Awesome_Incident_Response

Awesome_Incident_Response

网络安全事件响应全流程指南与实用资源

Awesome Incident Response是一个开源项目,提供网络安全事件响应全流程资源。覆盖准备、识别、遏制、根除、恢复和总结等关键阶段,包含最佳实践、工具列表和详细指南。帮助安全团队高效应对事件,增强组织安全能力。适合安全专业人士和爱好者参考学习。

应急响应网络安全事件响应计划日志管理数据泄露Github开源项目

超赞的事件响应 Awesome

<img align="right" src="https://yellow-cdn.veclightyear.com/835a84d5/2066ef20-9b92-43ad-8049-3f7bb17f367d.png" width="200" alt="Awesome Incident Response" title="Awesome Incident Response"> 欢迎来到"超赞的事件响应",这是一个旨在简化并指导您深入了解事件响应复杂世界的终极开源仓库!无论您是经验丰富的网络安全专业人士还是有志之士,这个全面的资源和教程集合都将为您提供有效处理和缓解安全事件所需的知识和技能。这些策略是基于数十年的事件响应经验而开发的,应该能很好地指导您应对任何类型的网络安全事件,并从多个将被引用的来源中提取文本和图像。 <br /><br />

如何使用本指南:

主页(本页)应被视为"超赞的事件响应"指南的综合版,即"傻瓜版"。每个阶段都有描述,并为您提供高效有效响应所需的最佳实践。但如果您想要更多细节或需要额外指导,每个部分都会有一个[阅读更多]链接,提供更深入的内容。

这个精心策划的工具和资源列表旨在帮助安全领导者、分析师和DFIR团队,并且一直在不断完善。希望您觉得它有价值,一如既往,欢迎并感谢提出拉取请求!

-Bill (hevnsnt)


资金支持:

如果您认为一个社区驱动、开源且经过验证的"超赞事件响应"资源对互联网参考有价值,请考虑支持这个项目。您可以在右侧边栏或点击下方的赞助按钮找到更多关于支持项目的信息。任何贡献都将不胜感激,100%用于支持这个项目!

18 每日访问量


<p align="center"> <picture> <source media="(prefers-color-scheme: dark)" srcset="./images/Awesome-Incident-Response-Logo-Darkmode.png"> <img alt="根据模式变化的文本。亮色:'超赞事件响应标志' 暗色:'超赞事件响应标志'" src="https://yellow-cdn.veclightyear.com/835a84d5/6cc614c0-636e-4c13-ad1b-8b4d42c9d82a.png"> </picture> </p>

目录


准备

准备阶段,是所有步骤中最可能被跳过的,只有在公司遭受重大损失并不得不聘请外部顾问后才会受到关注。

不要跳过这个步骤

请现在就做。当你不需要雇佣我来帮助你应对事件时,你会感谢我的。

超赞的事件响应发生在事件发生之前。准备工作既简单又有趣。通过在危机发生前做好准备,你可以将影响降到最低,并确保在面对攻击时能快速响应。 而且,你会看起来像个超级英雄!

事件管理的基本前提是以结构化的方式响应事件。大规模事件可能会造成混乱;团队事先达成一致的结构可以减少混乱。在灾难发生前制定沟通和协调努力的规则,可以让你的团队在事件发生时专注于解决问题。如果你的团队已经练习并熟悉了沟通和协调,他们在事件发生时就不需要担心这些因素。

-- Google, 事件响应

超赞的事件响应需要多个团队之间的协作,这不仅仅是IT和安全部门的事(惊喜!)。任何重大网络事件都是全公司范围的危机,需要高管、法务、通讯、人力资源、灾难恢复、IT运营、开发和安全部门的支持。确保这些人了解他们在事件期间的角色,并有权采取行动。 本节描述如何确保你拥有合适的人员、能力、权限和流程,以便有效应对危机。 然后我们将讨论如何测试你的IR能力,以验证一切是否按预期运行。

现在就做这7件事,大大提升你应对任何网络危机的能力:

