故事發生背景:某市休日爆發大規模勒索病毒感染事件,該病毒利用系統漏洞進行傳播,並產生一定的影響。
〇. 演練開始前乙方協助做好模擬環境的搭建和部署。
一.演練開始
1.甲方下達開始指令,各負責人到位。
2.甲方啟動“安全預警”預案等。(協助甲方開始自查等流程)。
二.啟動病毒感染應急預案:(結合APT設備進行分析)
- 了解攻擊發生的時間和現象,大致判斷病毒類型。
- 確定甲方內部感染主機,內部感染規模,業務影響程度。
- 對可能造成影響的主機進行隔離。(斷網)
- 日志備份和病毒樣本留存。進行威脅溯源
三.與甲方交接協助做好書面報告和客戶安撫工作。
四.按照應急預案開始處置
1. 病毒行為分析。
2. 尋找並清理病毒進程。
3. 找出病毒,刪除文件。
4. 刪除相關注冊表。
5. 進行系統升級。
6. 進行全網排查,確認處置是否有效。
7. 嘗試恢復信息系統的正常運行。
8. 報告演練完成。
五.應急事件的調查與總結
參考鏈接
https://wenku.baidu.com/view/836bd935551810a6f4248640.html
https://www.leiphone.com/news/201705/VaV7a4JoMQzfRZWc.html
http://blog.nsfocus.net/emergency-response-case-study/