网络安全应急响应

网络安全应急响应

一、网络安全应急响应概念

网络安全应急响应是指在突发重大网络安全事件后,对包括计算机运行在内的业务进行维持或恢复的各种技术、管理策略以及规程。

网络安全应急响应的活动主要有两种:未雨绸缪式和亡羊补牢式。

1. 未雨绸缪式

未雨绸缪式的应急响应指的是企业要在安全事件发生前先做好防范措施,如事先做好风险评估、制订安全计划、进行安全意识的培训、以发布安全通告的方式进行预警等。

企业需要设立安全应急响应部门,明确相关机构的职责,由安全应急响应部门制订应急响应预案,并根据应急响应预案展开相关的应急演练工作,根据应急演练过程中遇到的问题不断地完善应急响应预案,打磨内部应急流程。

应急演练工作包括基于应急演练预案展开的安全调查评估工作、实施演练过程中进行的相关攻击行为的检测预警,以及针对攻击行为的阻断、应急处置和脆弱性加固工作。

2. 亡羊补牢式

亡羊补牢式的应急响应指的是在安全事件发生后要采取相关的安全措施,以将安全事故造成的损失降到最低。这些安全措施可能来自于人,也可能来自系统。例如在安全事件发生后,相关人员或系统迅速进行一系列操作,如系统备份、病毒检测、后门检测、清除或者隔离检测出来的病毒和后口,然后后者进行系统恢复,对攻击者进行调查与追踪,最后对攻击者进行取证等。

通过事前的计划和准备来为安全事件发生后的响应动作提供指导,并通过事后的响应来发现事前计划的不足,使得双方互为补充,不断强化。

二、常见安全事件分类

《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)根据信息安全事件发生的起因、表现、结果等,将信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件和其他信息安全事件等7个基本分类。每个基本分类包括若干子类,具体内容如下。

1. 恶意程序事件

恶意程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件以及其他有害程序事件。总体来说,恶意程序事件可以概括为Web恶意代码事件和二进制恶意代码事件。

常见的Web恶意代码事件:

Webshell后门:黑客通过Webshell控制主机。
网页挂马:页面被植入恶意内容。
网页暗链:网站被植入博彩、色情、游戏等广告内容。

常见的二进制恶意代码事件:

病毒/蠕虫:造成系统缓慢,运行异常,甚至数据损坏。

远控木马:主机被黑客远程控制。

僵尸网络程序:被攻陷的主机对外发动 DDoS(分布式拒绝服务)攻击和扫描攻击行为。

挖矿程序:给系统造成大量的资源消耗。

2.网络攻击事件

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件以及其他网络攻击事件等。

常见的网络攻击事件

安全扫描器攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞发起攻击。

Web 漏洞攻击:通过 SQL 注入漏洞、上传漏洞、跨站脚本攻击漏洞、越权访问漏洞等各种 Web 漏洞进行攻击。

暴力破解攻击:对目标系统进行暴力破解,以期获得系统的账号和密码,从而获取后台管理员权限。

系统漏洞攻击:利用操作系统/应用系统中存在的漏洞进行攻击。

拒绝服务攻击:通过 DDoS 或者 CC(challenge collapsar,挑战黑洞)来攻击目标,使目标服务器无法提供正常服务。

3.信息破坏事件

信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件以及其他信息破坏事件。

4.信息内容安全事件

信息内容安全事件包括违反法律以及行政法规的信息安全事件;针对社会热点事件进行炒作,从而形成一定讨论规模的信息安全事件;组织、串联、煽动集会游行的信息安全事件以及其他类型的信息内容安全事件。

5. 设备设施故障事件

设备设施故障事件包括软硬件自身故障、外围保障设施故障、人为破坏故障以及其他设备设施故障。

6. 灾害性事件

灾害型安全事件包括火灾、地震、洪水等自然灾害以及人为灾害造成的安全事件。

7. 其他信息安全事件

以上未覆盖到的其他安全事件。

三、应急响应现场处置流程

为了最大限度地科学、合理、有序地处罝网络安全事件,业内通用的PDCERF模型,将网络安全应急响应现场处置流程分成准备(preparation)、检测(detection)、抑制(containment)、根除(eradication)、恢复(recovery)、跟踪(follow-up)6个阶段。

根据网络安全应急响应总体策略,需要对每个阶段设立适当的目的,并明确响应顺序和过程。

PDCERF模型中的各个阶段的工作内容如下:

准备:应急人员为了防止不可预期的变化,需要为应急响应做好充足的准备工作。

检测:发现可疑迹象或在问题发生后进行一系列初步的处理工作,并分析所有可能得到的信息来确定入侵行为的特征。

抑制:应急人员需要对事件扩散和影响范围进行限制。

根除:通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

恢复:把被破坏的信息还原到初始状态。

跟踪:回顾并整合应急响应事件过程的相关信息。

结合应急响应的PDCERF模型,我们制订了应急响应处置的标准化流程。

该流程包含事件确认、事件抑制、事件处置、原因分析、总结报告、结束跟踪6个过程。

这6个过程的具体工作描述如下:

1. 事件确认

在事件确认流程中,需要确认如下事项:

确定安全事件的类型,评估事件的影响范围;
确定客户的需求点和痛点;
计划问题处置的时间表(预计需要花费多少时间来处置问题);
初步判断处置该事件所需的资源(设备资源、人力资源)。

2. 事件抑制

在事件抑制流程中,可中断业务和不可中断业务的抑制手段并不相同。

对于可中断业务,可采取的抑制手段有:

关闭已失陷的系统;
断开网络连接;
禁用或删除被攻破的账号;
关闭可被攻击利用的服务。
对于不可中断的业务,可采取的抑制手段有:

根据被攻击的情况在安全设备中配置安全策略;
修改被攻破账号的账号和密码;

服务被入侵且无法中断时 ,需设置白名单源地址。

3. 事件处置

在事件处置流程中,应急人员首先需要清理系统中存在的木马、病毒、恶意代码程序;

然后,清理Web站点中存在的木马、暗链、挂马页面;

接着,恢复被黑客篡改的系统配置,删除黑客创建的后门账号;

最后,删除异常系统服务、清理异常进程,并帮助客户恢复正常业务服务。

4. 原因分析

应急人员需要通过网络流量、系统日志、Web日志记录、应用日志、数据库日志、安全产品数据等产品或者日志文件来分析黑客入侵手法,调查造成安全事件的原因,确定安全事件的威胁程度和被破坏的严重程度。

5. 总结报告

在事件处置完毕后,应急人员根据整个安全事件的情况编写应急响应报告。

该报告需要描述安全事件的现象、处置过程、处置结果、事件的根因分析,并给出系统加固建议和产品加固建议。

6. 结束跟踪

检查应急响应过程中存在的问题,重新评估和修改事件响应过程。

评估应急人员在事件处理上存在的缺陷,以便事后有针对性地进行培训。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹿鸣天涯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值