认识应急响应
网络安全的特性:
- 整体性--业务与利益相关
- 动态性--技术不断发展
- 开放性--没有物理边界
- 相对性--没有绝对的安全
网络应急响应:
定义1:在对网络安全态势、组织的网络系统运行情况和面临安全威胁有清楚的认识下,在管理、技术和人员方面进行计划和准备馆当网络安全事件突发时,能够有序应对并妥善处理,降低组织的损失,并能够改进网络安全突发事件的策略和计划。
定义2:应急响应对网络安全事件所做的具体准备,如数据、工具、人力和计划方面,以及事件发生时的处置和事件后的针对分析。
工程师分类:
- 红队 --攻击方
- 蓝队 --狩猎
- 青队--网络安全问题出现,能够及时响应反制保护企业安全。工作内容:采取合适的应对策略和措施保障自身业务信息系统持续性。
应急响应流程
应急响应准备:
获取当前网络安全事件信息
1、事件发生前,做好日常运维检测,收集各类故障信息。
- ????????区分系统自身故障和人为破坏
- ????????区分股事件和应急响应事件
2、充分获取当前事件信息从而启动相应的预案
- ????????事件上报,确认应急事件类型和应急事件的等级
- ????????通知相关人员,启用应急预案
启动网络安全应急响应预案
1、应急元内容
- ????????总则
- ????????组织体系和职责
- ????????事件预警
- ????????应急处置
- ????????后期处置
- ????????预防工作
- ????????保障措施
- ????????附则
2、应急小组划分
- ????????应急领导小组
- ????????应急预案制定小组
- ????????应急执行小组
- ????????技术保障小组
- ????????支持保障小组
应急响应保护
抑制保护
1、应急响应事件发生,采用临时策略对目标机器进行止损。
- ????????直接策略:断网
- ????????断网好处:防止删除日志和重要文件
2、方法
- ????????查清影响的机器和范围
- ????????进行网络隔离,关闭响应的端口
- ????????切换备份机器,保证业务正常
- ????????常规应急响应,修复系统,分析发生的原因,加固系统
数据保护
1、保护物理设备
- ????????物理隔离,防止人为物理破坏机器
- ????????事件重大,保护现场。
2、对内存和磁盘制作相关进行
- ????????取证数据
- ????????磁盘镜像(Disk Image)--将存储器的完整内容和结构都保存在一个文件中。
应急事件检测
目标
????????通过数据分析确定攻击时间、查找攻击线索、梳理攻击过程、在可能的情况下,朔源到攻击者。
数据分析技术--系统信息分析--windows系统
1、系统用户
- lusrmgr.msc
- net user
- net localgroup administrators
- Get-LocalUser
2、进程信息
- ?taskmgr.exe
- tasklist
- get-process
- wmic process list full
- wmic process get name,parentprocessid,processid
- wmic process where 'ProcessID=PID' get CommandLine
?
3、服务信息
- services.msc
- net start
?
- tasklist /svc
- psservice
????????使用工具,需要提前下载。如:upnphost服务
4、计划任务
- 控制面板-管理工具-任务计划程序
???????
- taskschd.msc
- schtasks
5、自启动项
- taskmgr--启动标签页
- wmic startup get caption,command
- Get-CimInstance Win32_StartupCommand | Select-Object Name,command,Location, User | Format-List
6、注册表
- regedit
- reg query HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
- reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
7、端口状态
- netstat -ano
- Get-NetTCPConnection -LocalAddress 192.168.1.112?| Sort-Object LocalPort
8、共享文件
- net view \\127.0.0.1
- Get-SMBShare
9、防火墙设置
10、session信息 【可以理解为登录信息】
- net use
?
- net session
?
?
- PsLoggedon64.exe
- logonsessions64
数据分析技术--系统信息分析--Linux系统
1、系统用户
- 确定系统中是否尔一个看起来可疑的帐户? ? cat /etc/passwd?
- 查看用户密码信息,且只有root用户可以查看??cat /etc/shadow
- 查看用户组信息? cat /etc/group
- 查看当前登录系统用户信息? 【whoami? ?who? w? last? lastb】
2、日志记录
3、系统资源
- 查看服务器已经运行了多长时间、系统中的当前时间、当前登录了多少用户以及系统的平均负载? update
- 查看Linux中系统的内存使用情况,系统中使用的物理内存和交换内存,以及内核使用的缓冲区? free
- 检查系统上是否存在未知的挂载??cat /proc/mounts
4、进程信息
- top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类化于Windows的任务管理器
5、服务信息
- service --status-all
- cat /etc/crontab
- more /etc/resolv.conf
- more /etc/hosts
- iptables -L -n
6、文件信息
- 系统中任何过大的文件及其权限???find /home/ -type f -size +5120k -exec ls -lh {} \;
- 找到所有SUID的文件??find / -perm -u=s -type f 2>/dev/null
?????????find命令suid提权? ?
????????????????which find
????????????????ls -alt /usr/bin/find
????????????????sudo chmod u+s /usr/bin/find?
????????????????ls -alt /usr/bin/find
????????????????find / -perm -u=s -type f 2>/dev/null
????????????????find . -exec "whoami" \;
7、网络配置
- arp指令用来管理系统的arp缓冲区,可以显示、删除、添清静争态mac地址。
????????????????arp -vn
????????????????sudo arp -i ens33 -s 192.168.1.66 ff:ee:ee:ee:ee:ee:ee? 【添加静态映射】
- 显示网络连接信息??显示网络连接信息??netstat -pantu
- IP地址信息查看??ifconfig
应急响应取证?
- 计算机调查取证,是法医学下的一个分支,与法医相似,计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。
- 使调查的结果能够经受法庭的检查
应急响应根除
- 利用杀毒软件、杀毒脚本、手工查杀等方式彻底消除病毒,并检测整个网络系统,以确保不要留下后门。
- 针对不同操作系统,使用打补丁、修改安全配置和增加系统带宽的方式,降低安全风险。
应急响应恢复
- 利用备份文件恢复用户数据和配置信息
- 将受到入侵和可能存储漏洞的服务关闭,修改后重启服务
- 连接网络,恢复业务,持续监控并进行汇总分析
应急响应报告
????????1、事情经过
????????2、事件成因
????????3、评依事件影响
????????4、采取措施
????????5、事后系统定级、备案、测评等情况