1. 制定事件响应计划并演练:

你的公司应该有一个全面的计划,概述在网络攻击或泄露事件中应采取的步骤。一个超赞的事件响应计划(IRP)应该涵盖几个关键组成部分,以确保对网络事件的有效和协调响应。准备章节的事件响应计划部分详细介绍了超赞事件响应计划(IRP)中应包含的内容。

制定计划后,要进行演练!有句话说"像战斗一样训练,像训练一样战斗"(或类似的话)。进行桌面演练,验证你制定的控制措施是否按预期工作!相信我,你会发现一些需要调整的地方。需要一个TTX想法的起点吗?去看看@badthingsdaily,选择一些可能发生在你身上的事情!

2. 确保记录正确的事件:

我处理过数千起事件,从未见过一个组织记录了所有对检测和/或响应极其有用的数据源。通常这是因为他们simply不知道该记录什么,或者日志解决方案是他们尚未解决(或获得费用批准)的问题。有一个日志计划是必不可少的,作为安全领导者,你不能在新的应用、服务、网络或资产引入到你的环境时不断回去获取更多预算。这些成本需要在项目实施前就纳入考虑,现在就要在高管层面建立这种理解。最基本的是,你需要记录环境中最关键区域的日志,这些日志应该位于单独的系统上,并保留至少90天。关于日志记录的深入讨论,请参见准备章节的日志记录部分。

3. 定期更新软件和系统:

保持所有软件和系统使用最新的安全补丁和升级是至关重要的。这不仅包括操作系统,还包括连接到网络的任何应用程序和设备。应该有一个文件化的政策,说明关键、高、中、低严重性软件补丁的时间表,并有一个文件化的例外处理流程。利用资产跟踪系统和定期安全评估来验证这个过程是否按预期运行。虽然我在本指南中不会详细介绍,但建立一个识别漏洞、部署软件更新和定期测试的流程将大大减少你需要使用事件响应计划的机会。

4. 定期进行安全评估和第三方风险审查:

定期的安全评估可以帮助在系统漏洞被利用之前识别它们。这可以包括定期的渗透测试、漏洞扫描和安全审计。至少,漏洞扫描应该每月进行一次,网络上的每个资产至少每季度扫描一次。渗透测试应至少每年进行一次。

这不是超赞的漏洞管理计划,所以我就不赘述细节了。但如果你想减少事件响应(被动)并寻求主动解决方案,那么请修补你的系统,并经常测试。

在过去几年里,我处理的大部分事件都是因为第三方在"他们的"系统上失去了对"我们的"数据的控制。你可以构建最安全的环境,但仍然可能因为你的供应商......没有做到这一点而进行事件响应。了解谁拥有什么数据和访问权限可以大大减少识别安全事件起源的时间。如果你有极其关键(或秘密)的数据存放在第三方那里,确保他们的标准符合你的标准。当然,云提供商符合这个标准,但要扩展你的思考范围,包括律师事务所、会计、建筑管理等。(天哪)

5. 培训员工并设置安全通信渠道:

就超赞的事件响应而言,你需要培训你的员工如何报告安全事件,并培训那些有事件响应责任的人员(上面列出的)他们的具体角色。我试图让这个指南专注于IR,但对所有员工进行定期的网络安全最佳实践和数据隐私重要性的培训是至关重要的。这不仅会提高对潜在风险的认识,还能帮助预防事件的发生。

现在是确定安全消息渠道的好时机,我建议在事件初始阶段不要使用任何企业消息解决方案。我推荐使用Signal。让每个被确定为事件响应团队成员的人确保安装并测试它。当你遇到事件时,创建一个与事件相关的代号的新群聊,并让消息在1周后删除。通常在事件启动时,你对事件的全部范围还不确定,并且会犯错误。采取这些行动将防止威胁者获得内部信息和法律发现活动,但在你这样做之前请与你的法律团队确认。

6. 建立合作伙伴关系:

