web安全:应急响应
1.概述
应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理,以保护资产安全。这一流程旨在提高人们对网络安全的认识与准备程度,确保在遇到突发网络安全事件时能够有序应对、妥善处理。通过应急响应,组织能够迅速识别、评估并应对安全威胁,减少潜在损失,并保障业务连续性。
2. PDCERF方法
2.1.概述
PDCERF方法最早于1987年提出,该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的,明确响应顺序和过程。但是,PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中,不一定严格存在这6个阶段,也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。
2.2.准备阶段
准备阶段以预防为主,涉及以下主要工作:
- 风险识别:评估机构、企业的潜在安全风险。
- 安全政策建立:制定并实施网络安全政策。
- 协作体系与应急制度:建立跨部门协作机制和应急响应制度。
- 安全设备与软件配置:按照安全政策配置安全设备和软件。
- 应急响应准备:为主机和网络准备应急响应资源。
- 预防措施:进行扫描、风险分析、打补丁等准备工作。
- 监控设施与数据汇总分析体系:建立监控和数据分析体系,以便及时发现并应对安全事件。
2.3检测阶段
检测阶段主要检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以及预计采用什么样的专用资源来修复。选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件的范围。通过汇总,查看是否发生了全网的大规模事件,从而确定应急等级及其对应的应急方案。
一般典型的事故现象包括:
账号被盗用、骚扰性垃圾信息、业务服务功能失效、业务内容被篡改以及系统崩溃和资源不足等。
2.4抑制阶段
抑制阶段的主要任务是限制攻击/破坏波及的范围,同时也是在降低潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。
抑制策略通常包含以下内容:
- 系统关闭:在必要时完全关闭所有系统。
- 网络断开:从网络上断开受感染的主机或部分网络。
- 过滤规则修改:修改防火墙和路由器的过滤规则。
- 账号封锁:封锁或删除被攻击的登录账号。
- 监控加强:加强对系统或网络行为的监控。
- 诱饵服务器设置:设置诱饵服务器以获取更多事件信息。
- 服务关闭:关闭受攻击系统或其他相关系统的部分服务。
2.5根除阶段
根除阶段的主要任务是通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同的手段攻击系统,引发安全事件。并加强宣传,公布危害性和解决办法,呼吁用户解决终端问题。加强监测工作,发现和清理行业与重点部门问题。
2.6恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表,从可信的备份介质中恢复用户数据,打开系统和应用服务,恢复系统网络连接,验证恢复系统,观察其他的扫描,探测可能表示入侵者再次侵袭的信号。一般来说,要想成功地恢复被破坏的系统,需要干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。
2.7总结阶段
总结阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生。基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。
总结阶段的工作主要包括以下3方面的内容:
- 事件处理报告:形成事件处理的最终报告。
- 问题检查与评估:检查应急响应过程中存在的问题,重新评估并修改事件响应过程。
- 培训与沟通评估:评估应急响应人员之间的沟通缺陷,以促进更有针对性的培训。
3.网络安全应急响应场景
勒索病毒、挖矿木马、Webshell、网页篡改、DDos攻击、数据泄露、流量劫持。
4.应急响应处理流程
应急响应处理流程通常包括以下几个步骤:
- 事件类型识别:确定安全事件的具体类型。
- 时间范围确定:明确事件发生的时间范围。
- 系统排查:检查系统配置和运行状态。
- 进程排查:分析系统进程,查找异常行为。
- 服务排查:检查系统服务是否正常运行。
- 文件痕迹排查:检查文件系统中的异常文件和痕迹。
- 日志分析:分析系统日志,查找事件线索。
- 得出结论:基于以上分析,得出事件处理结论,并采取相应的应对措施。