导图社区 网络安全应急响应技术原理与应用
网络安全应急响应:是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作 1.2 网络安全应急响应发展 美国,1988年,..
这是一个关于PMP第六版49个项目管理过程的思维导图,全面解析了项目启动、规划、执行、监控与收尾各阶段的关键步骤与要点。
大数据主要包括大规模数据分析处理,数据挖掘,分布式文件系统,分布式数据库,云计算平台,互联网和存储系统。 1.“数据集”安全边界日渐模糊,安全保护难度提升 多...
移动应用安全,网易易盾-专业的应用加固服务商,兼容性高,0损耗,安全性高,免费试用.移动应用安全,网易易盾提供防逆向,防篡改,防调试,防二次打包等一站式应用加固方案.
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
17.网络安全应急响应技术原理与应用
1. 网络安全应急响应概述
1. 网络安全应急响应概念
网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。
2. 网络安全应急响应发展
美国,第一个计算机安全应急组织CERT。FIRST国际性网络安全应急响应组织,其目标是成为全球公认的应急响应领导者。加入FIRST的成员能够得到最佳实践、工具和可信的交流,使得安全应急响应更加有效。
我国,已经建立了国家计算机网络应急技术处理协调中心,简称“国家互联网应急中心”,英文简称为CNCERT或CNCERT/CC,该中心成立于2002年9月。CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针...
3. 网络安全应急响应相关要求
第五十二条
负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息
第五十三条
国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
第五十五条
发生网络安全事件,应当立即启动网络安全事件应急预案...防止危害扩大,并及时向社会发布与公众有关的警示信息
2. 网络安全应急响应组织建立与工作机制
1. 网络安全应急响应组织建立
网络安全应急响应组织主要由应急领导组和应急技术支撑组构成。
2. 网络安全应急响应组织工作机制
网络安全应急响应组织是对组织机构的网络安全事件进行处理、协调或提供支持的团队,负责协调组织机构的安全紧急事件,为组织机构提供计算机网络安全的监测、预警、响应、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关网络安全的权威性信息,并与国内外计算机网络安全应急响应组织进行合作和交流。
3. 网络安全应急响应组织类型
1||| 公益性应急响应组。由政府和公益性机构资助,对社会所有用户提供公共服务。
2||| 内部应急响应组。由一个组织机构创建和资助,服务对象仅限于本组织内部的客户群。
3||| 商业性应急响应组。根据客户的需要,为客户提供技术、程序、调查、法律支持等服务。商业服务的特点在于服务质量保障,在突发的安全事件发生时及时响应,应急响应组甚至提供7x24小时的服务,现场处理事件等。
4||| 厂商应急响应组。一般只为自己的产品提供应急响应服务,同时也为公司内部成员提供安全事件处理和技术支持。
3. 网络安全应急响应预案内容与类型
1. 网络安全事件类型与分级
2017年中央网信办发布《国家网络安全事件应急预案》,其中把网络信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度,可以将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件
(1)特别重大网络安全事件
符合下列情形之一: ①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力; ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁; ③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件
(2)重大网络安全事件
符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件: ①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响; ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁; ③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件
(3)较大网络安全事件
符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件: ①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响; ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件
(4)一般网络安全事件
对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件
2. 网络安全应急响应预案内容
网络安全应急响应预案是指在突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤。基本内容如下:
(1)详细列出系统紧急情况的类型及处理措施。事件处理基本工作流程。
(2)应急处理所要采取的具体步骤及操作顺序。
(3)执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。
3. 网络安全应急响应预案类型
按照网络安全应急响应预案覆盖的管理区域,可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案。不同级别的网络安全应急响应预案规定的具体要求不同,管理层级高的预案偏向指导,而层级较低的预案侧重于网络安全事件的处置操作规程。
4. 常见网络安全应急事件场景与处理流程
1. 常见网络安全应急处理场景
(1) 恶意程序事件
