Day-238-应急响应流程框架

# Day 262: 应急响应流程框架 (PDCERF/NIST)

> 应急响应系列第 2 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [主流应急响应框架概述](#主流应急响应框架概述)
2. [PDCERF 模型详解](#pdc erf 模型详解)
3. [NIST SP 800-61 框架详解](#nist-sp-800-61 框架详解)
4. [ISO/IEC 27035 标准](#isoiec-27035 标准)
5. [框架选择与适配](#框架选择与适配)
6. [流程文档化与自动化](#流程文档化与自动化)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 主流应急响应框架概述

### 为什么需要框架

应急响应是一项复杂的系统性工作，涉及多个团队、多种技术、多个阶段。框架的价值在于：

1. **提供标准化流程** - 确保响应活动有序、一致
2. **明确职责分工** - 避免混乱和重复工作
3. **便于培训和演练** - 有章可循，易于传授
4. **支持持续改进** - 可度量、可优化
5. **满足合规要求** - 符合行业标准和法规

### 主要框架对比

| 框架 | 发布机构 | 阶段数 | 特点 | 适用场景 |
|------|----------|--------|------|----------|
| **PDCERF** | SANS/业界通用 | 6 阶段 | 简洁直观，易于理解 | 通用场景 |
| **NIST SP 800-61** | NIST | 4 阶段 | 详细完整，政府标准 | 美国政府及承包商 |
| **ISO/IEC 27035** | ISO/IEC | 5 阶段 | 国际标准，体系完整 | 国际企业 |
| **MITRE ATT&CK** | MITRE | N/A | 威胁导向，TTP 聚焦 | 威胁狩猎、高级威胁 |
| **VERIS** | Verizon | N/A | 事件分类标准化 | 事件统计、共享 |

### 框架的核心共性

尽管各框架在阶段划分上有所不同，但核心逻辑一致：

```
┌─────────────────────────────────────────────────────────────┐
│                   应急响应核心逻辑链                         │
│                                                             │
│   事前准备 ──→ 事中响应 ──→ 事后总结                         │
│      │           │            │                             │
│      ▼           ▼            ▼                             │
│   能力建设      处置控制      改进提升                       │
│                                                             │
│   ┌─────────┐  ┌─────────┐  ┌─────────┐                    │
│   │ 计划    │  │ 检测    │  │ 复盘    │                    │
│   │ 团队    │  │ 分析    │  │ 改进    │                    │
│   │ 工具    │  │ 遏制    │  │ 学习    │                    │
│   │ 演练    │  │ 根除    │  │ 优化    │                    │
│   │         │  │ 恢复    │  │         │                    │
│   └─────────┘  └─────────┘  └─────────┘                    │
└─────────────────────────────────────────────────────────────┘
```

---

## PDCERF 模型详解

### 模型概述

PDCERF 模型由 SANS 研究所推广，是业界最广泛采用的应急响应框架之一：

```
P - Preparation（准备）
D - Detection（检测）
C - Containment（遏制）
E - Eradication（根除）
R - Recovery（恢复）
F - Follow-up（跟踪）
```

### 阶段 1：准备（Preparation）

**目标**：建立并维持应急响应能力

#### 关键活动清单

| 类别 | 活动 | 产出物 |
|------|------|--------|
| **组织建设** | 组建 CSIRT 团队 | 团队章程、职责矩阵 |
| **流程制定** | 编写应急预案 | IRP 文档、Playbook |
| **工具准备** | 采购和配置工具 | 工具清单、使用手册 |
| **培训演练** | 定期培训和演练 | 培训记录、演练报告 |
| **关系建立** | 建立外部联系 | 联系人清单、合作协议 |
| **技术准备** | 部署监控和日志 | 基线配置、日志策略 |

