背景
2018年我国信息安全行业趋势指出
网络攻击从初的自发式、分散式的攻击转向专业化的有组织行为,呈现出攻击工具专业化、目的商业化、行为组织化的特点。随着获利成为网络攻击活动的核心,许多信息网络漏洞和攻击工具被不法分子和组织商品化,以此来牟取暴利,从而使信息安全威胁的范围加速扩散。个人信息及敏感信息泄露的信息安全事件,可能引发严重的网络诈骗、电信诈骗、财务勒索等犯罪案件,并 终导致严重的经济损失;而政府机构、工业控制系统、互联网服务器遭受攻击破坏、发生重大安全事件,将导致能源、交通、通信、金融等基础设施瘫痪,造成灾难性后果,严重危害国家经济安全和公共利益
基本概念
网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全
网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理
在发生确切的网络安全事件时,应急响应实施人员应及时采取行动,限制事件扩散和影响的范围,防范潜在的损失与破坏,实施人员应协助用户检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件的整体解决方案,排除系统安全风险,并协助追查事件来源,协助后续处置
主要工作
未雨绸缪
即在事件发生前先做好准备
例如开展风险评估,制订安全计划,进行安全意识的培训,以发布安全通告的方法进行预警,以及各种其他防范措施
亡羊补牢
即在事件发生后采取的响应措施,其目的在于把事件造成的损失降到最小,这些行动措施可能来自人,也可能来自系统
例如,在发现事件后,采取紧急措施,进行系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵取证等一系统操作
PDCERF(6阶段)方法
PDCERF方法最早于1987年提出,该方法将应急响应流程分成
- 准备阶段
- 检测阶段
- 抑制阶段
- 根除阶段
- 恢复阶段
- 总结阶段
根据应急响应总体策略为每个阶段定义适当的目的,明确响应顺序和过程
但是,PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中,不一定严格存在这6个阶段,也不一定严格按照这6个阶段的顺序进行,但它是目前适用性较强的应急响应通用方法
准备阶段
准备阶段以预防为主,主要工作涉及识别机构、企业的风险,建立安全政策,建立协作体系和应急制度
- 按照安全政策配置安全设备和软件,为应急响应与恢复准备主机
- 依照网络安全措施,进行一些准备工作,例如,扫描、风险分析、打补丁等
- 如有条件且得到许可,可建立监控设施,建立数据汇总分析体系,制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系
检测阶段
检测阶段主要检测事件是己经发生的还是正在进行中的(事件所处阶段),以及事件产生的原因
- 确定事件性质和影响的严重程度,以及预计采用什么样的专用资源来修复
- 选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件的范围
- 通过汇总,查看是否发生了全网的大规模事件,从而确定应急等级及其对应的应急方案
一般典型的事故现象包括:
账号被盗用、骚扰性的垃圾信息、业务服务功能失效、业务内容被明显篡改、系统崩溃、资源不足等
抑制阶段
抑制阶段的主要任务是限制攻击/破坏波及的范围,同时也是在降低潜在的损失
所有的抑制活动都是建立在能正确检测事件的基础上的,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略
抑制策略通常包括以下内容:
- 完全关闭所有系统
- 从网络上断开主机或断开部分网络(断网)
- 修改所有的防火墙和路由器的过滤规则
- 封锁或删除被攻击的登录账号
- 加强对系统或网络行为的监控
- 设置诱饵服务器进一步获取事件信息(蜜罐)
- 关闭受攻击的系统或其他相关系统的部分服务
根除阶段
根除阶段的主要任务是通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同的手段攻击系统,引发安全事件
- 加强宣传,公布危害性和解决办法,呼吁用户解决终端问题
- 加强监测工作,发现和清理行业与重点部门问题
恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态
确定使系统恢复正常的需求内容和时间表,从可信的备份介质中恢复用户数据,打开系统和应用服务,恢复系统网络连接,验证恢复系统,观察其他的扫描,探测可能表示入侵者再次侵袭的信号
一般来说,要想成功地恢复被破坏的系统,需要干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固
总结阶段
总结阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生
基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单
这一阶段的工作对于准备阶段工作的开展起到重要的支持作用,形成闭环
总结阶段的工作主要包括以下3方面的内容:
- 形成事件处理的最终报告
- 检查应急响应过程中存在的问题,重新评估和修改事件响应过程
- 评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训
应急事件分类
- 网络流量事件(频繁发包、批量请求、DDOS攻击,sql注入等等)
- Web攻击事件(webshell、暗链、挂马、篡改)
- 病毒木马事件(病毒、远控、肉鸡、矿机、勒索软件)
- 业务安全事件(薅羊毛、任意用户登录)
- 信息泄露事件 (撞库、ssh弱口令、github源码泄露、暗网数据贩卖)
入侵分析检测项
- 安全策略:对内以及对外的端口映射情况或者端口策略情况
- 业务情况:服务器跑的什么业务,存在哪些应用,开放的端口
- 账号口令安全性:查看服务器是否有弱口令,远程管理端口是否对公网开放
- 服务器异常账户排查:查看服务器是否存在可疑账号
扫一扫
1237
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
