网络安全应急响应概述
一、应急响应基本概念
网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全的过程。网络安全应急响应主要是为了使人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。在发生确切的网络安全事件时,应急响应实施人员应及时采取行动,限制事件扩散和影响的范围,防范潜在的损失与破坏。实施人员应协助用户检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件的整体解决方案,排除系统安全风险,并协助追查事件来源,协助后续处置。
具体工作内容主要是两方面:
- 未雨绸缪,即在事件发生前先做好准备。例如,开展风险评估,制订安全计划,进行安全意识的培训,以发布安全通告的方法进行预警,以及各种其他防范措施;亡羊补牢,即在事件发生
- 后采取的响应措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自人,也可能来自系统。例如,在发现事件后,采取紧急措施,进行系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵取证等一系列操作。
二、应急响应应具备的能力
企业在进行网络安全应急响应时,应具备以下能力:
1、数据采集、存储和检索能力
- 能对全流量数据协议进行还原;
- 能对还原的数据进行存储;
- 能对存储的数据快速检索。
2、事件发现能力
- 能发现高级可持续威胁(Advanced PersistentThreat,APT)攻击;
- 能发现 Web 攻击;
- 能发现数据泄露:
- 能发现失陷主机;
- 能发现弱密码及企业通用密码;
- 能发现主机异常行为。
3、事件分析能力
- 能进行多维度关联分析;
- 能还原完整杀伤链;
- 能结合具体业务进行深度分析。
4、事件研判能力
- 能确定攻击者的动机及目的:
- 能确定事件的影响而及影响范围:
- 能确定攻击者的手法。
5、事件处置能力
- 能在第一时间恢复业务正常运行:
- 能对发现的病毒、木马进行处置;
- 能对攻击者所利用的漏洞进行修复:
- 能对问题机器进行安全加固。
6、攻击溯源能力
- 具备安全大数据能力;
- 能根据已有线索(IP地址、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。
三、PDCERF(6阶段)方法
PDCERF方法最早于1987年提出,该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。
1、准备阶段
此阶段以预防为主,主要工作涉及识别机构、企业的安全风险、建立安全政策、建立协作体系和应急响应制度。按照安全策略配置安全设备和软件,为应急响应与恢复准备主机。
通过网络安全措施,进行一些准备工作、例如扫描、风险分析、打补丁。如果有条件且得到许可,可以建立监控设施,建立数据汇总分析的体系,制定能够实现应急响应目标的策略和流程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。
2、检测阶段
检测阶段主要检测事件是否已经发生还是正在进行中,以及事件产生的原因和性质。确定事件的性质和影响的严重程度,预计采用什么样的专用资源来修复。选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件的范围。通过汇总,确定是否发生了全网的大规模事件,确定应急等级,决定启动哪一级应急方案。
一般的事故现象包括:
账号盗用、骚扰性的垃圾信息、业务服务功能失效、业务系统内容被明显篡改、系统崩溃、资源不足等
3、抑制阶段
抑制阶段的主要任务是限制攻击/破坏波及的范围,同时也是在降低潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的,抑制互动必须结合检测阶段发现的安全事件的现象,性质,范围等属性,制定并实施正确的抑制策略。
抑制策略通常包含以下内容:
完全关闭所有系统、从网络上断开主机或断开部分网络、修改所有的防火墙和路由器的过滤规则、封锁或删除被攻击的登陆账号、加强对系统或网络行为的监控、设置诱饵服务器进一步获取事件信息、关闭受攻击的系统或其他相关系统的部分服务。
4、根除阶段
根除阶段的主要任务主要是通过事件的分析找出根源并且彻底根除,以避免攻击和再次使用相同的手段攻击系统,引发安全事件。加强宣传,公布危害性和解决办法,呼吁用户解决终端问题。加强检测工作,发现和清理行业与重点部门问题。
5、恢复阶段
恢复阶段的主要任务主要是把破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求和时间表,从可信的备份介质中恢复用户数据。打开系统和应用服务,恢复系统网络连接,验证恢复系统,观察其他的扫描,探测可能标识入侵者再次入侵的信号。一般来说,想要成功的恢复被破坏的系统,需要有干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。
6、总结阶段
总结阶段主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序、并进行训练,以防止入侵再次发生。基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。
总结阶段的工作主要包括以下这3个方面的内容:
- 形成事件处理的最终报告
- 检查应急响应过程中存在的问题,重新评估和修改事件影响过程
- 评估应急响应人员相互沟通在事件处理上存在的缺陷以促进事后进行更有针对性的培训
四、处置流程
1、常见的应急响应事件分类:
Web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗
2、应急响应基本思路流程(注意是基本思路)
- 信息收集:收集客户信息和中毒主机信息(开启了哪些端口和业务)
- 判断类型:判断是否属于安全事件,勒索、挖矿、DOS等
- 应急处置:是否需要隔离受害主机、断网等处置
- 判断分析:日志分析、进程分析、定时任务分析、启动项分析等
- 清理处置:将后门进程、Webshell文件、隐藏账户、启动项以及定时任务等排查清除
- 加固防御:打补丁、升级系统、关闭不必要的端口号等
- 溯源反制:通过入侵IP等信息对攻击者行为进行分析,公安备案或者封禁IP等行为最常使用的应急响应的方法是审计日志等基于时间轴定位法的方式进行排查。