#### 准备阶段检查清单

```markdown
## 组织建设
- [ ] CSIRT 团队已组建，角色职责明确
- [ ] 团队成员联系方式已更新
- [ ] 管理层支持已确认
- [ ] 决策授权已明确

## 流程文档
- [ ] 应急响应预案已编写并审批
- [ ] 各类场景 Playbook 已准备
- [ ] 上报流程已明确
- [ ] 沟通计划已制定

## 工具设备
- [ ] 取证工具包已准备（离线可用）
- [ ] 通信设备已准备（备用方案）
- [ ] 取证工作站已配置
- [ ] 安全存储设备已准备

## 技术能力
- [ ] 日志收集已覆盖关键系统
- [ ] 基线配置已建立
- [ ] 备份策略已实施并验证
- [ ] 监控告警已配置

## 外部关系
- [ ] 执法部门联系方式已获取
- [ ] 供应商支持渠道已确认
- [ ] 上级 CERT 已注册
- [ ] 同行交流渠道已建立
```

### 阶段 2：检测（Detection）

**目标**：及时发现和确认安全事件

#### 检测来源

```
                    ┌─────────────────┐
                    │   安全事件检测   │
                    └────────┬────────┘
           ┌─────────────────┼─────────────────┐
           │                 │                 │
           ▼                 ▼                 ▼
    ┌─────────────┐  ┌─────────────┐  ┌─────────────┐
    │  技术检测   │  │  人工发现   │  │  外部通知   │
    └──────┬──────┘  └──────┬──────┘  └──────┬──────┘
           │                 │                 │
    ┌──────┴──────┐  ┌──────┴──────┐  ┌──────┴──────┐
    │ SIEM 告警   │  │ 用户报告   │  │ 供应商通知 │
    │ IDS/IPS    │  │ 管理员发现 │  │ 执法部门   │
    │ EDR 告警    │  │ 审计发现   │  │ 合作伙伴   │
    │ 防火墙日志 │  │ 监控发现   │  │ 媒体曝光   │
    │ 漏洞扫描   │  │            │  │ CERT 通报  │
    └─────────────┘  └─────────────┘  └─────────────┘
```

#### 检测验证流程

```
告警接收
    │
    ▼
初步分析 ──→ 误报 ──→ 关闭告警，记录原因
    │
    ▼ (确认可疑)
信息收集
    │
    ▼
事件确认 ──→ 非事件 ──→ 关闭，更新检测规则
    │
    ▼ (确认事件)
事件分级
    │
    ▼
启动响应流程
```

#### 关键检测指标

| 指标 | 定义 | 目标值 |
|------|------|--------|
| **MTTD** | 平均检测时间 | < 1 小时（关键系统） |
| **告警准确率** | 真实告警/总告警 | > 80% |
| **覆盖率** | 受监控系统/总系统 | > 95% |
| **日志完整性** | 完整日志/应采集日志 | 100% |

### 阶段 3：遏制（Containment）

**目标**：阻止事件扩散，控制损失

#### 遏制策略矩阵

| 事件类型 | 短期遏制 | 长期遏制 |
|----------|----------|----------|
| **恶意代码感染** | 断开网络、禁用账户 | 系统隔离、网络分段 |
| **数据泄露** | 阻断外连、撤销权限 | 加强 DLP、修改访问策略 |
| **DDoS 攻击** | 流量清洗、切换 DNS | 扩容带宽、部署防护 |
| **内部威胁** | 暂停账户、物理隔离 | 权限审查、行为监控 |
| **APT 攻击** | 监控不急于清除 | 网络分段、蜜罐诱捕 |

#### 遏制决策流程

```
                    事件确认
                        │
                        ▼
              ┌─────────────────┐
              │ 评估扩散风险    │
              └────────┬────────┘
                       │
         ┌─────────────┼─────────────┐
         │             │             │
         ▼             ▼             ▼
    高风险         中风险         低风险
    立即遏制       谨慎遏制       先取证
         │             │             │
         ▼             ▼             ▼
    断网隔离       限制访问       持续监控
    禁用账户       修改策略       收集证据
    切换系统       加强监控       择机处置
```

#### 遏制措施检查清单

```markdown
## 网络层面
- [ ] 受感染主机已从网络隔离
- [ ] 恶意 IP/域名已在防火墙阻断
- [ ] 异常流量已被识别和限制
- [ ] 网络分段策略已实施

## 系统层面
- [ ] 受影响账户已禁用
- [ ] 恶意进程已终止
- [ ] 可疑服务已停止
- [ ] 计划任务已审查

## 应用层面
- [ ] 漏洞已临时修复或绕过
- [ ] 异常接口已禁用
- [ ] 会话已强制注销
- [ ] 配置已恢复安全状态

## 数据层面
- [ ] 敏感数据访问已限制
- [ ] 数据外传已阻断
- [ ] 备份已验证完整性
- [ ] 加密密钥已轮换
```

