伴随着信息化时代的飞速跃进，计算机信息系统和网络已经延伸到国民生活的方方面面，并在社会中占据着无可替代的重要地位。而这其中潜藏的危险的也在日益凸显。2017年国家发布施行《中华人民共和国网络安全法》，更加印证了信息安全的重要性。

经大佬老板推荐，有幸参读了卡巴斯基的应急响应指南，让小白的我从中学到了值得借鉴的思路。虽然并无实践经验，但是希望可以将这些内容整理分享出来，供大家参考。

卡巴斯基的应急响应指南虽不是一个极具实操性的行动指南，却通过攻击模型（kill chain）、响应流程、实用工具以及实践案例，对应急响应（Incident Response）进行了多方面的诠释。不同于事前筹谋、事后补救的传统论调，这里着重强调“敌我分析”，主张“反以知彼，复以知此”。其结构如下图所示：

Kill chain模型及应急响应模型

Kill chain模型，网络攻击结构化模型之一。Kill chain模型定义了七个攻击阶段。这些阶段均为必经阶段，且若攻击行为在这些阶段中的任意环节（“执行目标”阶段除外）被终止，那么攻击将无法成功。攻击对组织造成的损失程度（经济损失、名誉损失等）取决于攻击被检测出的阶段。攻击被监测出的时效性就尤为重要。如下图所示：

与之相呼应的应急响应（Incident Response）模型，基于Kill chain模型的相关信息定义了6个阶段。如下图所示：

其中“鉴别”阶段涉及到一个贯穿全文的重要术语-IOC（indicators of compromise），IOC是用于识别系统或网络中存在潜在的恶意活动的数据片段。通过静态、动态分析可收集到多种类型的IOC，通过收集到的新IOC可对攻击事件执行进一步的识别与分析。收集IOC是一个循环过程。如下图所示：

应急响应流程详解

依据上文介绍的应急响应（Incident Response）模型，结合多个操作场景，分步将其进行了细化。其中，“鉴别”阶段引入了一个术语-事件触发器（Incident triggers），它是一个能够指示网络威胁表征的事件，也是安全团队用于区分事件（Event）与安全事件（Incident）的基准。由组织内部的各安全控件（SIEM系统、终端防病毒设施以及代理服务器等网络设施）引发的事件均可能被认作是事件触发器。此外，在“鉴别”阶段，着重介绍了如何分析不同类型的SIEM安全事件。通过对威胁的URL、IP地址和哈希值（hash）的多场景描述，将SIEM的安全事件进行分类并对每个场景给出了应对的建议操作。

应急响应实例及工具

为了进一步形象地阐述Kill chain模型及应急响应模型，该指南通过一个银行ATM终端攻击事件为例，分阶阐述了攻击方发动攻击与安全团队执行应急响应的整个过程。其中，各响应阶段的实际操作可能会因每个组织的实际情况不同而有所差异。但应急响应模型提供的思路还是很值得借鉴的。

该指南附带提供了“鉴别”阶段、“控制”阶段和“根除”阶段会使用到的一些实用工具。其中，包含卡巴斯基自家主推的安全控件和工具，还有第三方公司的一些实用工具。该指南不仅对这些实用工具的功能、适用OS和用法做了说明介绍，还提供了这些工具的下载地址，以供参考。

卡巴斯基的应急响应指南通过“套路与反套路”的方式提供了一个基础的应急响应思路。先不论它是否具有实践性，但这个基础思路和指南中提及的一些推荐操作还是有其借鉴之处的。

卡巴斯基应急响应原、译文分享（提取码：0698）

*本文作者：Byeol1，转载请注明来自FreeBuf.COM