网络安全应急响应是面对网络攻击时的快速反应机制,遵循 PDCERF 方法论,涵盖准备、检测、抑制、根除、恢复和跟进六个阶段。准备阶段需建立系统快照并准备工具包;检测阶段结合快照对比与入侵检测设备发现异常;抑制与根除阶段控制攻击范围并彻底清除威胁;恢复阶段通过还原配置或重装系统恢复业务;跟进阶段进行审计总结以提升能力。文中还列举了 Windows 及 Linux 环境下的常用应急响应工具,如 ProcessHacker、D 盾、Xplico 等,为安全事件处理提供技术支持。
随着网络世界的不断发展与普及,越来越多的基础设施建设基于网络之上。在日常工作中,网络世界对现实世界的影响日益显著。截至 2022 年 1 月,互联网常驻人口达 49.5 亿,其中中国占 9.98 亿。随着网民数量激增和科技发展,虚拟世界的安全变得愈来愈重要。历史上网络安全事件层出不穷,'熊猫烧香'、'震网'病毒、'棱镜'计划等事件表明,网络安全已成为全民共同守护的大事。
网络安全应急响应是在特定网络和系统面临或已经遭受突然攻击行为时,进行快速应急反应,提出并实施应急方案的过程。作为一项综合性工作,它不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术,也对安全管理提出了更高的要求。
根据应急事件处理的 PDCERF 方法学,将应急响应分为**准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟进(Follow-up)**6 个阶段的工作。本文将按照各个阶段主要应用的关键技术进行详细介绍。
准备(Preparation)阶段是网络安全事件响应的第一个阶段,也属于一个过渡阶段,即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上。大部分工作需要在应急响应之前就已做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多事务,如果没有足够的准备,将无法准确地完成及时响应,导致难以意料的损失。
检测阶段讲述网络安全应急响应实施。结合准备阶段生成的系统初始化状态快照,这里概要介绍检测安全事件(系统安全事件、网络安全事件、数据库安全事件)相关内容和技术。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等安全检测设备。
其中,入侵检测系统(IDS)通过侦听网络流量并与事先存在的攻击特征匹配,实现对入侵事件的实时和自动发现。入侵检测系统往往存在较高的误报率。实际应用入侵检测系统时,需要结合部署环境的实际情况定制检测策略,以保证检测的准确性。流量监控的检测方式对于发现有明显流量特征的安全事件,如网络蠕虫、DDoS 攻击事件十分有效。在事件检测阶段做到'及时发现',必须合理利用各种已有的检测手段,综合分析发现安全事件的真实原因。
检测阶段是应急响应执行过程中的关键一环,在这个阶段需要系统维护人员使用初级检测技术进行检测,确定系统是否出现异常。在发现异常情况后,形成安全事件报告,由安全技术人员和安全专业技术人员介入进行高级检测来查找安全事件的真正原因,明确安全事件的特征、影响范围并标识安全事件对受影响的系统所带来的改变,最终形成安全事件的应急处理方案。
本阶段介绍各类安全事件(拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络嗅探类攻击、SQL 注入类攻击等)相应的抑制(Containment)或根除(Eradication)方法和技术。
首先,网络安全攻击事件的进行可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、注入类攻击等,针对每一类攻击事件都需提供抑制方法,以及可操作性的技术规范和指导。
抑制是对攻击所影响的范围、程度进行扼制,通过采取各种方法,控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征,比如攻击利用的端口、服务、攻击源、攻击利用系统漏洞等,采取有针对性的安全补救工作,以防止攻击进一步加深和扩大。
抑制阶段的风险是可能对正常业务造成影响,如系统中了蠕虫病毒后要断网,遭到 DDoS 攻击时会在防火墙做一些安全策略配置,由于弱口令遭到入侵后要更改口令会对系统的业务造成中断或延迟,所以在采取抑制措施时,必须充分考虑其风险以及对业务影响。
