【愚公系列】《网络安全应急管理与技术实践》 034-网络安全应急技术与实践（PDCERF 应急响应方法-抑制阶段）

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

PDCERF方法于1987年由美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出。该方法将应急响应分成准备（preparation）、检测（detection）、抑制（containment）、根除（eradication）、恢复（recovery）、跟踪（follow-up）6个阶段，如图13-1所示。尽管PDCERF方法是一种较为通用的应急响应方法，但并非安全事件应急响应的唯一选择。在实际应急响应过程中，这6个阶段并不一定严格存在，也不必严格按照这6个阶段的顺序进行。然而，PDCERF方法目前被认为是适用性较强的通用应急响应方法之一。在应对安全事件时，组织可以根据具体情况灵活运用PDCERF方法的各个阶段，以确保有效、及时地应对安全威胁，并最大程度地减少损失。

🚀一、抑制阶段

本阶段的目的是限制攻击的范围，抑制潜在的或进一步的攻击和破坏。

🔎1.抑制方法确定

实施人员应在检测分析的基础上确定与安全事件相应的抑制方法。在确定抑制方法时，需要考虑以下4点。

1. 全面评估入侵范围、影响和损失：首先，需要对安全事件的入侵范围进行全面评估，明确受到入侵的系统、网络或数据资源。同时，还需评估入侵对企业或组织的影响和潜在损失，包括资金损失、声誉损害和业务中断等方面的影响。该评估将为确定抑制方法提供基本依据。
2. 分析其他结论：在确定抑制方法时，应根据检测分析得到的其他结论，例如入侵者的来源和攻击手段等信息。这些结论可以帮助实施人员更好地了解入侵者的动机和能力，并为针对性地选择抑制方法提供参考。
3. 关注业务和重点决策过程：在确定抑制方法时，实施人员需要考虑业务和重点决策过程。这包括确定哪些业务过程对组织或企业的正常运行至关重要，以及入侵事件可能对这些业务过程造成的影响。通过重点关注这些业务和决策过程，可以更有针对性地选择抑制方法，以最小化业务中断和损失。
4. 考虑业务连续性：最后，实施人员在确定抑制方法时需要考虑业务连续性。这意味着在选择抑制方法时，需要确保在抑制安全事件的同时，不会对业务的正常运行造成更大的影响。实施人员应考虑到业务连续性的要求，以确保采取的抑制方法可以在尽可能短的时间内实施，并尽量减少对业务的干扰。

🔎2.抑制方法认可

抑制方法认可步骤如下。

(1) 分析并确认面临的首要问题：

在这个阶段，我们需要明确当前面临的首要问题是什么。这可以是一个特定的业务难题，也可以是一个组织内部的挑战，或者是一个外部环境的变化。确定首要问题是解决问题的第一步。

(2) 确认抑制方法和相应的措施：

一旦我们确认了首要问题，我们需要确定适用的抑制方法和相应的措施。这些抑制方法可以包括采取行动来解决问题，寻找合作伙伴或资源来支持解决，或者改变策略或流程来应对问题。

(3) 在采取抑制措施之前，应明确可能存在的风险，制定应变和回退措施：

在实施抑制措施之前，我们需要考虑可能存在的风险和不确定性。这些风险可能包括项目失败、资源不足、技术问题等。为了应对这些风险，我们需要制定相应的应变和回退措施，以确保在出现问题时能够及时应对和解决。

🔎3.抑制实施

实施人员应严格按照以下约定实施抑制措施，不得随意更改抑制措施和范围。抑制措施宜包含但不限于以下10个方面：

在实施抑制措施时，应注意及时截屏，以便记录和审计。同时，应使用可信的工具进行安全事件的抑制处理，避免使用受害系统已有的不可信文件，以防进一步危害系统安全。