与外部专家建立合作关系,如网络安全公司或事件响应团队,可以在危机发生时提供额外的支持和专业知识。在事件发生前就建立这些关系可以确保快速有效的响应。现在是与IR公司签订事件响应保留协议的好时机。在事件发生时寻求帮助可能非常困难(有时可能需要几个月才能获得合适的资源),所以越早完成越好。但在此之前,请确保您了解网络保险的覆盖范围(以及不覆盖的内容)。

7. 了解您的网络保险覆盖范围(以及不覆盖的内容):

大多数事件响应人员都是技术人员,优秀的事件响应人员明白网络事件是公司风险。因此,了解网络保险的覆盖范围有助于相应地调整事件响应计划。它让您了解通过保单可获得的资源和服务,如访问事件响应团队、取证调查、法律支持和公关协助。我参与过几次事件,现场团队不得不停止所有事件响应行动,因为网络保险要求他们的IR团队执行所有操作。事先了解这一点会有很大帮助,减少重复工作,缩短缓解时间。这种理解确保您的事件响应计划考虑到可用的保险范围,并有效利用保险提供的资源。准备章节对了解您的网络保险提供商有更详细的介绍。


识别

在我们宣布事件之前,我们需要识别安全事件的严重程度和影响。本节描述了构建有效网络防御团队的最佳实践,以确保您正确监控环境中的正确内容,以便快速检测环境中发生的事件。话虽如此,识别不仅仅是监控,我喜欢将其视为识别与当前事件相关的所有"妥协指标"。

为了充分理解安全事件的范围,我们需要证据来审查。这是什么时候发生的?多久以前?有多少系统受影响?是否有任何数据被窃取/销毁?谁做的?所有这些问题都可以通过优秀的日志策略来回答。准备章节的日志部分是应该记录的系统的良好起点。

在识别章节阅读更多内容


遏制

事件响应的"遏制"阶段是指主要目标是限制安全事件或漏洞影响和范围的阶段。在此阶段,事件响应团队迅速工作以防止进一步损害,隔离受影响的系统或区域,并减轻与事件相关的即时风险。遏制阶段对于最小化事件可能造成的潜在危害和为随后的恢复和补救工作奠定基础至关重要。

在遏制章节阅读更多内容


根除

事件响应的"根除"阶段是事件响应团队专注于从受影响的系统和基础设施中完全清除安全事件或漏洞原因的阶段。目标是消除攻击者存在的任何残余,并确保环境安全,没有可能在未来被利用的漏洞。根除阶段通常在遏制阶段之后,在恢复和经验教训阶段之前。

在根除章节阅读更多内容


恢复

事件响应的"恢复"阶段是指重点转向恢复正常业务运营,并将受影响的系统、网络和数据恢复到完全功能和安全状态的阶段。恢复阶段在遏制和根除阶段之后,涉及旨在从事件影响中恢复并最大限度地减少对组织造成的任何中断的活动。公司经常在遏制和根除完成之前就转向恢复阶段,导致事件响应效果不佳,延迟恢复正常运营状态。不要犯这个错误。

在恢复章节阅读更多内容


经验教训

事件响应的"经验教训"阶段是事件解决后和正常运营恢复后的重要步骤。这个阶段专注于反思事件响应过程,识别宝贵的见解、改进和最佳实践,以增强未来的事件响应工作。主要目标是从事件中学习,防止类似事件再次发生,并加强组织的整体安全态势。

在经验教训章节阅读更多内容


工具索引

事件响应人员的惊人资源列表。 工具索引

编辑推荐精选

讯飞智文

讯飞智文

一键生成PPT和Word,让学习生活更轻松

讯飞智文是一个利用 AI 技术的项目,能够帮助用户生成 PPT 以及各类文档。无论是商业领域的市场分析报告、年度目标制定,还是学生群体的职业生涯规划、实习避坑指南,亦或是活动策划、旅游攻略等内容,它都能提供支持,帮助用户精准表达,轻松呈现各种信息。