根除阶段是在抑制的基础上,对引起该类安全问题的最终技术原因在技术上进行完全的杜绝,并对这类安全问题所造成的后果进行弥补和消除。在根除阶段,采取措施最大的风险主要是在系统升级或补丁时可能造成系统故障,所以必须做好备份工作。在进入抑制和根除阶段之前,应形成安全事件应急响应方案,并对方案的实施获取必要的管理授权。
恢复阶段是指通过采取一系列的措施将系统恢复到正常业务状态。下面所阐述的内容未包含恢复阶段的全部技术内容,尤其是与各个业务系统实际情况相结合的部分,有关此部分的内容应在各业务系统的应急预案和业务连续性计划中体现。介绍的恢复方式包含 2 种:一是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化;二是在应急处理方案中未列明所有系统变化的情况下,重装系统。
主要内容是将系统恢复到正常的任务状态。在系统遭到入侵后,攻击者一定会对入侵的系统进行更改。同时,攻击者还会想尽各种办法使这种修改不被系统维护人员发现,从而达到隐藏自己的目的。
在根除阶段能彻底恢复配置和清除系统上的恶意文件,并且能够确定系统在所有变化完全根除的情况下,通过直接恢复业务系统的方式来恢复系统。这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小。
在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已达干净时,就一定要彻底地重装系统。简单地说,系统重装往往是系统最可靠的系统恢复手段。
如果应急处理方案中列明所有系统变化,删除并恢复所有变化,实施安全加固。如果存在应急处理方案中未列明所有的系统变化,备份重要数据,低级格式化磁盘。严格按照系统的初始化安全策略安装和加固。
由于恢复阶段可以采取重装系统这一简单有效的办法达到初始运行状态,因此再介绍一下重装系统的步骤和需要注意的事项。
1、重装系统时应采取的步骤
2、重装系统时的注意事项
在系统重装完毕后,正式上线以前,必须做好以下两件事情:
跟进(Follow-up)阶段的目的是通过对系统的审计(进行完整的检测流程),确认系统有没有被再入侵。在检测过程中特别应该注意的是检查抑制和根除阶段的工作效果。同时回顾、总结并整合发生应急响应事件过程中的相关信息。提高事件处理人员技能,以应付将来发生的类似场景。提高安全事件应急响应的处理能力。
跟进阶段是应急响应的最后一个阶段,主要是对抑制或根除的效果进行审计,确认系统没有被再次入侵。下面将详细说明跟进阶段的工作要如何进行、在何时进行比较合适、具体的工作流程、要思考和总结的问题以及需要报告的内容。
跟进阶段的主要任务是确认系统有没有被再入侵,确认系统有没有被再入侵是通过对抑制或根除的效果进行审计完成的。这种审计是一个需要定期进行的过程。通常,第一次审计应该在一定期限之内进行,以后再进行复查,并输出跟进阶段的报告内容,包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等,要在跟进阶段报告中详细记录这些内容。
跟进阶段还需对事件处理情况进行总结,吸取经验教训,对已有安全防护措施和安全事件应急响应预案进行改进。跟进阶段是安全事件应急响应 6 个阶段方法论的最后一个阶段。跟进阶段是 6 个阶段中最可能被忽略的阶段。但这一步也是非常关键的。该阶段需要完成的原因有以下几点:
跟进阶段最重要的任务就是要记录下整个应急响应的报告,要写报告内容、包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等。详细记录下这些内容备用。
netstat -anotasklistwmic process应急响应准备的工作内容主要有 2 个:一是对信息系统进行初始化的快照;二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库 SQL 注入类攻击,针对每一类攻击事件都需制定相应的抑制与根除方法。在恢复阶段,恢复方式包含 2 种:一是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化;二是在应急处理方案中未列明所有系统变化的情况下,重装系统。跟进阶段的目的是通过对系统的审计(进行完整的检测流程),确认系统有没有被再入侵。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online