关于应急响应的一点笔记

0x00 应急响应PDCERF模型。

  • P:指preparation准备,之前要做的各种工具,如编译好的Ls,ifconfig,ps这些事先准备好的。
  • D:指Detection诊断,诊断初期发生了哪些类型的问题,该环节强化了信息取证和预先通告,以助于后续工作的开展,利于同样是大规模流量,L4DDos和CC,蠕虫爆发,应对的应急手段不一样。
  • C:指Containment抑制,容易被忽视,首先应抑制受害范围,隔离区域,切断受害面扩大范围,再追求根治。思路同ITIL。
  • E:指Eradication根除,寻找根因,封堵攻击源。
  • R: 指Reconvery恢复,恢复业务,增加必要的安全加固措施,这步是大多说人熟悉的一步。
  • F:指follow-up跟踪,后续监控有无异常,报告,管理环节的自省和改进,现在一般称为安全运营的持续改进环节。

一般来说,应对当前应急监测体系来说,应急工作流程一般包括PDECRF模型,具体如下:

0X01 准备阶段

  该阶段以预防为主。
    - 制定应急响应工作流程文档计划,建立一组基于威胁态势的合理防御措施。
    - 制定预警与报警的方式流程,建立搞笑事件处理程序;
    - 建立备份的体系和流程,按网络安全政策配置安全设备和软件;
    - 一个支持事件响应活动的基础设施,获取处理问题的资源和人员,进行安全培训,预演应急事件;

0x02 事件监测与分析阶段(Detection和Analysis)

a.紧急事件监测(如何检测?):

  • 防火墙日志
  • 系统日志
  • Web服务器日志
  • IDS日志
  • 可疑的用户
  • 管理员报告

b.初始响应:

  • 初步判定事件类型,定义事件级别,预估事件的范围和影响严重程度(涉及到多少网络,多少主机等)以此决定启动相应的应急响应方案;
  • 准备相关资源;
  • 为紧急事件的处理取得管理方面的支持(决定是否关闭被破坏系统的业务,是否继续收集入侵者活动数据);
  • 组件事件处理小组;
  • 制定安全事件响应策略;

c.事件分级:

  • 决定什么对自己最重要
  • 为紧急事件确定优先级,更有效的利用资源
  • 不是紧急事件都需要平等对待;

d.响应后的事件调查

  • 事件起因分析
  • 事件取证追查
  • 系统后门调查,漏洞分析
  • 数据收集,数据分析;
关于应急响应的一点笔记_第1张图片
应急响应的军事化

0x03 抑制处理阶段(Containment Eradication & Recovery)

在检测到安全事件后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在限制被抑制后,找出事件根源并彻底解决;然后就该着手恢复系统,把所有受侵害的系统,应用数据库恢复到他们的正常业务状态。

  • 收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;

  • 确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;

  • 通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;

  • 清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

0x04 应急响应场景

网络攻击事件

  • 安全扫描攻击:利用扫描器对目标进行扫描探测,发现漏洞后进一步利用漏洞进行攻击。
  • 暴力破解攻击:对目标系统账号密码进行暴力破解,获得后台管理员权限。
  • 系统漏洞攻击:操作系统,应用系统中存在的漏洞进行攻击。
  • WEB漏洞攻击:通过SQL注入,上传,XSS,授权绕过等WEB漏洞进行攻击。
  • 拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使服务器无法提供正常服务;
  • 其他网络攻击行为。

恶意程序事件:

  • 病毒,蠕虫,造成系统缓慢,数据损坏,运行异常;
  • 远控木马: 主机被黑客远程控制;
  • 僵尸网络程序(肉鸡行为):主机对外发动DDOS攻击,对外发起扫描攻击行为;
  • 挖矿程序 :造成系统资源大量消耗;

WEB恶意代码

Webshell后门:黑客通过Webshell控制主机;
网页挂马:页面被植入待病毒内容,影响访问者安全;
网页暗链:网站被植入博彩,游戏等广告内容。

信息破坏事件

  • 系统配置遭篡改:系统中出现异常服务,进程,启动项,账号等等;
  • 数据库内容篡改:业务数据遭到恶意篡改,引发业务异常和损失;
  • 网站内容篡改:网站页面内容被黑客恶意篡改;
  • 信息数据泄露事件:服务器数据,会员账号遭到窃取并泄露;

其他安全事件

  • 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露;
  • 异常网络连接:服务器发起对外的异常访问,连接到木马主控端,矿池,病毒服务器等行为;

0X05 总体思路:

  • 统一规范事件报告格式;
  • 建立及时准确的安全事件上报体系;
  • 分类后,研究针对各类安全事件的响应对策,建立应急决策专家系统,建立网络安全事件数据库。

你可能感兴趣的:(关于应急响应的一点笔记)