网络攻击事件处置方案

网络攻击事件处置方案第一章事件发现与初步研判1.1发现渠道渠道类别触发方式典型特征责任岗位响应时限安全监测平台告警阈值触发流量突增、C&C通信、暴力破解SOC值班员≤5分钟业务方人工上报系统卡顿、数据异常页面篡改、订单重复扣款业务运维≤10分钟外部通报监管、CNVD、友商域名被劫持、钓鱼链接安全对接人≤15分钟1.2信息收敛收到线索后，值班员立即执行“三分钟快速收敛”：a)时间范围：以告警时间为基准，前后各扩30分钟；b)资产范围：锁定告警IP对应的所有关联资产（公网IP、内网IP、域名、容器集群）；c)日志范围：一次性拉取Nginx、WAF、EDR、主机audit、云审计五类日志，压缩打包到临时证据目录`/evidence/YYYYMMDD/`，防止被后续操作污染。1.3分级定级采用“三维打分法”：维度权重评分标准（示例）得分区间影响范围40%单点=1，单系统=3，多系统=50–5数据敏感性30%公开=1，内部=3，核心=50–5攻击意图30%扫描=1，GetShell=3，勒索=50–5总分≥12为P1（重大），8–11为P2（高危），4–7为P3（中危），＜4为P4（低危）。P1、P2立即启动“红色电话链”，30分钟内完成决策层通报。第二章应急组织与指挥2.1双轨制指挥技术线：由“应急技术指挥官”（CISO兼任）统一调度，向下分设“流量分析组”“样本逆向组”“业务恢复组”；业务线：由“业务连续性指挥官”（COO兼任）负责对外公告、客服话术、资金赔付。两线每60分钟互报一次，防止技术修复与业务声明脱节。2.2战时通讯录角色主责人备份人联系方式授权边界应急技术指挥官张三李四企业微信+卫星电话可临时关闭全网443入口流量分析组王五赵六飞书群+VPN语音可调动全流量镜像法务陈七－手机24h开机可对外发律师函2.3决策升级当以下任一条件触发，自动升级至“战时董事会”：1.数据泄露超10万条；2.勒索金额≥50万美元；3.监管现场入驻。升级后，董事会拥有“断网、停机、放弃业务线”最高授权。第三章遏制与隔离3.1网络层隔离场景手段命令示例生效时间回滚方案单台沦陷强制下线`ansible-ihostlistinfected-mshell-a"iplinkseteth0down"`秒级现场插网线横向移动微隔离调用NSXAPI将失陷网段移入“Quarantine”段，ACL仅开放53与80日志回传分钟级API再移回域控被夺强制改密立即批量重置所有域管口令≥16位随机分钟级AD回收站3.2应用层止血1.若发现WebShell，立即执行“三杀”：杀进程、杀文件、杀定时任务；2.若发现数据库异常导出，先挂起账号而非删除，保留连接状态供取证；3.对外API接口若被滥用，在API网关层一键降频到1QPS，并弹出验证码。3.3证据固化使用`dd`制作全盘镜像，命令：`ddif=/dev/sdaof=/evidence/sda.`date+%s`.imgbs=4Mconv=noerror,sync`；内存采用`avml`工具，避免覆盖；镜像计算SHA-256并写入`/evidence/sha256.log`，由两位工程师交叉签名。第四章根因分析与样本研究4.1流量侧还原将失陷时段PCAP导入Zeek，输出`notice.log`，重点看`APT::C&C`标签；对DNS隧道使用`dns-cat`检测脚本，特征：域名长度≥35字节、TXT记录entropy≥7.2。4.2样本侧逆向阶段工具链关键产出耗时脱壳Scylla+x64dbg找到OEP，Dump内存1h行为CAPEv2沙箱生成20份报告30min代码IDA+Decompiler提取C2域名、RSA公钥3h4.3攻击路径图采用MITREATT&CKNavigator标注，颜色深度表示“已确认/疑似/未观测”，输出PDF挂战情室大屏；同时用`mermaid`生成时序图，写入Confluence，方便复盘。第五章清除与加固5.1清除标准满足“三无一全”方可下线：1.无恶意进程；2.无残留文件（`yara`扫描0hit）；3.无异常账号；4.全补丁。5.2补丁管理系统补丁来源灰度策略回滚时限责任人CentOS7RHSA官方先10%业务灰度24h2h运维张Windows2019WSUS先测试域48h4h运维李k8s集群kubeadm升级先master单节点1h容器组5.3配置基线使用OpenSCAP执行CIS基准扫描，失败项≥5则视为“不洁净”，强制重镜像；容器场景下，以`cosign`验证镜像签名，未签名镜像一律拒绝启动。