### 阶段 4：根除（Eradication）

**目标**：彻底清除威胁，消除事件根源

#### 根除活动

| 活动 | 描述 | 注意事项 |
|------|------|----------|
| **恶意代码清除** | 删除病毒、木马、后门 | 确保完全清除，包括隐藏位置 |
| **漏洞修复** | 修补被利用的漏洞 | 验证修复有效性 |
| **账户清理** | 删除攻击者创建的账户 | 检查所有系统 |
| **凭证重置** | 更改所有相关密码和密钥 | 包括服务账户 |
| **配置修复** | 恢复安全配置 | 对比基线配置 |
| **持久化清理** | 清除所有持久化机制 | 检查注册表、计划任务等 |

#### 根除验证清单

```markdown
## 恶意代码
- [ ] 所有已知恶意文件已删除
- [ ] 注册表启动项已清理
- [ ] 计划任务已审查
- [ ] 服务列表已审查
- [ ] WMI 订阅已检查
- [ ] 启动文件夹已检查

## 账户安全
- [ ] 攻击者创建的账户已删除
- [ ] 所有密码已更改
- [ ] SSH 密钥已轮换
- [ ] API 密钥已轮换
- [ ] 证书已更新

## 系统加固
- [ ] 漏洞已修补
- [ ] 不必要服务已禁用
- [ ] 防火墙规则已更新
- [ ] 安全配置已恢复
- [ ] 补丁已更新到最新
```

### 阶段 5：恢复（Recovery）

**目标**：安全地恢复正常业务运营

#### 恢复策略

| 策略 | 适用场景 | 优点 | 缺点 |
|------|----------|------|------|
| **从备份恢复** | 系统被严重破坏 | 干净、可靠 | 可能丢失数据 |
| **原地修复** | 轻微感染 | 保留数据 | 可能残留威胁 |
| **重建系统** | 无法确认完全清除 | 最安全 | 耗时、成本高 |
| **逐步恢复** | 关键业务系统 | 风险可控 | 恢复时间长 |

#### 恢复检查清单

```markdown
## 恢复前验证
- [ ] 威胁已完全根除
- [ ] 漏洞已修复
- [ ] 备份数据已验证
- [ ] 恢复计划已审批

## 恢复过程
- [ ] 按优先级逐步恢复
- [ ] 每步恢复后验证
- [ ] 持续监控异常
- [ ] 记录恢复过程

## 恢复后验证
- [ ] 系统功能正常
- [ ] 安全配置正确
- [ ] 监控已恢复
- [ ] 用户可正常访问
- [ ] 性能指标正常
```

### 阶段 6：跟踪（Follow-up）

**目标**：总结经验，持续改进

#### 事后复盘活动

| 活动 | 目的 | 产出物 |
|------|------|--------|
| **事件报告** | 记录事件全貌 | 正式事件报告 |
| **根因分析** | 找出根本原因 | RCA 报告 |
| **经验总结** | 提炼经验教训 | 改进建议清单 |
| **流程更新** | 优化响应流程 | 更新的 IRP |
| **培训改进** | 针对性培训 | 培训计划 |
| **技术改进** | 加强防护能力 | 安全项目计划 |

#### 事件报告模板

```markdown
# 安全事件报告

## 基本信息
- 事件编号：IR-2024-XXX
- 发现时间：YYYY-MM-DD HH:MM
- 报告时间：YYYY-MM-DD HH:MM
- 事件级别：P1/P2/P3/P4
- 报告人：XXX

## 事件概述
[简要描述事件]

## 时间线
[详细时间线]

## 影响评估
- 受影响系统：
- 受影响数据：
- 业务影响：
- 财务影响：

## 响应过程
[响应活动记录]

## 根因分析
[根本原因]

## 改进建议
[具体改进措施]

## 附件
- 证据清单
- 技术分析报告
- 相关日志
```

