【愚公系列】《网络安全应急管理与技术实践》 033-网络安全应急技术与实践（PDCERF 应急响应方法-检测阶段）

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

PDCERF方法于1987年由美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出。该方法将应急响应分成准备（preparation）、检测（detection）、抑制（containment）、根除（eradication）、恢复（recovery）、跟踪（follow-up）6个阶段，如图13-1所示。尽管PDCERF方法是一种较为通用的应急响应方法，但并非安全事件应急响应的唯一选择。在实际应急响应过程中，这6个阶段并不一定严格存在，也不必严格按照这6个阶段的顺序进行。然而，PDCERF方法目前被认为是适用性较强的通用应急响应方法之一。在应对安全事件时，组织可以根据具体情况灵活运用PDCERF方法的各个阶段，以确保有效、及时地应对安全威胁，并最大程度地减少损失。

🚀一、检测阶段

在本阶段的工作中，我们需要完成以下任务：

1. 进行日常监测，及时发现应急事件。
2. 根据启动应急预案设定的阈值，快速启动预警。
3. 进行核实和评估，使用规定的策略和程序启动预案。
4. 保持对应急事件的跟踪。

具体操作流程如下：

• 现场处置人员一旦发现可疑的攻击行为，首先要确定是否为误报，并进行文档记录。
• 如确定告警属实，应确定攻击的影响范围和严重程度，并进行分类。
• 然后，初步判断攻击的来源，是内部还是外部。对于内部攻击，需要联系人力资源部门进行调查。
• 同时，还要判断攻击的增长速度等因素，并确定调查的范围。
• 最后，根据预先设定的策略，启动应急预案，采取相应的措施应对应急事件。

请按照以上步骤进行工作，确保能够及时有效地应对应急事件。

🔎1.信息通报

信息通报是信息安全事件发生时的第一个触发机制。准确、客观的情况上报是领导决策应急响应措施的重要基础，因此企业需要建立完善的内部和外部信息通报机制。

1.组织内信息通报

在信息安全事件发生后，应通知应急响应日常运行小组确定事态严重程度和下一步行动，并在损害评估完成后通知应急响应领导小组。通知时应使用即时通信手段如移动电话、网络语音电话等，避免使用电子邮件。通知策略和通知规程应在应急响应计划中明确描述，通知人员应在联系人清单中标明职位、姓名和联络信息。

2.相关外部组织信息通报

信息安全事件发生后，应及时通报受到负面影响的外部机构、互联的单位系统和重要用户。根据应急响应需要，还应准确通报相关设备设施和服务提供商以获取必要支持。对外信息通报应符合组织的对外信息发布策略。

3.信息上报

信息安全事件发生后，应按照相关规定和要求及时将情况上报相关主管或监管单位/部门。

4.信息披露

根据信息安全事件的严重程度，组织应指定特定的小组及时向新闻媒体发布相关信息。被指定的小组应严格按照组织的规定对外发布信息，其他部门或个人不得随意接受媒体采访或发表个人意见。

🔎2.确定事件类别与事件等级

信息安全事件发生后，应急响应日常运行小组根据组织的内部定义和等级评定标准对信息安全事件进行评估，确定信息安全事件的类别与级别。

🔎3.应急启动

应急启动具体操作遵循以下3个规则：

1.启动原则：快速、有序。

2.启动依据：一般情况下，对于导致业务中断、系统宕机、网络瘫痪等突发/重大的信息安全事件，应立即启动应急。不同组织对突发/重大信息安全事件的定义可能不同，因此启动条件可能各不相同。启动条件可以考虑人员安全和设施损失程度、系统损失程度（包括物理、运作或成本）、系统对组织使命的影响程度以及预期中断持续时间等。只有当损害评估结果满足一个或多个启动条件时，才应启动应急响应计划。

3.启动方法：应急响应领导小组发布应急响应启动令。启动后，应急响应领导小组要检查和督察人力、财力和物力的到位情况，并记录实际发生的情况。