网络安全应急响应流程与方法论

操作说明

• 对系统的影响：检测阶段操作不会对系统造成影响，在系统正常运行情况下执行各个步骤，但在事件驱动检测方式中，确定有安全事件发生的情况下必须根据流程采取相应的措施，防止中断系统或网络的正常运行。
• 操作的复杂度：初级检测操作的复杂度为'普通'，高级检测操作的复杂度为'复杂'。
• 例行检测：是一种积极的方式，能预先发现系统和网络存在的漏洞，可根据流程采取补救措施。
• 事件驱动：方式的检测方法对安全事件能迅速响应，不会让安全事件扩大。
• 操作人员：系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员。

03 抑制和根除阶段

本阶段介绍各类安全事件（拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络嗅探类攻击、SQL 注入类攻击等）相应的抑制（Containment）或根除（Eradication）方法和技术。

抑制和根除阶段的工作内容

首先，网络安全攻击事件的进行可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、注入类攻击等，针对每一类攻击事件都需提供抑制方法，以及可操作性的技术规范和指导。

抑制是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征，比如攻击利用的端口、服务、攻击源、攻击利用系统漏洞等，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。

抑制阶段的风险是可能对正常业务造成影响，如系统中了蠕虫病毒后要断网，遭到 DDoS 攻击时会在防火墙做一些安全策略配置，由于弱口令遭到入侵后要更改口令会对系统的业务造成中断或延迟，所以在采取抑制措施时，必须充分考虑其风险以及对业务影响。

根除阶段是在抑制的基础上，对引起该类安全问题的最终技术原因在技术上进行完全的杜绝，并对这类安全问题所造成的后果进行弥补和消除。在根除阶段，采取措施最大的风险主要是在系统升级或补丁时可能造成系统故障，所以必须做好备份工作。在进入抑制和根除阶段之前，应形成安全事件应急响应方案，并对方案的实施获取必要的管理授权。

抑制和根除阶段的工作流程

1. 第一步：应急处理方案获得授权。
2. 第二步：系统维护人员、安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案验证效果。
3. 第三步：系统维护人员、安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案是否影响系统运行，对系统的影响程度不可接受时返回检测阶段。
4. 第四步：实施应急处理方案。
5. 第五步：当实施应急处理方案失败的情况下，采取应变和回退措施，并返回到检测阶段。

注意事项

1. 第三方安全事件应急服务人员仅在必要时参加。
2. 测试工作根据实际情况可以选择口头演练、试验室测试、现网局部测试 3 种方式进行。

操作说明

• 应急处理方案制定：由相关人员和第三方安全事件应急服务人员共同制定，根据流程需进行严格和充分的测试。
• 复杂度：抑制和根除阶段操作的复杂度为'复杂'。
• 操作人员：系统维护人员、安全技术人员、第三方安全事件应急服务人员。

04 恢复阶段

恢复阶段是指通过采取一系列的措施将系统恢复到正常业务状态。下面所阐述的内容未包含恢复阶段的全部技术内容，尤其是与各个业务系统实际情况相结合的部分，有关此部分的内容应在各业务系统的应急预案和业务连续性计划中体现。介绍的恢复方式包含 2 种：一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化；二是在应急处理方案中未列明所有系统变化的情况下，重装系统。

恢复阶段工作内容

主要内容是将系统恢复到正常的任务状态。在系统遭到入侵后，攻击者一定会对入侵的系统进行更改。同时，攻击者还会想尽各种办法使这种修改不被系统维护人员发现，从而达到隐藏自己的目的。

在根除阶段能彻底恢复配置和清除系统上的恶意文件，并且能够确定系统在所有变化完全根除的情况下，通过直接恢复业务系统的方式来恢复系统。这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小。

在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已达干净时，就一定要彻底地重装系统。简单地说，系统重装往往是系统最可靠的系统恢复手段。

恢复阶段工作流程

如果应急处理方案中列明所有系统变化，删除并恢复所有变化，实施安全加固。如果存在应急处理方案中未列明所有的系统变化，备份重要数据，低级格式化磁盘。严格按照系统的初始化安全策略安装和加固。

