千寻笔记：应急响应实践小Tips

0x00前言

网络安全应急响应考验一个人的综合技术能力和临场应变能力，关于应急响应的技术分析、处置流程和案例分析已不胜枚举，无须再赘述。本文主要从已处置的大大小小上百次应急响应事件中，按事件处置流程（事前准备、现场处置、现场汇报、分析溯源、报告编制、复盘总结）梳理出一些个人总结的注意事项、分析方法、沟通技巧等小Tips，希望能给各位师傅一些参考和帮助。

0x01事前准备

正所谓工欲善其事必先利其器，充分的准备工作会让现场应急工作更加游刃有余，做到胸有成竹，工作思路清晰，下面将按常见场景对准备工作进行梳理。

0x02现场处置

应急响应现场技术工作仅是一方面的难点，临场沟通和应变对新人来说才是最大的难题，面对多个现场人员，如何获取信息并推进现场应急处置工作有序进行？下面将对常见现场人员角色的沟通方式进行分析和梳理。

0x03现场汇报

一般较大的网络安全事件，均会涉及到多个部门相关人员和监管单位的介入，所以现场工作开始和结束时，均会有非正式和正式的汇报，下面仍将通过角色划分方式对汇报注意事项进行梳理。

0x04分析溯源

较大的网络安全事件均会造成比较严重的后果（经济损失、名誉损失等），因此需要对攻击源头进行追溯，从而避免事件再次发生，下面将按常见场景对分析溯源方式进行梳理。

0x05报告编制

一次应急响应以编制《应急响应报告》作为收尾，所以如何编写一份分析过程详尽，逻辑清晰，结论可信的应急报告就显得十分重要，下面将对报告编制的思路进行梳理。

0x06复盘总结

吾日三省吾身，不断地回顾和反思是提升自己的好方法，每一次应急完成后就不要直接抛到脑后，可以尝试复盘总结，下面将提供一个checklist可以用来确认应急工作是否存在优化和完善的空间。

0x07小结

本文主要从应急响应工作的6个方面介绍了一些非技术的注意事项、分析方法、沟通技巧，虽然应急响应是一个苦逼的搬砖工作，但也是积累实战经验和锻炼综合技术能力的好方法，多多参与其中必能受益匪浅。

     加油！奥利给！