AI办公办公工具AI工具讯飞智文AI在线生成PPTAI撰写助手多语种文档生成AI自动配图热门
讯飞星火

讯飞星火

深度推理能力全新升级,全面对标OpenAI o1

科大讯飞的星火大模型,支持语言理解、知识问答和文本创作等多功能,适用于多种文件和业务场景,提升办公和日常生活的效率。讯飞星火是一个提供丰富智能服务的平台,涵盖科技资讯、图像创作、写作辅助、编程解答、科研文献解读等功能,能为不同需求的用户提供便捷高效的帮助,助力用户轻松获取信息、解决问题,满足多样化使用场景。

热门AI开发模型训练AI工具讯飞星火大模型智能问答内容创作多语种支持智慧生活
Spark-TTS

Spark-TTS

一种基于大语言模型的高效单流解耦语音令牌文本到语音合成模型

Spark-TTS 是一个基于 PyTorch 的开源文本到语音合成项目,由多个知名机构联合参与。该项目提供了高效的 LLM(大语言模型)驱动的语音合成方案,支持语音克隆和语音创建功能,可通过命令行界面(CLI)和 Web UI 两种方式使用。用户可以根据需求调整语音的性别、音高、速度等参数,生成高质量的语音。该项目适用于多种场景,如有声读物制作、智能语音助手开发等。

Trae

Trae

字节跳动发布的AI编程神器IDE

Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。

AI工具TraeAI IDE协作生产力转型热门
咔片PPT

咔片PPT

AI助力,做PPT更简单!

咔片是一款轻量化在线演示设计工具,借助 AI 技术,实现从内容生成到智能设计的一站式 PPT 制作服务。支持多种文档格式导入生成 PPT,提供海量模板、智能美化、素材替换等功能,适用于销售、教师、学生等各类人群,能高效制作出高品质 PPT,满足不同场景演示需求。

讯飞绘文

讯飞绘文

选题、配图、成文,一站式创作,让内容运营更高效

讯飞绘文,一个AI集成平台,支持写作、选题、配图、排版和发布。高效生成适用于各类媒体的定制内容,加速品牌传播,提升内容营销效果。

热门AI辅助写作AI工具讯飞绘文内容运营AI创作个性化文章多平台分发AI助手
材料星

材料星

专业的AI公文写作平台,公文写作神器

AI 材料星,专业的 AI 公文写作辅助平台,为体制内工作人员提供高效的公文写作解决方案。拥有海量公文文库、9 大核心 AI 功能,支持 30 + 文稿类型生成,助力快速完成领导讲话、工作总结、述职报告等材料,提升办公效率,是体制打工人的得力写作神器。

openai-agents-python

openai-agents-python

OpenAI Agents SDK,助力开发者便捷使用 OpenAI 相关功能。

openai-agents-python 是 OpenAI 推出的一款强大 Python SDK,它为开发者提供了与 OpenAI 模型交互的高效工具,支持工具调用、结果处理、追踪等功能,涵盖多种应用场景,如研究助手、财务研究等,能显著提升开发效率,让开发者更轻松地利用 OpenAI 的技术优势。

Hunyuan3D-2

Hunyuan3D-2

高分辨率纹理 3D 资产生成

Hunyuan3D-2 是腾讯开发的用于 3D 资产生成的强大工具,支持从文本描述、单张图片或多视角图片生成 3D 模型,具备快速形状生成能力,可生成带纹理的高质量 3D 模型,适用于多个领域,为 3D 创作提供了高效解决方案。

3FS

3FS

一个具备存储、管理和客户端操作等多种功能的分布式文件系统相关项目。

3FS 是一个功能强大的分布式文件系统项目,涵盖了存储引擎、元数据管理、客户端工具等多个模块。它支持多种文件操作,如创建文件和目录、设置布局等,同时具备高效的事件循环、节点选择和协程池管理等特性。适用于需要大规模数据存储和管理的场景,能够提高系统的性能和可靠性,是分布式存储领域的优质解决方案。

下拉加载更多