Question

1.准备

PDCERF 模型第一阶段即是准备工作，包括应急响应的规范制度、具体技术工具和平台的搭建运营等。制度规范制定后需要真正能落实执行，并依靠模拟演练来提升处理效率。技术工具和平台有所区别，工具是类似于静态编译的 ls、lsof、ps、netstat 以及一些快速分析日志、扫描文件特征的脚本等，这些到了目标机器上就会发挥作用；而平台则是在企业部署了 FW、NIDS、HIDS、WAF 等系统后，将各种安全系统在终端、网络、应用上采集的日志集中送到平台进行关联分析（如 SOC 系统）。

2.检测

发生事件后，需要判断受影响的系统是什么，事件的性质是什么，这就是检测阶段。基于初步的分析结论，再采取不同的处理流程进行应急处置。

如互联网某边缘系统被攻击，在 SOC 系统上报警有扫描行为，可能只需要运营人员简单拒绝就可以了，安全自动化做得好的企业可能就自动拦截了，不需要介入应急响应流程。

进一步，这个边缘系统报警有执行敏感指令而且父进程属于 Web 应用，这可能就需要应急人员开始处置了，但是否上报，上报到哪个层级，估计只是汇报给安全主管就可以了。

再进一步，如果网银系统有大量撞库攻击事件，同时有客户报障其账户因错误多次被锁，那只汇报给安全主管肯定不合适了。

检测工作除了要对业务了解，还有包括一些技术工作在内，比如流量大报警，是正常业务或发布导致还是有攻击，攻击是常规的 DDoS、还是 CC、还是机器被控制向外发包；再比如一封恶意邮件投递进来后，利用的是什么漏洞，回连地址是什么，以上这些，要利用一些技术手段去检测。

3.抵制

有了前面的判断分析，出具针对性的“止血”措施，便是抵制阶段要做的工作。外网来的攻击，是封来源 IP 还是流量清洗，针对内网的攻击是在出口封堵还是在终端上干涉，都是执行层面的工作，日常多演练，尽量自动化，会极大地提升效率。

4.根除

针对事件进行根因分析，定位到真正的原因。比如前面“检测”一节说的边缘业务系统被人获得了 Webshell，对应的漏洞是什么？通过日志分析还原出整个入侵轨迹，进而发现到底有什么漏洞，便于接下来的整改工作。

5.恢复

恢复正常业务，这个过程不再赘述，前提是问题得到有效解决。

6.跟踪

发生安全事件，往往意味着安全系统不完善或者运营过程中存在失效情况，对事件进行根因分析，进而发现现有安全控制手段的缺陷，是一个很好的提升机会。

比如，前面 WAF 未拦截而后触发了 IPS 报警，就可以针对性地优化 WAF 策略；某页面有手机号未做脱敏处理被外界发现，就可以针对性地发现从开发、测试到运维侧的各种问题，落实到安全运维上，针对此信息泄露未能有效监测也是一个提升改进点。最后这些改进点，是否都落实到人，期限是多少，是否有效？这就是本阶段需要做的工作了。