Deepesh1620/phishing-incident-response-plan
GitHub: Deepesh1620/phishing-incident-response-plan
一份以企业钓鱼攻击为场景、按 SANS 六阶段模型完整推演的安全事件响应模拟演练文档。
Stars: 0 | Forks: 0
# 钓鱼事件响应计划 — 基于 SANS 六阶段模型
## 目标
这是一份针对钓鱼攻击的模拟事件响应演练,旨在作为我 IT 安全学习路径的一部分,练习结构化的事件处理方法。SANS 模型适用于任何安全事件;本文档将其应用于钓鱼场景。
## 场景
在一个包含多个部门的企业中,财务部门的一名员工收到了一封声称来自 IT 部门的电子邮件。邮件要求该员工通过链接输入其公司凭证,并显示红色警告称如果不立即采取行动,系统将会崩溃。在恐慌中,该员工点击了链接——但由于恐慌,他们不确定自己是否输入了密码。
## 响应
### 1. 准备
对于此类事件,组织必须提前做好准备。应该对所有部门的所有员工进行钓鱼防范意识培训,以便他们知道立即向 IT 部门报告此类事件。应在每个用户账号上启用 MFA(多因素认证),并且每位员工都应能获取 IT 团队的联系名单。
### 2. 识别
既然攻击已经发生,第一步是确认它是否真的属于钓鱼。我会检查发件人的电子邮件地址,因为它应该与我们 IT 部门的真实地址相匹配。我还会将鼠标悬停在链接上(不点击)以检查该域名是否真的属于我们公司。然后,我会礼貌地询问该员工是否记得自己输入过凭证。
### 3. 遏制
为了控制局势,我首先会将该机器与网络断开,并要求员工不要对其进行任何操作。接着,我会立即重置用户的密码,并检查该账号的 MFA 状态。
### 4. 根除
为了消除威胁本身,我会从该员工的收件箱中删除该邮件,并在邮件网关处阻止该发件人。我还会检查其他员工是否收到了相同或类似的邮件,并将其从他们的收件箱中删除。
### 5. 恢复
一旦确信机器是干净的,我就会将其重新连接到网络——在这个场景中,主要风险是凭证被盗,而不是恶意软件。然后,我会在接下来的几天内监控该账号是否存在可疑活动,例如登录失败尝试、在奇怪的时间登录或从不熟悉的地点登录。我还会与邮件管理员确认是否进行了任何未经授权的邮箱更改(例如,隐藏的转发规则),并与用户核实一切是否正常工作——他们可以登录,MFA 正常工作,并且没有任何遗留问题。
### 6. 经验教训
**发现:** 财务部门的一名员工报告了一封钓鱼邮件。该员工点击了链接,但不记得是否输入了密码。该员工迅速通知了 IT 部门,我们对局势进行了评估,将系统与网络断开,并在账号和域名级别阻止了发件人。该事件已被记录:谁受到了影响、报告时间以及采取了哪些行动。由于此事件可能泄露了个人数据,因此还需要根据 GDPR 违规通知要求进行评估(向监管机构报告的 72 小时限期)。
**建议:**
- 为每个部门的每位员工进行一次简短的钓鱼防范意识复习,以此次事件(匿名化处理)作为真实案例
- 对报告该邮件的员工予以表彰——奖励报告行为可以激励其他员工保持警惕并积极发声
- 定期验证所有账号是否都强制启用了 MFA,而不仅仅是部分账号
## 我学到了什么
在撰写这份报告的过程中,我学到的最主要的一点是 SANS 模型的实际应用。我最初很难决定“准备”阶段应该放在哪里,因为在这个阶段事件甚至还没有发生——直到我明白,“准备”描述的是在事件发生前必须已经到位的条件,而其余阶段则是建立在此基础上的响应行动。这也向我表明,直到你将某些东西付诸实践(即使在纸面上),你才真正理解一个框架的目的——阅读这六个阶段很容易,但只有通过具体场景进行推演,才让每个阶段变得有意义。
标签:安全, 库, 应急响应, 文档, 超时处理, 防御加固