---

## NIST SP 800-61 框架详解

### 框架概述

NIST SP 800-61 Rev. 2 是美国国家标准与技术研究院发布的应急响应指南，被美国政府和企业广泛采用。

### 四阶段模型

```
┌────────────────────────────────────────────────────────────┐
│                   NIST SP 800-61 流程                       │
│                                                            │
│  ┌──────────┐    ┌──────────────┐    ┌────────────────┐   │
│  │  准备    │ ──→│ 检测与分析   │ ──→│ 遏制、根除与   │   │
│  │          │    │              │    │    恢复        │   │
│  └──────────┘    └──────────────┘    └────────┬───────┘   │
│                                                │           │
│  ┌──────────┐                                  │           │
│  │  事后    │ ←────────────────────────────────┘           │
│  │  总结    │                                              │
│  └──────────┘                                              │
└────────────────────────────────────────────────────────────┘
```

### 与 PDCERF 的对应关系

| NIST 阶段 | PDCERF 阶段 | 说明 |
|-----------|-------------|------|
| 准备 | 准备 | 完全对应 |
| 检测与分析 | 检测 | NIST 将分析明确纳入此阶段 |
| 遏制、根除与恢复 | 遏制、根除、恢复 | NIST 合并为一个大阶段 |
| 事后总结 | 跟踪 | 完全对应 |

### NIST 特色内容

#### 事件分析框架

NIST 强调系统化的分析方法：

```
事件分析 = 证据收集 + 关联分析 + 时间线重建 + 影响评估
```

**证据收集**：
- 网络数据（流量、连接、DNS）
- 主机数据（进程、文件、注册表、日志）
- 内存数据（RAM 镜像）
- 应用数据（数据库、邮件、Web 日志）

**关联分析**：
- 跨系统日志关联
- 时间序列分析
- 行为模式识别

#### 遏制策略分类

NIST 提出三种遏制策略：

| 策略 | 描述 | 适用场景 |
|------|------|----------|
| **隔离** | 完全断开连接 | 高威胁、快速扩散 |
| **限制** | 限制部分功能 | 需要继续监控 |
| **监控** | 不立即行动，持续观察 | APT 调查、取证需要 |

---

## ISO/IEC 27035 标准

### 标准概述

ISO/IEC 27035 是国际标准化组织发布的信息安全事件管理标准，提供国际化的最佳实践。

### 五阶段模型

```
Phase 1: Plan & Prepare（计划与准备）
              │
              ▼
Phase 2: Detect & Report（检测与报告）
              │
              ▼
Phase 3: Assess & Decide（评估与决策）
              │
              ▼
Phase 4: Respond（响应）
              │
              ▼
Phase 5: Learn（学习）
```

### 与 PDCERF/NIST 的差异

| ISO 27035 | PDCERF | 特点 |
|-----------|--------|------|
| 计划与准备 | 准备 | 强调计划制定 |
| 检测与报告 | 检测 | 明确报告环节 |
| 评估与决策 | （分散在各阶段）| 独立的决策阶段 |
| 响应 | 遏制、根除、恢复 | 合并响应活动 |
| 学习 | 跟踪 | 强调组织学习 |

---

## 框架选择与适配

### 选择考虑因素

| 因素 | 考虑内容 |
|------|----------|
| **行业要求** | 某些行业有强制标准（如金融、医疗） |
| **地域要求** | 跨国企业需考虑多地合规 |
| **组织规模** | 小型组织可选择简化框架 |
| **现有体系** | 与现有管理体系的兼容性 |
| **团队能力** | 团队对框架的熟悉程度 |

### 框架适配原则

1. **保持核心逻辑** - 准备、检测、响应、恢复、改进的核心不变
2. **适应组织特点** - 根据组织结构、业务流程调整
3. **文档化差异** - 记录对标准框架的调整
4. **持续验证** - 通过演练验证框架有效性

