【网络安全】安全事件管理处置 — 安全事件处置思路指导

news2024/11/23 14:03:48

专栏文章索引:网络安全

有问题可私聊:QQ:3375119339

目录

一、处理DDOS事件

1.准备工作

2.预防工作

3.检测与分析

4.限制、消除

5.证据收集

二、处理恶意代码事件

1.准备

2.预防

3.检测与分析

4.限制

5.证据收集

6.消除与恢复

三、处理未授权访问事件

1.准备

2.预防

3.检测与分析

4.限制、消除

5.证据收集

6.恢复

四、处理复合型安全事件

1.建议


一、处理DDOS事件

  • 事件定义:拒绝服务攻击是通过消耗CPU、内存、带宽或磁盘空间阻碍或破坏对网络、系统或应用的合法使用。

  • 常见DDOS类型有:
    • 反射式DDOS
    • 应用型DDOS
    • SYN FLOOD等

1.准备工作

  • 与ISP及相关服务商沟通,在遭受DDOS时,他们能提供什么服务。如流量清洗、封掉目的IP、限制某类流量的上限、提供DDOS流量日志。并确立明确的帮助流程与人员对接、及响应时间等
  • 部署IDS来检测DDOS攻击
  • 对现有网络资源进行监控,建立利用率基线
  • 建立网络性能检查的监控

2.预防工作

  • 使用严格的防火墙规则,禁用某些流量,如echo、chargen、ssdp
  • 使用源地址过滤设备,过滤伪造源地址流量
  • 对某些协议的比例进行限制,如ICMP
  • 对关键的应用和设备实现冗余配置,如多ISP、FW
  • 使用CDN保护WEB

3.检测与分析

  • DDOS 攻击的前兆
    • 在DDOS攻击开始前,一般会有小规模的试探型攻击。
      • 应对措施:根据试探攻击的特征来进行防护,或者迁移目标主机,加强对目标主机的保护
    • 新发布的DDOS利用工具,如2018年2月,攻击Github的memcached
      • 应对措施:分析新工具的特征,如memcached使用UDP 11211端口,可以联系ISP或在边界上过滤UDP11211的流量

  • DDOS 攻击的迹象
    • 用户报告系统不可用
    • 无故的连接丢失
    • 网络入侵检测报警
    • 主机入侵检测报警
    • 网络带宽利用率提高
    • 大量到单台主机的连接
    • 不对称的网络流量,进多出少
    • 防火墙或路由器日志
    • 数据包源地址不正常

4.限制、消除

  • 选择限制策略
    • 对被利用的弱点或缺陷进行修补
    • 根据攻击特征进行过滤
    • 借助ISP力量进行过滤
    • 重新部署受攻击目标
    • 对攻击者进行反攻

5.证据收集

  • 通过观察流量来发现攻击源
  • 通过ISP进行追踪
  • 了解僵尸网络主机是如何被控制
  • 检查大量日志记录

二、处理恶意代码事件

  • 恶意代码指的是一种被隐蔽插入到另一个程序中的程序,其目的是破坏数据、执行破坏性和入侵性程序或破坏受害者数据的安全性和完整性
  • 恶意代码类型:
    • 病毒
    • 木马
    • 蠕虫
    • 混合型

1.准备

  • 提高用户意识,使用户意识到恶意代码
  • 获取反病毒厂商关于最新恶意代码的通告
  • 对关键主机部署基于主机的IDS
  • 在边界上限制知名的木马连接端口

2.预防

  • 使用防病毒软件
  • 限制特定后缀的文件,如vbs、ps
  • 限定一些工具对文件的传输,如即时消息、网盘等
  • 教育用户安全的处理邮件
  • 关闭windows隐藏共享
  • 配置浏览器策略
  • 配置邮件客户端

3.检测与分析

  • 恶意代码前兆
    • 公开了一个对组织所使用软件的恶意代码利用,如2017年office公式编辑器漏洞
    • 反病毒软件成功隔离了一个新的文件

  • 恶意代码的迹象
    • 反病毒服务器报警文件被感染
    • 收发邮件数量突然大量增加
    • OFFICE经常使用的模板发生了变化
    • 屏幕上出现不正常的东西
    • 出现不正常的对话框或请求批准
    • 计算机或程序启动很慢
    • 系统不稳定和崩溃
    • 存在未知本机与远程的连接
    • 不正常的端口开启
    • 一些未知的进程正在运行
    • 主机产生大量的对外流量

4.限制

  • 限制策略
    • 确定并隔离受感染主机
    • 发送未知的病毒样本给反病毒厂商
    • 配置邮件服务器来限制邮件传播
    • 阻挡特定的主机,通常是木马的控制服务器
    • 关闭邮件服务器
    • 断开局域网与因特网的连接

