ANONYMOUS-DADDY/nairaflow-incident-response-capstone

# NairaFlow 事件响应 Capstone 项目 (NIST SP 800-61) ## 📌 项目概述 本仓库记录了基于云的 FinTech 环境（NairaFlow Technologies）在遭受多阶段 AWS IAM 凭证泄露时的完整事件响应模拟过程。 该响应遵循以下标准： * NIST SP 800-61 Rev. 2 事件响应生命周期 * PCI-DSS v4.0 合规要求 * ISO 27001 安全控制措施 ## 📂 仓库结构 ``` phase-1-detection/ → CloudTrail analysis, Splunk investigation, forensic preservation phase-2-containment/ → IAM quarantine, Okta session revocation, Vault rotation phase-3-recovery/ → IAM hardening, Kubernetes NetworkPolicies, Zero Trust design reports/ → Executive summary, forensic report, remediation roadmap ``` ## 🚨 事件摘要 一次基于钓鱼攻击的行动泄露了开发人员的 AWS IAM 凭证，使得攻击者能够未经授权访问 staging 和生产 AWS 环境。攻击者尝试进行横向移动并访问 RDS 交易数据。 该事件通过 SIEM 警报被检测到，并在未确认发生数据泄露的情况下成功得到遏制。 ## 🛠️ 使用的关键技术 * AWS (EKS, RDS, S3, CloudTrail) * Splunk Enterprise Security (SIEM) * Okta Identity Provider (IAM) * HashiCorp Vault (Secrets Management) * CrowdStrike Falcon (EDR) * Terraform (Infrastructure as Code) ## 📊 事件响应方法论 所有操作均遵循 NIST 4 阶段生命周期： 1. 准备阶段（现有控制措施审查） 2. 检测与分析阶段（CloudTrail + SIEM 关联分析） 3. 遏制与根除阶段（IAM 隔离，撤销 token） 4. 恢复与事件后加固阶段 ## 🎯 关键成果 * ✔ 未确认发生数据泄露 * ✔ MTTC 在 4 小时以内 * ✔ 100% 完成凭证轮换 * ✔ IAM 攻击面减少 75% * ✔ 维持生产环境正常运行时间 (99.9%) ## 📖 如何评估此项目 1. 从 `reports/executive-summary.md` 开始 2. 查看 `phase-1-detection/cloudtrail-analysis.md` 3. 跟踪 `reports/forensic-report.md` 中的事件时间线 4. 验证 `phase-2-containment/` 中的遏制措施 5. 审查 `phase-3-recovery/` 中的安全加固控制 ## 🧠 展示的关键安全概念 * IAM 最小权限原则实施 * 云取证与证据保全 * Kubernetes 微隔离 * 基于身份攻击的遏制 * Zero Trust 架构设计 * 对齐 PCI-DSS 事件响应 ## 👨‍💻 作者 安全事件响应模拟 – NairaFlow Technologies Capstone

标签：AWS, DPI, PB级数据处理, 云计算, 合规标准, 安全合规与响应, 安全运维, 数字取证, 漏洞探索, 自动化脚本, 规则引擎