通常会导致计算机系统响应缓慢、网络流量异常,主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。
(2) 网络攻击事件
1||| 安全扫描器攻击:黑客利用扫描器对目标系统进行漏洞探测。
2||| 暴力破解攻击:对日标系统账号密码进行暴力破解,获取后台管理员权限。
3||| 系统漏洞攻击:利用操作系统/应用系统中存在的漏洞进行攻击。
(3) 网站及Web应用安全事件
1||| 网页篡改:网站页面内容非授权篡改或错误操作。
2||| 网页挂马:利用网站漏洞,制作网页木马。
3||| 非法页面:存在赌博、色情、钓鱼等不良网页。
4||| Web漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种Web漏洞进行攻击。
5||| 网站域名眼务劫持:网站域名服务信息遭受破坏,使得网站域名服务解析指向恶意的网站。
(4) 拒绝服务事件
DDoS:攻击者利用TCP/IP协议漏洞及服务器网络带宽资源的有限性,发起分布式拒绝服务攻击。
DoS:服务器存在安全漏洞,导致网站和服务器无法访问,业务中断,用户无法访问。
2. 网络安全应急处理流程
应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结等步骤。
第一步,安全事件报警。发生紧急情况时,由值班工作人员及时报告。报警人员要准确描述安全事件,并做书面记录。
第二步,安全事件确认。应急工作组长和应急领导小组接到安全报警之后,首先应当判断安全事件的类型,然后确定是否启动应急预案。
第三步,启动应急预案。
第四步,安全事件处理。安全事件处理要求至少两人参加,所处理的工作主要包括如下内容: ①准备工作:通知相关人员,交换必要的信息。 ②检测工作:对现场做快照,保护一切可能作为证据的记录(包括系统事件、事故处理者所采取的行动、与外界沟通的情况等)。 ③抑制工作:采取围堵措施,尽量限制攻击涉及的范围。 ④根除工作:解决问题,根除隐患 ⑤恢复工作:恢复系统,使系统正常运行。 ⑥总结工作:提交事故处理报告。
第五步,撰写安全事件报告。
第六步,应急工作总结。
3. 网络安全事件应急演练
应急演练的类型
(1) 按组织形式划分
1||| 桌面应急演练:利用地图、沙盘、流程图等,通常在室内完成
2||| 实战应急演练:完成真实应急响应的过程
(2) 按内容划分
1||| 单项应急演练:特定应急响应功能
2||| 综合应急演练:多项或全部应急响应功能
(3) 按目的与作用划分
1||| 检验性应急演练:检验应急预案的可行性、应急准备的充分性等
2||| 示范性应急演练:向观摩人员展示应急能力或提供示范教学
3||| 研究性应急演练:为研究和解决突发事件应急处置的重点、难点问题,试验新方案、新技术
应急演练的一般流程
制定应急演练工作计划,编写应急演练具体方案,组织实施应急演练方案,最后评估和总结应急演练工作,优化改进应急响应机制及应急预案。
5. 网络安全应急响应技术与常见工具
1. 网络安全应急响应技术概况
2. 访问控制
如防火墙安全配置,网络资源不被非法访问...
3. 网络安全评估
指对受害系统进行分析,获取受害系统的危害状况。如用漏洞扫描系统等
4. 网络安全监测
对受害系统的网络活动或内部活动进行分析,获取受害系统的当前状态信息。包括:网络流量监测和系统自身监测。
5. 系统恢复
1||| 系统紧急启动。
2||| 恶意代码清除。使用安全专用工具,对受害系统的恶意代码进行清除。
3||| 系统漏洞修补。
4||| 文件删除恢复。
5||| 系统备份容灾。
《信息安全技术信息系统灾难恢复规范(GB/T20988-2007)》,该规范定义了六个灾难恢复等级和技术要求,各级规范要求如下:
第1级-基本支持。本级要求至少每周做一次完全数据备份并且备份介质场外存放;企业要制定介质存取、验证和转储的管理制度;企业需要制订经过完整测试和演练的灾难恢复预案。
第2级-备用场地支持。配备灾难发生后能在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备;即要制定备用场地管理制度,同时要与相关厂商、运营商有符合灾难恢复时间要求的紧急供货协议、备用通信线路协议。
第3级-电子传输和部分设备支持。配置部分数据处理设备和部分通信线路及相应的网络设备;同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地,并在灾难备份中心配置专职的运行管理人员
第4级-电子传输及完整设备支持。须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备,并处于就绪状态;备用场地也提出了支持7x24小时运作的更高的要求。
第5级-实时数据传输及完整设备支持。要求实现远程数据复制技术,并利用通信网络将关键数据实时复制到备用场地;同时要求备用网络具备自动或集中切换能力。
第6级-数据零丢失和远程集群支持。要求数据远程实时备份,实现教据零丢失;同时要求应用软件是集群的,可以实现实时无缝切换,并具备远程集群系统的实时监控和自动切换能力;要求用户可通过网络同时接入主、备中心。
6. 入侵取证
入侵取证是指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。依据证据信息变化的特点,可以将证据信息分成两大类:第一类是实时信息或易失信息,例如内存和网络连接;第二类是非易失信息,不会随设备断电而丢失。
网络安全取证步骤
第一步,取证现场保护。保护受害系统或设备的完整性,防止证据信息丢失。
第二步,识别证据。识别可获取的证据信息类型,应用适当的获取技术与工具。
第三步,传输证据。将获取的信息安全地传送到取证设备。
第四步,保存证据。存储证据,并确保存储的数据与原始数据一致。
第五步,分析证据。将有关证据进行关联分析,构造证据链,重现攻击过程。
第六步,提交证据。向管理者、律师或者法院提交证据。
在取证过程中,每一步的执行都涉及相关的技术与工具
①证据获取。此类技术用于从受害系统获取原始证据数据,如各种系统日志等。
②证据安全保护。此类技术用于保护受害系统的证据的完整性及保密性,防止证据受到破坏或非法访问。
③证据分析。此类技术用于分析受害系统的证据数据,常见的技术方法有关键词搜索、可疑文件分析、数据挖掘等。
6. 网络安全应急响应参考
1. 公共互联网网络安全突发事件应急预案
略...