5.证据收集

  • 尽管可以通过主机日志收集到证据,但恶意代码自身是可以互相传播。
  • 确定恶意代码的来源是比较困难的
  • 分析病毒样本的网络特性可能会更有意义

6.消除与恢复

  • 对受感染的文件进行杀毒、隔离、删除、替换
  • 修复被恶意代码利用的弱点,如MS17-010
    • 使用未受感染的备份进行恢复

三、处理未授权访问事件

  • 未经授权访问就是指访问者通过非法手段,在未经允许的情况下获得使用资源的权限。

  • 实现未授权访问的方式有:
    • 利用系统或程序漏洞
    • 非法获取用户名和口令
    • 社会工程学

  • 常见的未授权访问事件:
    • 非法获取服务器root权限
    • 非法修改网站主页
    • 暴力破解口令
    • 数据库脱库
    • 网络监听获取口令

1.准备

  • 配置基于主机的IDS
  • 使用集中的日志服务器并设置告警
  • 防止暴力破解 (使用验证码、账号锁定、强密码策略等)

2.预防

  • 对网络未授权访问的预防:
    • 配置默认拒绝的防火墙策略
    • 使用合理的VPN身份验证,如双因子验证
    • 划分DMZ区域,并做好区域间访问控制
    • 对内网服务器使用私有IP地址,通过NAT转换连网

  • 对主机未授权访问的预防:
    • 定期进行漏洞扫描
    • 关闭主机上不必要的服务
    • 使用普通用户运行服务,如新建一个apache的账号运行apache服务
    • 开启主机自带防火墙,如windows firewall 、 iptables
    • 设置自动锁屏和注销会话的策略
    • 定期检查权限配置

  • 对用户未授权访问的预防:
    • 启用复杂的口令策略
    • 在关键系统上使用双因素验证
    • 使用强加密算法保护口令
    • 建立完整的账号生命周期管理流程

3.检测与分析

  • 未授权访问的征兆
    • 对系统的扫描侦察活动发生了异象,如每天大量的扫描变突然减少
    • 一个新的远程利用漏洞公开,如针对IIS的缓冲区溢出
    • 用户反馈收到诱骗邮件,需要用户名输入账号密码
    • 一些登录失败的日志

  • 未授权访问迹象:
    • 主机上存安全相关利用工具
    • 主机上有不正常的流量
    • 主机系统配置发生变化,如进程服务增加、端口增加、日志策略更改
    • 重要数据、特权发生变化
    • 无法解释的账户登录或使用
    • 资源利用率发生明显变化
    • IDS的报警
    • 异常的日志

  • 未授权访问事件一般会分步进行
    • 进行扫描侦察工作,发现弱点
    • 侦察结束后,会利用弱点进行未授权访问
    • 获取基本用户权限后,会利用提权漏洞来获取管理员权限
    • 获取管理员权限后会使用rootkit技术来隐藏后门

4.限制、消除

  • 限制策略
    • 隔离受影响的系统
    • 禁用受影响的服务
    • 消除攻击者进入系统的路径
    • 禁用可能被利用的账号
    • 加强物理安全保护

5.证据收集

  • 如果怀疑系统被未授权访问, 安全处理人员应立即对系统做完整的映像备份。
  • 同时要保存主机、应用、IDS、防火墙日志
  • 如果发生物理安全问题,则保存门禁系统日志、监控视频等证据

6.恢复

  • 对系统的恢复工作可以基于攻击者获取权限的程序
  • 如攻击者获取了管理员权限,建议是从备份中恢复系统,而不是修复系统。因为很难保证rootkit的检测完整
  • 如果攻击者只获取部分权限,可以依据日志行为分析攻击者文件。进而恢复。

四、处理复合型安全事件

  • 复合型安全事件是指一次安全事件中包含多种安全事件,如
    • 某恶意代码通过邮件感染了员工PC
    • 攻击者利用被感染PC破坏了其它服务器或PC
    • 攻击者利用获取到权限的设备发起DDOS攻击

  • 这次安全事件包含:恶意代码事件、多起未授权访问、DDOS事件
  • 复合型安全事件分析起来往往非常困难
  • 安全人员可能只意识到其中一部分,而没有认识到整体的安全事件
  • 处理人员可能知道是多起安全事件,但无法分析其联系
  • 处理复合型事件需要丰富的安全事件处理经验
  • 其准备、预防工作要包含全面,对组织要求较高
  • 处理人员应该限制最先发现的安全事件
  • 但安全事件的优先级也同样重要
  • 正进行DDOS攻击优先级应该高于一个月前暴发病毒

1.建议

  • 使用集中式日志系统和事件关联分析软件
  • 限制最初的安全事件,然后查找其它部分的征兆
  • 单独对安全事件进行优先级排序


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1626615.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

JS 删除数组元素( 5种方法 )

No.内容链接1Openlayers 【入门教程】 - 【源代码示例300】 2Leaflet 【入门教程】 - 【源代码图文示例 150】 3Cesium 【入门教程】 - 【源代码图文示例200】 4MapboxGL【入门教程】 - 【源代码图文示例150】 5前端就业宝典 【面试题详细答案 1000】 文章目录 一、五种…