第六章业务恢复与验证6.1恢复优先级业务系统RTORPO依赖组件启动顺序支付网关15min0sMySQL主库、Redis、消息队列第1位用户中心30min5minLDAP、Kafka第2位报表系统2h1hETL、Hive第3位6.2数据一致性校验支付表：使用`pt-table-checksum`对比主从，差异行数=0方可切流；库存表：采用业务方脚本下单→回滚，验证库存扣减与日志匹配。6.3用户无感验证灰度5%真实流量，观察30分钟，错误率＞0.1%立即回滚；同步在Twitter、微博搜索关键词“宕机”“崩了”，舆情10条以上即暂停恢复。第七章溯源与取证7.1日志留存策略日志类型留存时长压缩格式加密算法存储位置全流量PCAP180天zstdAES-256-GCM冷存磁带EDR行为日志1年gzipSM4对象存储云审计3年原格式KMS托管多区复刻7.2溯源模型采用“钻石模型”+“KillChain”双视图：1.adversary视角：对C2域名做WHOIS反查，结合PassiveDNS找到最早解析时间；2.infrastructure视角：对IP做BGP路径分析，查看是否属于bulletproof托管；3.capability视角：样本PDB路径、RichHeader编译时间对比，寻找与已知家族相似度。7.3司法取证聘请第三方鉴定中心，全程录像拆硬盘，封存链袋编号；出具《电子数据提取报告》，加盖司法鉴定章，确保民事索赔可用。第八章沟通与披露8.1内部通报层级通报形式间隔内容模板审批人技术组飞书群30min当前进展、待办、风险技术指挥官高管群加密邮件2h影响面、损失预估、下一步CEO全员企业头条事件结束后4h脱敏总结、表扬、教训公关8.2外部披露监管侧：72小时内通过“网络安全事件报告系统”提交首报，7日内提交详报；用户侧：遵循“双通道”原则——官网banner+APP弹窗同步推送，避免用户因信息差产生二次恐慌；媒体侧：统一口径，拒绝猜测式采访，所有问答采用编号制，防止版本漂移。第九章复盘与改进9.1复盘会议流程1.会前：收集Timeline，精确到秒级；2.会中：采用“5Why”+“鱼骨图”双工具，产出30条改进项；3.会后：建立OKR，责任人+完成时间写入Jira，安全VP每月巡检。9.2改进闭环示例问题根因改进措施验收指标完成时间责任人日志被删rsyslog未远程转发部署rsyslog-tls到只读日志池删除本地日志后仍可检索90天30天内王五补丁滞后无灰度策略引入灰度编排系统补丁从发布到生产≤14天60天内赵六9.3演练升级将原有“桌面推演”升级为“红蓝对抗+紫队复盘”：红队采用0day模拟，蓝队全程在产线环境（隔离网）迎战；紫队负责记录“检测缺口”，输出《检测工程化需求》，纳入下一季度预算。第十章工具链与自动化10.1自动化剧本场景剧本名触发条件执行动作结果校验暴力破解auto_sshban同一IP5分钟失败≥30次调用FWAPI封IP24h封禁列表命中WebShell上传auto_webshellWAF日志regex匹配隔离主机+拉取证镜像Yara扫描0hit异常出口流量auto_dns_tunnelDNSentropy≥7.2强制下线容器并抓包流量归零10.2剧本开发规范采用Ansible+Python混合编写，所有剧本必须包含：1.幂等检测；2.回滚标签；3.日志输出到`sysloglocal2`，便于SIEM关联。10.3供应链安全对剧本仓库开启GPG签名+分支保护，Merge需两人CodeReview；定期（每月1日）运行`dependency-check`，CVE≥7.0的组件7日内升级。第十一章培训与意识11.1分层培训对象频率形式课时考核开发季度安全编码工坊4h上线漏洞率下降30%运维半年应急沙盘8h平均MTTR缩短20%全员年钓鱼演练1h点击率≤5%11.2激励机制发现真实漏洞并报告，按CVSS打分给予500–5000元京东卡；在应急中表现突出人员，颁发“蓝盾勋章”，与晋升挂钩。11.3文化度量每半年发布“安全信心指数”调研，设置10个Likert量表题，目标≥80%员工认同“公司能应对重大攻击”。第十二章预算与持续运营12.1预算模型采用“风险敞口—控制成本”双轴法：风险敞口=（单次预期损失×发生概率），控制成本≤风险敞口×70%，确保ROI为正；每年9月完成下一年度预算评审，董事会一次性批复，中途无重大事件不调整。12.2外包管理对MSSP设立“双线考核”：技术线：SLA达成率≥99%，MTTD≤30分钟；合规