根除阶段之后,涉及旨在从事件影响中恢复并最大限度地减少对组织造成的任何中断的活动。公司经常在遏制和根除完成之前就转向恢复阶段,导致事件响应效果不佳,延迟恢复正常运营状态。不要犯这个错误。
在恢复章节阅读更多内容
事件响应的"经验教训"阶段是事件解决后和正常运营恢复后的重要步骤。这个阶段专注于反思事件响应过程,识别宝贵的见解、改进和最佳实践,以增强未来的事件响应工作。主要目标是从事件中学习,防止类似事件再次发生,并加强组织的整体安全态势。
在经验教训章节阅读更多内容
事件响应人员的惊人资源列表。 工具索引
OpenAI Agents SDK,助力开发者便捷使用 OpenAI 相关功能。
openai-agents-python 是 OpenAI 推出的 一款强大 Python SDK,它为开发者提供了与 OpenAI 模型交互的高效工具,支持工具调用、结果处理、追踪等功能,涵盖多种应用场景,如研究助手、财务研究等,能显著提升开发效率,让开发者更轻松地利用 OpenAI 的技术优势。
高分辨率纹理 3D 资产生成
Hunyuan3D-2 是腾讯开发的用于 3D 资产生成的强大工具,支持从文本描述、单张图片或多视角图片生成 3D 模型,具备快速形状生成能力,可生成带纹理的高质量 3D 模型,适用于多个领域,为 3D 创作提供了高效解决方案。
一个具备存储、管理和客户端操作等多种功能的分布式文件系统相关项目。
3FS 是一个功能强大的分布式文件系统项目,涵盖了存储引擎、元数据管理、客户端工具等多个模块。它支持多种文件操作,如创建文件和目录、设置布局等,同时具备高效的事件循环、节点选择和协程池管理等特性。适用于需要大规模数据存储和管理的场景,能够提高系统的性能和可靠性,是分布式存储领域的优质解决方案。
用于可扩展和多功能 3D 生成的结构化 3D 潜在表示
TRELLIS 是一个专注于 3D 生成的项目,它利用结构化 3D 潜在表示技术,实现了可扩展且多功能的 3D 生成。项目提供了多种 3D 生成的方法和工具,包括文本到 3D、图像到 3D 等,并且支持多种输出格式,如 3D 高斯、辐射场和网格等。通过 TRELLIS,用户可以根据文本描述或图像输入快速生成高质量的 3D 资产,适用于游戏开发、动画制作、虚拟现实等多个领域。
10 节课教你开启构建 AI 代理所需的一切知识
AI Agents for Beginners 是一个专为初学者打造的课程项目,提供 10 节课程,涵盖构建 AI 代理的必备知识,支持多种语言,包含规划设计、工具使用、多代理等丰富内容,助您快速入门 AI 代理领域。
AI Excel全自动制表工具
AEE 在线 AI 全自动 Excel 编辑器,提供智能录入、自动公式、数据整理、图表生成等功能,高效处理 Excel 任务,提升办公效率。支持自动高亮数据、批量计算、不规则数据录入,适用于企业、教育、金融等多场景。
基于 UI-TARS 视觉语言模型的桌面应用,可通过自然语言控制计算机进行多模态操作。
UI-TARS-desktop 是一款功能强大的桌面应用,基于 UI-TARS(视觉语言模型)构建。它具备自然语言控制、截图与视觉识别、精确的鼠标键盘控制等功能,支持跨平台使用(Windows/MacOS),能提供实时反馈和状态显示,且数据完全本地处理,保障隐私安全。该应用集成了多种大语言模型和搜索方式,还可进行文件系统操作。适用于需要智能交互和自动化任务的场景,如信息检索、文件管理等。其提供了详细的文档,包括快速启动、部署、贡献指南和 SDK 使用说明等,方便开发者使用和扩展。
开源且先进的大规模视频生成模型项目
Wan2.1 是一个开源且先进的大规模视频生成模型项目,支持文本到图像、文本到视频、图像到视频等多种生成任务。它具备丰富的配置选项,可调整分辨率、扩散步数等参数,还能对提示词进行增强。使用了多种先进技术和工具,在视频和图像生成领域具有广泛应用前景,适合研究人员和开发者使用。
全流程 AI 驱动的数据可视化工具,助力用户轻松创作高颜值图表
爱图表(aitubiao.com)就是AI图表,是由镝数科技推出的一款创新型智能数据可视化平台,专注于为用户提供便捷的图表生成、数据分析和报告撰写服务。爱图表是中国首个在图表场景接入DeepSeek的产品。通过接入前沿的DeepSeek系列AI模型,爱图表结合强大的数据处理能力与智能化功能,致力于帮助职场人士高效处理和表达数据,提升工作效率和报告质量。
一款强大的视觉语言模型,支持图像和视频输入
Qwen2.5-VL 是一款强大的视觉语言模型,支持图像和视频输入,可 用于多种场景,如商品特点总结、图像文字识别等。项目提供了 OpenAI API 服务、Web UI 示例等部署方式,还包含了视觉处理工具,有助于开发者快速集成和使用,提升工作效率。
最新AI工具、AI资讯
独家AI资源、AI项目落地
微信扫一扫关注公众号