卡巴斯基应急响应指南（译）.pdf

卡巴斯基实验室每年发现约325,000个新型恶意软件，这些恶意软件不仅威胁家庭用户，同样也给企业、银行、关键基础设施、政府组织以及应用自动化控制系统（ACS）的制造业带来风险。为了应对这些风险，卡巴斯基实验室发布了这份应急响应指南，旨在为安全事件响应（Incident Response, IR）提供基础说明与诠释，并构建一个建设性的安全事件响应流程。这份指南还介绍了在安全事件响应过程中的各阶段所需的各种工具和实用程序，以及提供最佳实践案例。以下是从这份指南中提炼出的详细知识点。 ### 安全事件响应（IR）基础 1. **安全事件响应的定义**：安全事件响应（IR）是指处理和管理因网络攻击而导致组织信息安全及资产受到损害的事件的过程。 2. **安全事件响应的目的**： - 将攻击周期内的所有相关信息与行为系统化，并融入安全事件响应过程中； - 提供一个建设性的安全事件响应行为流程； - 介绍安全事件响应各阶段所需使用的工具和实用程序； - 提供安全事件响应的最佳实践案例。 3. **适用范围**：本指南适用于技术专家（系统管理员）、IT和信息安全管理负责人。 4. **建议阅读内容**：读者应熟悉安全事件响应、数据取证以及恶意软件的深入分析与逆向工程的相关知识。 5. **额外资源**：卡巴斯基实验室提供全面的网络安全课程，覆盖从基础到高级的技术层面知识，包括安全事件响应的理论和实践。 ### 术语和定义 1. **APT（高级持久性威胁）**：一种攻击类型，攻击者通过这种方式获取对组织资产的访问权，并试图长期隐蔽潜伏，通常目标是监听和窃取敏感数据。 2. **工件（artifact）**：在恶意软件攻击过程中创建或篡改的对象，例如恶意软件文件、系统日志条目等。 3. **资产（asset）**：属于组织的对象或实体，如工作站、安全控件等。 4. **攻击（attack, cyberattack）**：攻击者发起的恶意行为，目的通常是控制、损坏或销毁计算机网络及其系统。 5. **攻击者（attacker）**：发动网络攻击的个人或团体，通常试图获取组织资产的访问权。 6. **C&C服务器（命令及控制服务器）**：用于向被攻破的计算机发送命令的计算机。 7. **防御措施（defensive measures）**：组织用来防御网络攻击的安全控件及过程。 8. **终端防病毒设施（endpoint antivirus solutions）**：用于保护组织工作站抵御网络攻击的软件。 9. **事件（event）**：涉及组织资产的任何事情，通常表现为可识别的消息、模式、值或标记。 10. **利用程序（Exploit）**：一段代码、数据或命令，可利用安全漏洞提供攻击荷载（Payload）。 11. **安全事件（incident）**：因网络攻击而导致组织信息安全及资产受到损害的事件。 12. **攻击指示器（indicators of compromise, IOC）**：识别网络或系统上潜在恶意活动的数据片段。 13. **攻击荷载（Payload）**：攻击者用来达成攻击目标的软件程序。 14. **取样样本（software or virus sample）**：信息安全团队从受损资产中获取的特定实例或其一部分。 15. **安全控件（security control）**：组织用于防御网络攻击的设备或软件程序。 16. **信息安全团队（security team）**：组织内部员工组成，负责执行安全事件响应的团队。 ### 关键知识点总结 这份指南强调了安全事件响应的重要性，并为读者提供了一系列的基础知识和专业术语。了解这些知识对于执行有效的安全事件响应策略至关重要，同时也需要对于每个术语背后的概念有深刻的理解。在面对恶意软件攻击时，能够识别攻击者、攻击类型、被攻击的资产、攻击过程中的工件以及攻击指示器等信息，是构建有效防御策略和应对措施的基础。 此外，指南中提到的高级持久性威胁（APT）特别需要关注，因为它们通常涉及定制的高复杂度软件和长期潜伏在组织内部，目的是窃取敏感数据。要防御这类攻击，组织需要制定长期监控和快速响应的策略，并且与专业的网络安全机构合作，获取最新的安全情报和响应技术。 卡巴斯基实验室提供的全面网络安全课程是为技术专家和IT安全管理负责人准备的宝贵资源，能够帮助他们在安全事件响应方面获得更深入的理论知识和实践经验。