### 小型组织简化方案

对于资源有限的小型组织，可采用简化框架：

```
简化版应急响应流程：

1. 准备
   - 指定 1-2 名应急联系人
   - 准备基本工具包
   - 保存关键供应商联系方式

2. 发现
   - 监控关键告警
   - 接收用户报告
   - 初步确认事件

3. 响应
   - 隔离受影响系统
   - 通知相关人员
   - 寻求外部支持（如需要）

4. 恢复
   - 从备份恢复
   - 验证系统正常
   - 通知用户

5. 总结
   - 记录事件经过
   - 识别改进点
```

---

## 流程文档化与自动化

### Playbook 设计

Playbook 是针对特定场景的详细响应指南：

#### Playbook 结构

```markdown
# [场景名称] Playbook

## 触发条件
[什么情况下启动此 Playbook]

## 响应团队
- 负责人：
- 成员：
- 外部支持：

## 响应步骤

### 阶段 1：确认（0-30 分钟）
1. [步骤 1]
2. [步骤 2]
3. [步骤 3]

### 阶段 2：遏制（30 分钟 -2 小时）
1. [步骤 1]
2. [步骤 2]

### 阶段 3：根除（2-24 小时）
...

## 检查清单
- [ ] 项目 1
- [ ] 项目 2

## 升级条件
[什么情况下需要升级]

## 参考文档
- [相关文档链接]
```

### 自动化机会

| 阶段 | 可自动化活动 | 工具示例 |
|------|--------------|----------|
| 检测 | 告警聚合、初步分类 | SIEM、SOAR |
| 遏制 | 隔离主机、阻断 IP | EDR、防火墙 API |
| 根除 | 删除已知恶意文件 | 端点管理工具 |
| 恢复 | 从备份恢复 | 备份系统 API |
| 跟踪 | 生成报告、创建工单 | ITSM 集成 |

### 自动化注意事项

1. **人机协同** - 关键决策保留人工审批
2. **回退机制** - 自动化失败时有人工备选
3. **审计日志** - 记录所有自动化操作
4. **定期测试** - 验证自动化流程有效性

---

## 总结与思考

### 核心要点回顾

1. **框架提供标准化流程** - PDCERF、NIST、ISO 27035 是主流选择

2. **PDCERF 六阶段** - 准备、检测、遏制、根除、恢复、跟踪

3. **NIST 四阶段** - 准备、检测与分析、遏制根除恢复、事后总结

4. **ISO 27035 五阶段** - 计划准备、检测报告、评估决策、响应、学习

5. **框架需要适配** - 根据组织特点调整和简化

6. **文档化是关键** - Playbook 和检查清单提高响应效率

### 深入思考

**问题 1：应该选择哪个框架？**

没有绝对的最优选择，建议：
- 参考同行业最佳实践
- 考虑合规要求
- 评估团队熟悉度
- 可以融合多个框架的优点

**问题 2：框架如何落地？**

框架落地需要：
- 高层支持和资源投入
- 详细的流程文档
- 持续的培训和演练
- 定期的审查和更新

**问题 3：自动化能替代人工吗？**

自动化是辅助而非替代：
- 标准化、重复性工作适合自动化
- 复杂决策、跨部门协调需要人工
- 理想状态是人机协同

### 实战建议

1. **选择框架** - 推荐从 PDCERF 开始，简单直观

2. **编写 Playbook** - 针对最常见的 3-5 类场景

3. **准备检查清单** - 每个阶段都有可执行的清单

4. **定期演练** - 每季度至少一次桌面演练

5. **持续改进** - 每次事件后更新流程文档

---

## 参考资料

### 标准文档

- **NIST SP 800-61 Rev. 2** - Computer Security Incident Handling Guide
- **ISO/IEC 27035-1:2016** - Information security incident management
- **NIST SP 800-86** - Guide to Integrating Forensic Techniques

### 学习资源

- **SANS Incident Response** - https://www.sans.org/incident-response/
- **FIRST** - Forum of Incident Response and Security Teams
- **OWASP Incident Response** - https://owasp.org/www-project-incident-response/

### 工具资源

- **TheHive** - 开源安全事件响应平台
- **Cortex** - 自动化分析和响应引擎
- **Shuffle** - 开源 SOAR 平台

---

*365 天信息安全技术系列 | Day 262 | 应急响应流程框架 (PDCERF/NIST)*