我正在寻找关于如何应对计算机入侵的非常好的资源和/或书籍。我遇到了许多涉及该主题的书籍,说明了获取法医文物的工具和技术,但我正在寻找一个操作指南/过程。
例如,您阅读了……在开始 IR 响应之前首先验证事件是否已实际发生。在这种情况下我具体该怎么做?我有很多选择。我是否进行 netstat 以查看是否存在违规 IP 地址,是否评估文件系统以查看是否可以找到可疑文件等。当然,这些决定中的每一个都有数据的残留影响,你必须稍后解释。其次,您如何解决大型网络中的许多计算机受到影响的情况。如果你清理一个,其他的可能仍然存在并会重新感染。我正在寻找可以回答这些问题的来源。
有人可以建议一个很好的信息来源。为了这?
您问题的第二部分询问了 IR 用于识别大型网络上所有被黑客入侵的计算机,以防止再次感染。仅供参考,这是关于该主题的论文。这是最早的 IR 论文之一,但可能会有所帮助:
“事件响应的入侵检测,使用军事战场情报过程” http://seclab.cs.ucdavis.edu/papers/science.pdf
听起来您可能正在寻找事件响应 (IR) 的标准操作程序 (SOP),即 IR 食谱。根据我的经验,由于受保护的资产、可用资源、技术技能水平等方面的差异,组织之间的 IR 流程和技术可能会有很大差异。此外,由于攻击类型、所涉及的技术(例如、系统和网络)、可用的安全资源、安全监控(日志)等。所有这些变化都限制了为 IR 创建 SOP 的机会。
例如,有两位思科作者写的一本关于安全监控的好书。我强烈推荐它,但你可能没有他们拥有的所有安全资源和技能。对他们有效的方法可能不适合您的环境。
“安全监控:企业网络事件检测的成熟方法” http://www.amazon.com/Security-Monitoring-Incident-Detection-Enterprise/dp/0596518161
无论如何,所有这些都是说,如果您正在寻找 IR 食谱解决方案,考虑 IR SOP 的这些限制可能会有所帮助。