前言

當前，網絡空間安全形勢日益嚴峻，國內政府機構、大中型企業的門戶網站和重要核心業務系統常成為攻擊者的主要攻擊目標。為妥善處置和應對政府機構、大中型企業關鍵信息基礎設施可能發生的突發事件，確保關鍵信息基礎設施的安全、穩定、持續運行，防止對相關部門造成重大聲譽影響和經濟損失，我們需進一步加強網絡安全與信息化應急保障能力。網絡安全應急響應服務是安全防護的最后一道防線，鞏固應急防線對安全能力建設至關重要。

2019年，奇安信安服團隊出版了《應急響應—網絡安全的預防、發現、處置和恢復》科普圖書，旨在提高機構、企業在網絡安全應急響應方面的組織建設能力。2020年，我們撰寫本書，旨在借助奇安信安服團隊多年來積累的上千起網絡安全應急響應事件處置的實戰經驗，幫助一線安全人員更加高效、高質量地處置網絡安全應急響應事件。

本書共10章，第1～3章為網絡安全應急響應工程師需要掌握的基礎理論、基礎技能和常用工具。第1章主要介紹網絡安全應急響應基本概念，機構、企業應具備的網絡安全應急響應能力，網絡安全應急響應現場處置流程等；第2章主要介紹網絡安全應急響應工程師應具備的基礎技能，如進程、服務、文件、日志、流量等的排查方法，通過大量的案例介紹及詳細的步驟說明，使初學者也能基本掌握網絡安全應急響應處置工作；第3章主要介紹網絡安全應急響應工作中的常用工具，這些工具可以幫助網絡安全應急響應工程師更加高效、全面地查找線索，確定攻擊類型等。

第4～10章為當前網絡安全應急響應常見的七大處置場景，分別是勒索病毒、挖礦木馬、Webshell、網頁篡改、DDoS攻擊、數據泄露和流量劫持網絡安全應急響應。各章首先會介紹場景的攻擊原理、技術手法等，使讀者初步了解攻擊背景；然后介紹常規處置方法，為網絡安全應急響應工作提供一個整體思路；之后再介紹常用工具和詳細技術操作方法，包括確定攻擊類型、重點排查內容、排查方法等；最后通過一些典型處置案例還原處置過程，以便讓讀者從真實案例中理解、鞏固所學。

在實際的網絡安全應急響應處置工作中，我們常會遇到各種各樣的問題，上述的處置方法可以解決絕大多數問題，但也需要具體場景具體分析。例如，在存在多個攻擊團伙、多種攻擊形式的場景中，就需要我們綜合應用各種方案進行應急響應。當然，即便是一個單一的安全事件，其處理的思路、排查的先后順序也可能有所不同，都需要結合場景的具體業務系統、網絡環境、安全設備部署、企業內部解決目標等多種因素進行處置。因此，一名優秀的網絡安全應急響應工程師需要不斷學習、實踐、思考、總結，每次事件的處置都將是一次歷練。我們希望通過本書，為廣大讀者提供一種思路、方法，也希望廣大讀者能夠與我們交流，共同提高網絡安全應急響應能力。

本書的出版要感謝奇安信安服團隊張翀斌、張永印、劉洋、賈璐璐、裴智勇、苑博林、李明、趙依、宋偉、楊鎮、程洋、方鎮江、王晗瀟、鄒基亮、徐金燕、郭勇智、夏陽、李永杰、劉衡、錢昊、黃偉等，還要感謝電子工業出版社戴晨辰編輯的大力支持，以及其他工作人員的辛勤付出。由于作者水平所限，不妥之處在所難免，懇請廣大網絡安全專家、讀者朋友批評指正。

作　者