初识网络安全应急响应

初识网络安全应急响应

  • 1.应急响应的基本能力
  • 2.应急响应的基本流程

1.应急响应的基本能力

一、数据采集、存储和检索

  1. 能对全流量数据协议进行还原;
  2. 能对还原的数据进行存储;
  3. 能对存储的数据快速检索。

二、事件发现

  1. 能发现高级可持续威胁(APT)攻击;
  2. 能发现 Web 攻击;
  3. 能发现数据泄露;
  4. 能发现失陷主机;
  5. 能发现弱密码及企业通用密码;
  6. 能发现主机异常行为。

三、事件分析

  1. 能进行多维度关联分析;
  2. 能还原完整杀伤链;
  3. 能结合具体业务进行深度分析。

四、事件研判

  1. 能确定攻击者的动机及目的;
  2. 能确定事件的影响面及影响范围;
  3. 能确定攻击者的手法。

五、事件处置

  1. 能在第一时间恢复业务正常运行;
  2. 能对发现的病毒、木马进行处置;
  3. 能对攻击者所利用的漏洞进行修复;
  4. 能对问题机器进行安全加固。

六、攻击溯源

  1. 具备安全大数据能力;
  2. 能根据已有线索(IP 地址、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。

2.应急响应的基本流程

初识网络安全应急响应_第1张图片

1、准备阶段

准备阶段以预防为主。主要工作涉及识别机构、企业的风险,建立安全政策,建立协作体系和应急制度。

例如,扫描、风险分析、打补丁等

2、检测阶段

检测阶段主要检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以及预计采用什么样的专用资源来修复

一般典型的事故现象包括:

(1) 账号被盗用;
(2) 骚扰性的垃圾信息;
(3) 业务服务功能失效;
(4) 业务内容被明显篡改;
(5) 系统崩溃、资源不足。

3、抑制阶段

抑制阶段的主要任务是限制攻击/破坏波及的范围,同时也是在降低潜在的损失。

(1) 完全关闭所有系统;
(2) 从网络上断开主机或断开部分网络;
(3) 修改所有的防火墙和路由器的过滤规则;
(4) 封锁或删除被攻击的登录账号;
(5) 加强对系统或网络行为的监控;
(6) 设置诱饵服务器进一步获取事件信息;
(7) 关闭受攻击的系统或其他相关系统的部分服务。

4、根除阶段

根除阶段的主要任务是通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同的手段攻击系统

5、恢复阶段

恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表,从可信的备份介质中恢复用户数据,打开系统和应用服务,恢复系统网络连接,验证恢复系统,观察其他的扫描,探测可能表示入侵者再次侵袭的信号

6、总结阶段

总结阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生

总结阶段的工作主要包括以下 3 方面的内容:

(1) 形成事件处理的最终报告;
(2) 检查应急响应过程中存在的问题,重新评估和修改事件响应过程;
(3) 评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训。

你可能感兴趣的:(#,应急响应,web安全,网络,安全)