应急响应（Incident Response）在护网中发挥最后屏障的作用。在进行红蓝对抗中，应急响应的目标是在攻击发生后，在最短的时间内控制影响，还原路径，固定证据。是确保目标系统不被攻陷、关键数据不被窃取的重要环节。

业界最常用的一套模型是PDCERF，将响应分为六个阶段。

---

准备阶段

        这个阶段能够确保在真正遇到攻击时，应急响应的速度和效率。

        准备工具：使用U盘等干净可靠的存储器，存储准备好的取证工具、流量分析工具（wireshark）、日志分析工具、杀毒、沙箱等工具。

        预案制定：针对常见的攻击（数据泄露、DDoS等）提前写好遭到攻击的预案，从而在面对攻击时快速应对，限制攻击。

        团队分工：护网团队要分好应急响应小组，组内定好角色分工，各司其责。

检测分析

        这个阶段主要是研判内容，从海量的告警中确定是否真的发生了安全事件。

        线索收集：IDS/IPS，SIEM/SOC告警、全流量威胁检测、用户异常行为等各种渠道。

        初步研判：

                1、定性：确认是否是误报，确定是内部操作违规还是来自外部的攻击。

                2、定损：攻击已经造成的影响，设计的范围（资产、数据）

                3、定级：根据已有的标准（往往是公司标准），按照影响范围，决定事件等级，决定资源的投入和上报情况。

        证据保留：要记录所有的操作，开启操作审计，确保证据保留完整。

遏制阶段

        此为检测到攻击入侵后的第一阶段，主要进行的是切断传播、阻断攻击，主要任务为控制损失，而不是恢复。

        网络层遏制：在交换机或防火墙上隔离受感染的VLAN，断网但不关机（保留内存证据），封禁恶意IP/域名。

        主机层遏制：阻断可疑进程的网络连接，挂起或限制用户账号，修改被盗凭证。

        应对方案选择：根据实际的请款选择临时阻断还是长期隔离，并且提前通知业务方。

根除阶段

        根除阶段是在成功遏制了攻击影响范围，限制了攻击后，解决事件根本原因。

        修补漏洞：修复攻击者利用的高危漏洞，例如SQL注入、未授权访问等漏洞。

        清除恶意软件：杀死恶意进场、删除持久化服务、计划任务、注册表项、启动项和webshell。

        全局重置：对所有受影响的机器等资产，强制重置其密码、销毁泄露的凭证和会话令牌。

        补丁加固：针对被攻击点打补丁，确保不会在其他位置发生同样的攻击。

恢复阶段

        本阶段要从最核心的业务开始，逐步恢复正常的服务，并且要确保系统是正确干净的，不再有后门等残留问题。

        可信备份恢复：对于可以确定没有受到攻击影响的纯净备份，可以恢复备份并做完整的扫描。

        分阶段上线：先进行小范围的灰度验证，进行监控。如果没有发生异常，便可以全量切回流量了。

        增强监控：在发生攻击后，要对其进行严密监控，确保攻击者没有通过后门再次造访。

跟进和复盘

        时间处理完毕后，进行事后复盘。

        复盘报告：按照时间线还原攻击路径

        评估相应时效：也就是给本次应急响应打分，主要依据是MTTD（平均检测时间）、MTTR（平均响应时间）

        改进：将复盘中发现的短板缺点，转变为具体的弥补措施，更新应急预案。

---