故事发生背景:某市休日爆发大规模勒索病毒感染事件,该病毒利用系统漏洞进行传播,并产生一定的影响。
〇. 演练开始前乙方协助做好模拟环境的搭建和部署。
一.演练开始
1.甲方下达开始指令,各负责人到位。
2.甲方启动“安全预警”预案等。(协助甲方开始自查等流程)。
二.启动病毒感染应急预案:(结合APT设备进行分析)
- 了解攻击发生的时间和现象,大致判断病毒类型。
- 确定甲方内部感染主机,内部感染规模,业务影响程度。
- 对可能造成影响的主机进行隔离。(断网)
- 日志备份和病毒样本留存。进行威胁溯源
三.与甲方交接协助做好书面报告和客户安抚工作。
四.按照应急预案开始处置
1. 病毒行为分析。
2. 寻找并清理病毒进程。
3. 找出病毒,删除文件。
4. 删除相关注册表。
5. 进行系统升级。
6. 进行全网排查,确认处置是否有效。
7. 尝试恢复信息系统的正常运行。
8. 报告演练完成。
五.应急事件的调查与总结
参考链接
https://wenku.baidu.com/view/836bd935551810a6f4248640.html
https://www.leiphone.com/news/201705/VaV7a4JoMQzfRZWc.html
http://blog.nsfocus.net/emergency-response-case-study/