1.4 网络安全应急响应现场处置流程
在日常工作中遇到更多的是在事件发生后进行的问题排查及溯源。常见网络安全应急响应场景有勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露、流量劫持,如图1.4.1所示。
![img](https://book.img.zhangyue01.com/group61/M00/3E/43/CmRaIV_KWWaEKx55AAAAAGyxpYc138244038.jpg?v=a5iaMjJF&t=CmRaIV_KWWY.)
图1.4.1 常见网络安全应急响应场景
在现场处置过程中,先要确定事件类型与时间范围,针对不同的事件类型,对事件相关人员进行访谈,了解事件发生的大致情况及涉及的网络、主机等基本信息,制定相关的应急方案和策略。随后对相关的主机进行排查,一般会从系统排查、进程排查、服务排查、文件痕迹排查、日志分析等方面进行,整合相关信息,进行关联推理,最后给出事件结论。网络安全应急响应分析流程如图1.4.2所示。
![img](https://book.img.zhangyue01.com/group61/M00/3E/43/CmRaIV_KWWaEEYToAAAAAIZQLwI522072220.jpg?v=P2HnOVOU&t=CmRaIV_KWWY.)
图1.4.2 网络安全应急响应分析流程