應急響應服務的內容

應急響應服務內容包括以下這些：

• 找到問題點：并在短時間內判斷此次事件是否與安全有關。在發現故障后快速定位問題點考驗的是運維團隊和安全團隊的綜合協調能力。

• 快速恢復業務：這個階段重點是準確，應急預案的選擇和執行是否有效是關鍵。

• 進行全面排查，消除隱患：入侵者一般都會給自己留條后路，一個入侵點被封堵后不至于毫無辦法。需要應急團隊能夠找出共性的特征（如：后門文件、反連域名等），然后進行細致篩查，沒有應急團隊的可以要求廠商協助處置。

• 控制事件蔓延：采取有效的措施防止事件的進一步擴大，盡可能減少負面影響。

• 遏制效應：采取常規的技術手段處理應急事件，嘗試快速修復系統，消除應急事件帶來的影響。

• 遏制監測：確認當前的抑制手段是否有效，分析應急事件發生的原因，為根除階段提供解決方案。

• 啟動應急預案：協調各應急響應小組人員到位，根據應急場景啟動相關預案；

• 根除監測：根據應急預案的執行情況確認處置是否有效，嘗試恢復信息系統的正常運行；

• 持續監測：當應急處置成功后對應急事件持續監測，確認應急事件已根除，檢查信息系統運行是否恢復到正常狀況；

• 情報獲取：在情報收集這一塊，可以跟各家安全廠商溝通，希望能免費幫忙提供威脅情報支持，當然在資金充足的情況下，也可以采用付費訂閱的方式每周或每天發送至工作郵箱。

• 情報分析：可以根據漏洞利用的難易程度，受影響范圍，還有網上是否已經有POC來進行區分，也就是優先級，一般我們都會選擇遠程代碼執行，任意代碼執行，exp，poc的漏洞優先進行分析，這樣可以盡量快速的處理，畢竟每個企業的安全人員都是非常少的。

• 情報決策：一般我們都會將寫個情報分析報告，其中會包括情報來源，情報類型，可利用情況，修復方式，受影響的資產，是否已有poc，等，從而得出一個風險級別，發送給領導決策，審閱，一般高危以上的情報，且單位也有受影響的資產，這時都會直接找領導現場溝通，待同意后再進行下一步操作，切記，郵件一定要領導審閱。

• 情報處置：針對已篩選出的情報，領導也審閱完成，這時就根據內部的規范流程，準備好應急處置的方案，受影響的資產，反饋表等，提交流程給開發團隊，對漏洞進行修復處置，這時我們也需要跟進驗證漏洞的修復情況，直至修復完成。

回答所涉及的環境：聯想天逸510S、Windows 10。