事件响应流程
五阶段模型
BAUER GROUP的事件响应流程遵循成熟的NIST SP 800-61框架,并根据§30第2款第2项BSIG的要求进行了调整。
第一阶段:准备
| 措施 | 描述 |
|---|---|
| 事件响应团队 | 明确角色:ISB(负责人)、IT运维、开发、沟通 |
| 工具 | 日志聚合、监控仪表板、工单系统 |
| 文档 | 常见场景的响应预案 |
| 沟通 | 预定义联系人名单、升级路径、模板 |
| 演练 | 每年至少一次桌面推演或模拟演练 |
第二阶段:检测与分析
| 检测方法 | 描述 | 响应时间 |
|---|---|---|
| 自动化监控 | 基于日志的异常检测、阈值告警 | 实时 |
| 漏洞告警 | CVE信息源、依赖监控、供应商公告 | < 4小时 |
| 员工报告 | 疑似钓鱼、异常行为 | 发现后立即 |
| 外部报告 | 客户、合作伙伴、安全研究人员、BSI | 收到后立即 |
分析步骤:
- 初始评估:事件是否真实?(分诊)
- 按严重程度分级(关键 / 高 / 中 / 低)
- 影响分析:哪些系统、数据、客户受到影响?
- 报告义务审查:是否构成§32 BSIG规定的重大事件?
- 初步取证评估:攻击向量、时间范围、威胁指标(IoC)
第三阶段:遏制
| 策略 | 应用场景 | 示例 |
|---|---|---|
| 短期 | 即时止损 | 隔离网络段、锁定账户 |
| 长期 | 持续性遏制 | 将受影响系统断网、防火墙规则 |
| 证据保全 | 任何清理之前 | 内存镜像、日志导出、硬盘复制 |
第四阶段:根除与恢复
| 步骤 | 描述 |
|---|---|
| 消除根因 | 清除恶意软件、禁用被入侵账户、修补漏洞 |
| 系统清理 | 重新安装或从已验证的干净备份中恢复 |
| 凭证轮换 | 所有可能被泄露的密码、API密钥、证书 |
| 完整性验证 | 重新上线前验证系统完整性 |
| 加强监控 | 恢复后加强监控30天 |
第五阶段:总结复盘
| 活动 | 期限 | 责任人 |
|---|---|---|
| 事后复盘会议 | 5个工作日内 | ISB |
| 根因分析 | 10个工作日内 | ISB + IT |
| 经验教训文档 | 15个工作日内 | ISB |
| 行动计划 | 20个工作日内 | ISB + 管理层 |
| 风险分析更新 | 30天内 | ISB |
预案手册
针对常见场景,已预定义响应预案:
| 场景 | 即时措施 | 升级 |
|---|---|---|
| 勒索软件 | 网络隔离、检查备份完整性、不支付赎金 | 立即:ISB + 管理层 + 必要时执法机构 |
| 数据泄露 | 关闭访问途径、确定范围、审查DSGVO报告义务 | 立即:ISB + 管理层 + DSB |
| 成功的网络钓鱼 | 锁定账户、重置密码、检查MFA | < 1小时:ISB |
| DDoS | 激活CDN/WAF、联系上游提供商 | 立即:IT运维 + ISB |
| 供应链入侵 | 隔离受影响组件、检查SBOM | 立即:ISB + 开发团队 |