操作说明

• 对系统的影响：恢复阶段操作对系统的影响较大，操作系统需要停止，安全加固后对系统再次快照，审计合格后方可上线运行。
• 操作的复杂度：普通，但必须严格按照操作步骤执行。
• 操作人员：一般仅为企业内部系统维护人员。

重装系统详细步骤

由于恢复阶段可以采取重装系统这一简单有效的办法达到初始运行状态，因此再介绍一下重装系统的步骤和需要注意的事项。

1、重装系统时应采取的步骤

1. 重新安装操作系统之前要确定所有资料已经备份。备份的资料要保证是没有被攻击者改变的干净的资料。
2. 低级格式化硬盘，确保所有磁盘分区为系统的安全分区。
3. 操作系统、Web 主目录、日志分别安装在不同的分区，注意权限配置。
4. 不要安装不需要的软件、协议和服务，尽量最小化安装。
5. 安全加固请参阅安全配制文档并打上所有的补丁。
6. 安装应用软件如 IIS，应参照安全配置文档进行配置。
7. 安装操作系统和应用软件的最新补丁。
8. 恢复备份的资料。
9. 恢复业务系统。

2、重装系统时的注意事项

1. 为了彻底消除攻击者可能留下的安全隐患，一定进行低级格式化。这样做将删除所有的资料并且没有办法再恢复，所以一定要做好备份工作。
2. 在重新安装系统的时候要严格遵守系统安装的各项规定。
3. 系统在安装和安全配置没有全部做好之前，严禁连接网络。
4. 恢复系统的应用和数据的时候，要对应用和数据进行检查。以免其中存在的漏洞随着数据恢复被安装在系统上。

安全加固及系统初始化

在系统重装完毕后，正式上线以前，必须做好以下两件事情：

1. 安全加固：进行系统的安全加固工作；尤其要注意对引发安全事件的漏洞的修复和加固的处理，如果手册上没有，要及时对手册进行更新。
2. 安全快照：在进行安全加固后，按照第一阶段介绍的方法做好系统的安全快照。

05 跟进阶段

跟进（Follow-up）阶段的目的是通过对系统的审计（进行完整的检测流程），确认系统有没有被再入侵。在检测过程中特别应该注意的是检查抑制和根除阶段的工作效果。同时回顾、总结并整合发生应急响应事件过程中的相关信息。提高事件处理人员技能，以应付将来发生的类似场景。提高安全事件应急响应的处理能力。

跟进的意义在于

1. 基于吸取的教训重新评估和修改安全事件应急响应相关措施；
2. 调整组织的安全技术策略；
3. 调整组织的安全管理策略和资源配置；
4. 促进安全事件应急响应能力和组织机构的建设。跟进阶段对抑制或根除的效果进行审计，从而为确认系统没有被再次入侵提供了帮助。

跟进阶段工作内容

跟进阶段是应急响应的最后一个阶段，主要是对抑制或根除的效果进行审计，确认系统没有被再次入侵。下面将详细说明跟进阶段的工作要如何进行、在何时进行比较合适、具体的工作流程、要思考和总结的问题以及需要报告的内容。

跟进阶段的主要任务是确认系统有没有被再入侵，确认系统有没有被再入侵是通过对抑制或根除的效果进行审计完成的。这种审计是一个需要定期进行的过程。通常，第一次审计应该在一定期限之内进行，以后再进行复查，并输出跟进阶段的报告内容，包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等，要在跟进阶段报告中详细记录这些内容。

跟进阶段还需对事件处理情况进行总结，吸取经验教训，对已有安全防护措施和安全事件应急响应预案进行改进。跟进阶段是安全事件应急响应 6 个阶段方法论的最后一个阶段。跟进阶段是 6 个阶段中最可能被忽略的阶段。但这一步也是非常关键的。该阶段需要完成的原因有以下几点：

1. 有助于从安全事件中吸取经验教训，提高技能。
2. 有助于评判应急响应组织的事件响应能力。
3. 如果可能的话，可以在更大范围推广介绍事件处理经验。

跟进阶段工作流程

1. 第一步：执行完整的检测阶段流程。
2. 第二步：确认系统是否再次被入侵，如果有，请回到抑制和根除阶段。
3. 第三步：总结安全事件的处理过程和技能，调整安全策略，输出总结文档。
4. 第四步：输出跟进阶段的报告内容。
5. 第五步：安排再次审计。

