GodwinID/An-Incident-Response-Plan-and-Test

# 🛡️ 事件响应计划与测试 创建一个事件响应计划并对其进行测试 ## 📋 概述 本仓库包含为虚构的 30 人科技初创公司 **NovaStar Tech, Inc.** 制定的完整**信息安全事件响应框架**。它旨在模拟 CISO 和 IR 团队应对真实世界 P1 级别事件的工作——一次导致凭证窃取和 8,500 条客户 PII 记录被泄露的鱼叉式网络钓鱼攻击。 ## 📁 仓库内容 | 文件 | 描述 | |------|-------------| | [novastar_ir_plan.docx](https://github.com/user-attachments/files/26393503/novastar_ir_plan.docx) | 完整的事件响应计划 — 包含桌面推演和已完成的事件报告在内的 10 个章节 | | [novastar_ir_workbook.xlsx](https://github.com/user-attachments/files/26393509/novastar_ir_workbook.xlsx) | IR 工作簿 — 桌面推演计分卡 + 包含时间线与补救措施跟踪的事件报告 | ## 📄 IR 计划文档 — 章节细分 | 章节 | 内容 | |---------|----------| | 1. 目的与范围 | 目标、范围、严重性分类 (P1–P4) | | 2. 角色与职责 | IRT 团队结构、RACI 矩阵 | | 3. 检测与分析 | 检测来源、分类清单 (7 个步骤) | | 4. 遏制 | 按场景划分的短期行动、证据保存要求 | | 5. 根除 | 分步流程、完整的凭证轮换清单 | | 6. 恢复 | 恢复步骤、RPO/RTO 目标、恢复后监控 | | 7. 沟通 | 附带截止日期的通知要求、内部/外部模板 | | 8. 经验教训 | 事件后审查流程、改进跟踪表 | | 9. 桌面推演 | 完整的网络钓鱼 → 数据泄露场景，包含 18 个步骤的时间线 | | 10. 事件报告模板 | 针对 IR-2025-001 的已完成示例报告 | ## 📊 Excel 工作簿 — 工作表细分 ### 1. 桌面推演 涵盖 6 个阶段的 18 个模拟步骤，每个步骤评分 1–5： | 阶段 | 步骤 | 重点 | |-------|-------|-------| | 检测 | 1–4 | SIEM 告警、分类、范围、升级 | | 遏制 | 5–8 | 账户停用、OAuth 撤销、IP 封锁、证据 | | 根除 | 9–11 | 凭证轮换、转发规则、AWS 横向移动检查 | | 恢复 | 12–13 | 重新启用账户、增强监控 | | 沟通 | 14–15 | 高管通知、全体员工警报 | | 法律 | 16–18 | 法律介入、ICO 通知、客户通知 | **总分：70/90 (78%) — 需要改进** ### 2. 事件报告模板 针对 IR-2025-001 完整填写，包含： - **Section A**: 事件概述和关键日期 - **Section B**: 影响评估 (数据、系统、客户、监管、财务) - **Section C**: 包含 IOC 和证据引用的完整技术时间线 - **Section D**: 使用 5-Whys 方法的根因分析 - **Section E**: 8 项优先补救措施及其负责人和截止日期 - **Section F**: 关键指标 (MTTD, MTTC, MTTR, GDPR 通知时间线) ## 🎭 桌面推演场景摘要 **事件：** 网络钓鱼 → 凭证窃取 → 数据泄露 **严重性：** P1 严重 **公司：** NovaStar Tech, Inc. **攻击链：** ``` 08:14 Spear-phishing email delivered (fake Google Security alert) 08:22 Employee enters credentials on lookalike domain 08:23 Attacker adds OAuth app; disables login notifications 08:30 Attacker locates customer_export_Q1_2025.csv (8,500 PII records) 08:45 Data exfiltrated to Tor exit node (185.220.101.47) 10:15 SIEM alert fires (1h 53m after initial access) 10:30 P1 incident declared; IRT activated 10:43 Account contained; attacker access revoked 51h ICO breach notification filed (within 72h GDPR deadline) ``` ## 📈 关键指标 — IR-2025-001 | 指标 | 实际 | 目标 | 状态 | |--------|--------|--------|--------| | 平均检测时间 (MTTD) | 1小时 53分钟 | < 30 分钟 | ⚠️ 需要改进 | | 平均遏制时间 (MTTC) | 13 分钟 | < 30 分钟 | ✅ 达标 | | 平均恢复时间 (MTTR) | 3小时 30分钟 | < 8 小时 | ✅ 达标 | | GDPR 通知 (ICO) | 51 小时 | < 72 小时 | ✅ 达标 | | 客户通知 | 48 小时 | < 72 小时 | ✅ 达标 | | 桌面推演得分 | 70/90 (78%) | ≥ 80% | ⚠️ 需要改进 | ## 🚨 发现的主要差距 | 优先级 | 差距 | 补救措施 | |----------|-----|-------------| | 严重 | 未强制执行硬件 MFA — 仅密码即可登录 | 强制所有员工使用 YubiKey；备用钥匙库存 | | 严重 | 2 小时的 SIEM 检测延迟 — Workspace 日志为拉取而非推送 | 通过推送 API 集成；目标 MTTD ≤ 5 分钟 | | 高 | 无 DLP 阻止 Drive 批量导出 | 部署 Workspace DLP；对导出 > 1,000 行的情况发出警报 | | 高 | 无 OAuth 应用清单或警报 | 每月审计；对新 OAuth 应用授权发出警报 | | 高 | Tor 出口节点阻止列表未维护 | 订阅 Tor IP 源；每晚自动更新 WAF | ## 🗺️ IR 生命周期 (NIST SP 800-61) ``` Preparation └── IRP written, IRT trained, tools deployed, tabletop complete Detection & Analysis └── SIEM alert → Triage → Scope → Severity rating → IC notification Containment ├── Short-term: Isolate / suspend / block └── Long-term: Stable environment; evidence preserved Eradication └── Root cause removed; credentials rotated; persistence cleared Recovery └── Clean restore; enhanced monitoring; gradual service re-enable Post-Incident Activity └── Lessons learned → Improvement actions → IRP updated ``` ## 🧰 如何使用此模板 1. **自定义** IR 计划 Word 文档，填入您的公司名称、团队名称和工具栈 2. **更新** RACI 矩阵以符合您的实际组织架构 3. **替换** 为与您的环境相关的模拟场景 4. **运行** 与您的团队进行桌面推演 — 诚实地为每个步骤打分 5. **完成** 针对每个 P1/P2 事件填写事件报告模板 6. **跟踪** Section E 中的改进措施直至闭环 7. **重复** 每 6 个月进行一次桌面推演 ## 📚 参考资料 - [NIST SP 800-61 Rev. 2 — 计算机安全事件处理指南](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) - [NIST SP 800-83 — 恶意软件事件预防与处理](https://csrc.nist.gov/publications/detail/sp/800-83/rev-1/final) - [CISA 事件响应指南](https://www.cisa.gov/topics/cybersecurity-best-practices/organizations-and-cyber-safety/incident-response) - [GDPR 第 33 条 — 向监管机构通报违规行为](https://gdpr-info.eu/art-33-gdpr/) - [MITRE ATT&CK — 钓鱼技术 T1566](https://attack.mitre.org/techniques/T1566/) - [Google Workspace 管理员审计日志](https://support.google.com/a/answer/4579579) - [AWS GuardDuty 发现参考](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html) ## ⚠️ 免责声明 本项目是使用虚构公司进行的**实验室练习**。仅用于教育和培训目的。在实施真实的事件响应计划时，请务必咨询合格的安全专业人员。 *由 Godwin Iduye 构建 | © 2025*

标签：CISO, IRP, NovaStar Tech, PII保护, RACI矩阵, 个人信息安全, 事件分级, 企业合规, 企业安全, 凭据窃取, 复盘报告, 子域枚举, 安全团队建设, 安全规划, 密码重置, 库, 应急响应, 数据外泄, 桌面演练, 模板, 网络安全, 网络资产管理, 隐私保护, 鱼叉式网络钓鱼