ddos攻击后如何进行报告?我需要在报告上写什么信息?

信息安全 攻击 事件响应 ddos
2021-09-08 01:53:44

在我的公司,在对服务器进行 DDOS 攻击后,我的雇主要求我对攻击进行分析并写下一些内容。

你认为我需要在报告中写下什么?
是否有任何来自 CIRT 或其他组织的可用模板可以在事件发生后使用?
这种报告的最佳做法是什么?

在我的第一次分析中,我发现了攻击的计划位置(IRC 频道)。
我找到了有关所用工具的信息以及可以下载该工具的 url。
攻击是使用 LOIC 进行的,而不是使用任何类型的僵尸网络(据我所知)。
这次攻击是在没有等级组织的情况下计划的,但在招募人员的帮助下进行组织和制造的攻击。
我还需要写一些关于这次袭击周围人的事情吗?

有什么建议吗?

请:一个建议一个答案,所以我们可以在最后有一个社区最佳实践:)

1个回答

很抱歉没有一个好的链接,但我的想法是你想涵盖:

发生了什么?

  • 它是什么时候发生的,持续了多长时间?
  • 谁做的以及如何做的?
  • 什么受到了影响——哪些站点、哪些服务器、多少台服务器、业务的哪一部分?什么客户?
  • 根本原因分析

有什么影响?

  • 服务器损坏
  • 信息损坏/暴露
  • 损害企业声誉
  • 对人类生命的伤害(交叉手指,这是绝对不!)
  • 恢复成本(时间、设备等)

停止/防止

  • 到目前为止做了什么?将其分解为即时响应与持续更新
  • 还应该做什么?
  • 再次发生这种情况的预测是什么?
  • 像这样但不完全相同的东西呢?
  • 我们是否可以对未来的流程进行任何更改以防止/减轻此类风险?

突破过去/现在/未来——我们立即做了什么,我们现在在做什么,未来我们应该做哪些需要高水平资金的大事?

未来预后

  • 如果我们在报告中做所有事情,那么系统可能处于未来攻击的状态是什么。可能不是“防弹”,所以对可能性进行一些评估。
  • 如果我们只是让系统处于当前(部分修复?)状态呢?
其它你可能感兴趣的问题
上一篇如果我发现或创建了 0day 漏洞利用,我是否需要为向公众发布而承担责任? 下一篇本地存储密码。在哪里?如何安全通过?