2.3.1　真实场景

我们以WannaCry事件的爆发为例来说明现实世界中的情况，利用虚构的Diogenes &-Ozkaya公司演示端到端的事件响应流程。

2017年5月12日，有用户致电服务台，称收到图2-5所示的屏幕提示。

图2-5　WannaCry爆发时的屏幕

在对问题进行初步评估和确认（检测阶段）后，安全小组参与并创建了一个事件。由于许多系统都遇到了相同的问题，安全小组将此事件的严重性提高到了高等级。他们利用威胁情报迅速发现这是勒索软件病毒爆发，为防止其他系统受到感染，必须安装应用MS17-00(3)补丁。

此时，事件响应小组在三条不同的战线上工作：一条战线试图破解勒索软件加密，另一条战线试图识别易受此类攻击的其他系统，最后一条战线则致力于向媒体传达这一情况。

他们咨询自己的漏洞管理系统，并发现了许多其他没有更新的系统。他们启动了变更管理流程，并将此变更的优先级提高到关键等级。管理系统小组将此修补程序部署到其余的系统中。

事件响应小组与他们的反恶意软件供应商合作，破解了加密并再次获得对数据的访问权限。此时，其他所有系统都已打好补丁并正常运行，没有任何问题。遏制、根除和恢复等阶段告一段落。