现场勘查

1. 现场勘查

一般包括询问、访问、观察情况记录,用于前期记录已知安全事件发生到发现后过程的细节。需要根据问答根据专业的角度判断哪些可以采纳哪些不可采纳哪些存在疑点有待后续确认。

1.1. 现场询问

1.1.1. 现场询问的目的和意义:

由于应急响应均为事后处置相关内容,我们的目标是尽可能在有限的时间内找到攻击IP、取证分析、还原出攻击过程、甚至完成相关报告。因此在询问阶段应通过与现场人员的问答中得到我们分析需要的相关内容已节省时间,为了避免一些问题过于主观一般问题尽可能让现场人员回复客观的内容不限于:网络拓扑图是怎样?、事件发现过程是怎样?、目前排查下来的时间是什么时间?、目前有什么可疑的点吗?

1.1.2. 现场询问的思路:

  1. 问网络框架
  2. 问其因经过结果
  3. 问关键线索
  4. 问是否已有怀疑方向线索,证据是什么,根据其判断是否合理采用,不严谨则不采用,仅记录

1.1.3. 一般询问内容可能包括:

  1. 客户的需求结果(需了解清楚客户具体要什么,得到一份关于什么的报告
  2. 客户的现场资源(例如可查看的主机,是否可安装我们的软件,是否可以连接外网
  3. 客户的出结果时间(交付应急报告的时间

1.1.4. **现场注意项: **

  1. 先与销售确认客户的需求与销售已知的现场情况
  2. 客户提出的新需求先和销售对接确认后在和客户说是否做

1.2. 现场观察

应根据事件类型明确是什么类型的应急

1.2.1. 案件类型应急

应保持现场保密,尤其是针对现场无法辨认可疑身份的人员应做到,少透露或避免透露应急或案件整体细节;还应对公司内部、对社会公众严格保密,遵守要求对案件敏感内容以及自身案件工作的保密。

1.2.2. 一般安全事件应急

一般安全事件应急仍然需要保持事件敏感以及自身工作内容的敏感,防止因自己疏忽导致舆论以及公司名誉收到损伤。

1.3. 信息收集基本记录

客户属性:如名称/区域/领域等 入侵范围:如主机数/网段等 入侵现象:如cpu过高,勒索界面,异常网络链接,安全设备告警等 客户需求:是否要求溯源,是否要求协助修复等

1.4. 从始至总的基本原则

  1. 务必亲自求证,眼见为实耳听为虚