2. 阿里云安全应急响应服务
案例必须记住
阿里云安全应急响应服务参照国家信息安全事件响应处理相关标准,帮助云上用户业务在发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的7X24小时远程紧急响应处理服务,使云上用户能够快速响应和处理信息安全事件,保障业务安全运营。
阿里云安全应急响应服务的主要场景
阿里云安全应急响应服务的流程
购买服务
当客户系统发生安全突发事件后,需要SOS服务时,需要先购买安全事件应急响应服务。
购买服务后需要在5个自然日内在页面上提交需要应急响应的资产清单或者在安全公司与客户取得联系后,通过其他方式提交需要处理的资产清单。
为避免进一步的损失,建议客户自行对被攻击的资产进行数据备份工作。
分配合作伙伴
当客户购买服务后,阿里云后台管理系统会根据客户发生的安全事件的情况,为客户分配合适的安全公司。
事件确认
安全公司的安全工程师与客户直接联系对接,通过与客户交流了解事件的具体详情,并记录问题情况。
登录被入侵系统查看实际系统状态。
根据客户描述现象与系统实际现象,对事件进行确认,定性。
事件抑制
如果在响应过程中,发现黑客正在进行攻击,或者有其他可能会进一步破坏系统的行为,安全工程师将采取抑制手段。抑制事态发展是为了将事故的损害降低到最小化。在抑制环节,常见的手段:断开网络连接;关闭特定的业务服务;关闭操作系统。
事件处理
在对安全事件进行原因分析之后,将进一步对安全事件进行处理,具体工作如下:
清理系统中存在的木马、病毒、恶意代码程序;
清理Web站点中存在的木马、暗链、挂马页面;
恢复被黑客篡改的系统配置,删除黑客创建的后门账号;删除异常系统服务、清理异常进程;
在排查问题后,协助恢复用户的正常业务服务。
入侵原因分析
根据网络流量、系统日志、Web日志记录、应用日志、数据库日志,结合安全产品数据,分析黑客入侵手法,调查造成安全事件的原因,确定安全事件的威胁和破坏的严重程度。部分安全事件会因为黑客清理了日志或者系统未保留相关日志从而导致无法定位入侵原因,因此应急响应服务将尽可能地分析原因,但不承诺一定能分析出入侵原因。
提交报告
事件处理完后,根据整个事件情况撰写《阿里云安全事件应急响应报告》,文档中阐述整个安全突发事件的现象、处理过程、处理结果、事件原因分析(针对事件分析版),并给出相应的安全建议,客户在获取报告后可以再对报告内容进行确认,也可以对服务过程向阿里云提出反馈或投诉。
结束阶段
在安全事件处理结束后,阿里云将继续跟踪事件处理结果,对服务提供商的服务过程和服务质量进行审查。
3. IBM产品安全漏洞应急响应
4. “永恒之蓝"攻击的紧急处置
也可以记一下
“永恒之蓝”攻击的紧急处置:“永恒之蓝”网络蠕虫利用Windows系统的SMB漏洞可以获取系统最高权限,进而制作Wannacry勒索程序。
本案例参考360发布的《针对“永恒之蓝”攻击紧急处置手册》及应急相关机构提供的资料,给出“永恒之蓝”网络蠕虫的紧急处理方式,具体如下:
(1)如果主机已被感染,则将主机隔离或断网(拔网线)。若有该主机备份,则启动备份恢复程序。
(2)如果主机未被感染,采取以下合适的方式进行防护,避免主机被感染。
①安装免疫工具。如安装和使用360提供的免疫工具OnionWormlmmune.exe。漏洞修补。针对恶意程序利用的漏洞,安装MS17—010补丁。
②系统安全加固。手工关闭445端口相关服务或启动主机防火墙,封堵445端口。
③阻断445端口网络通信。配置网络设备或安全设备的访问控制策略(ACL),封堵445端口通信。
