我正在寻找一个非常好的来源和/或预订如何应对计算机入侵。我遇到过许多涉及这个主题的书籍,说明了获取法医文物的工具和技术,但我正在寻找一个操作指南/过程。
例如,您阅读...首先在开始IR响应之前验证事件是否已实际发生。在这种情况下我到底该怎么办?我有很多选择。我是否进行netstat以查看当前是否有违规的IP地址,我是否评估文件系统以查看是否可以找到可疑文件等。当然,这些决策中的每一个都会对数据产生残留影响,你必须在以后解释。其次,您如何解决大型网络中的许多计算机受到影响的情况。如果你清理一个,其他人可能仍然在那里,并将重新感染。我正在寻找能够回答这些问题的来源。
有人可以建议一个很好的信息来源。对此?
答案 0 :(得分:1)
您问题的第二部分询问有关IR的信息,用于识别大型网络中的所有黑客计算机,以防止再次感染。仅供参考,这是一篇关于该主题的论文。这是最早的IR论文之一,但可能会有所帮助:
“使用军事战场情报过程进行事件响应的入侵检测” http://seclab.cs.ucdavis.edu/papers/science.pdf
答案 1 :(得分:0)
听起来您可能正在寻找事件响应(IR)的标准操作程序(SOP),即IR食谱。根据我的经验,由于受保护的资产,可用资源,技术技能水平等的变化,组织间的IR流程和技术会有很大差异。此外,由于攻击类型,所涉及的技术,个别调查可能会有很大差异(例如,系统和网络),可用的安全资源,安全监控(日志)等。所有这些变化都限制了为IR创建SOP的机会。
例如,有一本关于两位思科作者的安全监控的好书。我强烈推荐它,但你可能没有他们拥有的所有安全资源和技能。什么对他们有效,可能不适合你的环境。
“安全监控:企业网络上事件检测的成熟方法” http://www.amazon.com/Security-Monitoring-Incident-Detection-Enterprise/dp/0596518161
无论如何,所有这些都说,如果您正在寻找IR食谱解决方案,考虑IR SOP的这些限制可能会有所帮助。