跟进阶段操作说明

1. 对系统的影响：不会对系统造成影响，在系统正常运行情况下执行各个步骤。
2. 操作的复杂度：普通。
3. 操作效果：确定系统状态，总结应急响应流程和技术。
4. 操作人员：系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员。

跟进阶段的报告格式及模板

跟进阶段最重要的任务就是要记录下整个应急响应的报告，要写报告内容、包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等。详细记录下这些内容备用。

跟进阶段报告里需要写清楚的内容条目如下：

1. 事件类型：事件类型是对事件的定性，要包括的信息有攻击的来源（内部/外部，国内/国外）、攻击的方法、攻击导致的后果等。
2. 时间：不能简单地记录计算机的时间，还要记录当前标准时间以及受攻击的系统同标准时间的误差。
3. 检测方法：记录采用了什么检测方法，检测到了什么结果。
4. 抑制方法：记录采用了什么抑制方法，抑制的效果如何。
5. 根除方法：记录采用了什么根除方法，根除效果如何。
6. 事件影响：估计和总结事件的影响范围，总结在事件整个过程中的成功经验。

Windows 常用应急响应操作

• 查看网络连接状态：netstat -ano
• 查看进程及 PID：tasklist
• 查看正常运行程序：wmic process
• 打开计算机管理：检查计划任务与计算机日志信息

常见的应急响应工具

进程监控分析

• ProcessHacker：可查看所有进程信息，包括进程加载的 dll、进程打开的文件、进程读写的注册表……，也可以将特定进程的内存空间 Dump 到本地，此外还可以查看网络连接。
• Process Monitor：系统进程调用情况，实时监控文件系统、注册表、进程线程活动。
• XueTr：Windows 系统信息查看软件，可协助排查木马、后门等病毒。

端口网络状态

• TCPView：显示 TCP 和 UDP 端点，列出每个端点的进程名称。

查看进程

• PowerShell (PS)：强大的脚本环境，可用于自动化排查。

文件查找

• Everything：极速文件搜索工具，用于定位可疑文件。

Linux 常见检测工具

• Webshell 检查：D 盾、webshellkill、Hwskill。
• 流量分析工具：Wireshark、科来网络分析系统。

安全取证工具

1. USBTracker：可以对 quick & dirty 代码进行应急响应并通过取证 Python 从 windows 系统去转储 USB 相关的信息等。
   • 地址：https://github.com/sysinsider/usbtracker
2. ChromeForensics：谷歌浏览器及其他变种浏览器的一个自动取证分析工具。
   • 地址：https://github.com/AnimeshShaw/ChromeForensics
3. Linux Security Auditing Tool (LSAT)：安装后安全审计工具，它采用了模块化设计使得新功能可以快速添加。它可以检查 inetd 条目并扫描不需要的 RPM 包。
   • 地址：http://www.darknet.org.uk/2015/12/lsat-linux-security-auditing-tool/
4. Xplico：一款开源网络取证分析工具，主要用于数字取证和渗透测试：Kali Linux, BackTrack, DEFT, Security Onion, Matriux, BackBox, CERT Forensics Tools and Pentoo。
   • 地址：http://www.xplico.org/
5. AutoRuns：一款不错的启动项分析工具，微软官方推荐。只要涉及到启动项相关的信息，事无巨细，通通都可以查询得到，非常方便找到病毒的启动项。
   • 地址：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

结语

应急响应准备的工作内容主要有 2 个：一是对信息系统进行初始化的快照；二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比，是发现安全事件的一种重要途径。除对比系统初始化快照外，安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库 SQL 注入类攻击，针对每一类攻击事件都需制定相应的抑制与根除方法。在恢复阶段，恢复方式包含 2 种：一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化；二是在应急处理方案中未列明所有系统变化的情况下，重装系统。跟进阶段的目的是通过对系统的审计（进行完整的检测流程），确认系统有没有被再入侵。