PS学习笔记-抠图相关

选好颜色后,altdelete更换画布颜色、填充前景色 按住shift键自由缩放图片,调好后双击鼠标即可完成,或者点击工具栏的 对勾 在某图层下 CTRLT 变换图片,调好后双击鼠标即可完成,或者点击工具栏的 对勾 CTRLJ复制图…

Linux用户与权限

切换账户 su su [-] [用户名]- 可选,表示在切换用户后加载环境变量,一般都使用 用户名 可选,省略表示切换到root切换用户后,可以使用exit命令退回上一用户,或用快捷键ctrld 为普通命令授权 sudo sudo命令:…

第5章 全局大喇叭——详解广播机制

第5章 全局大喇叭——详解广播机制 如果你了解网络通信原理应该会知道,在一个IP网络范围中,最大的IP地址是被保留作为广播地址来使用的。 比如某个网络的IP范围是192.168.0.XXX,子网掩码是255.255.255.0,那么这个网络的广播地址…

工厂数字化三部曲/业务、数据和IT融合

工厂数字化三部曲: 业务、数据和IT融合 在当今数字化转型的潮流中,企业面临着将业务、数据和IT融合的挑战和机遇。数字化转型不仅是技术上的升级,更是对企业运营模式和管理体系的全面优化和重构。通过业务“数字化”阶段的细致分析和整合,以及…

算法06链表

算法06链表 一、链表概述1.1概述1.2链表的组成部分:1.3链表的优缺点: 二、链表典例力扣707.设计链表难点分析:(1)MyLinkedList成员变量的确定:(2)初始化自定义链表:&…

记一次JSON.toJSONString()转换时非属性方法空指针异常排查及toJSONString保留null值属性

记一次JSON.toJSONString()转换时非属性方法空指针异常排查及toJSONString保留null值属性 异常详情 有一个类,里面有两个属性和一个类似工具的getRealName()方法如下: getRealName()方法就是获取这个人的真实名字,如果获取不到就以name返回…

小程序变更主体还要重新备案吗?

小程序迁移变更主体有什么作用?小程序迁移变更主体的作用可不止变更主体这一个哦!还可以解决一些历史遗留问题,比如小程序申请时主体不准确,或者主体发生合并、分立或业务调整等情况。这样一来,账号在认证或年审时就不…

全国各地级市财政收入支出明细统计数据2003-2022年

01、数据简介 全国各地级市财政统计主要是按地级市财政支出和财政收入两项统计,反映地区财政资金形成、分配以及使用情况的统计,​是由地区各地级市统计局统计公布,是加强财政资金管理使用的依据,研究国民收入分配和再分配的重要…

C语言----单链表的实现

前面向大家介绍了顺序表以及它的实现,今天我们再来向大家介绍链表中的单链表。 1.链表的概念和结构 1.1 链表的概念 链表是一种在物理结构上非连续,非顺序的一种存储结构。链表中的数据的逻辑结构是由链表中的指针链接起来的。 1.2 链表的结构 链表…

【Dart】双问号表达式报错的解决方案

最近准备学习一下Flutter,现从Dart开始。 Dart ??运算符报错的解决方案 报错代码如下 main() {int a;int b a ?? 123;print(b); }报错表现如下 _D05.8%20%E5%8F%8C%E9%97%AE%E5%8F%B7%E8%BF%90%E7%AE%97%E7%AC%A6.dart:3:11: Error: Non-nullable variable …

Lagent AgentLego 智能体应用搭建-作业六

本次课程由Lagent&AgentLego 核心贡献者樊奇老师讲解【Lagent & AgentLego 智能体应用搭建】课程。分别是: Agent 理论及 Lagent&AgentLego 开源产品介绍Lagent 调用已有 Arxiv 论文搜索工具实战Lagent 新增自定义工具实战(以查询天气的工具…

您的计算机已被rmallox勒索病毒感染?恢复您的数据的方法在这里!

引言: 在当今数字化时代,网络安全问题日益突出,其中勒索病毒作为一种新型的网络威胁,正逐渐引起人们的广泛关注。其中,.rmallox勒索病毒作为近期出现的一种新型恶意软件,给个人和企业带来了巨大的经济损失…

电机入门1

文章目录 122.12.22.3 33.13.23.33.4 1 2 2.1 电机板 驱动板电机分类 驱动器分类 转速 转向扭矩定时器 ADC 2.2 PID 自动控制 的核心闭环控制算是 PID的应用 2.3 无刷电机用的 可大大提高其控制效率 和控制精度 3 开发板的IO 电流太小了 20~25ma 电机要A 驱动板 信号放大没舵…

html表格(详解网页表格的制作)

一、表格介绍 HTML 表格由 <table> 标签来定义。 HTML 表格是一种用于展示结构化数据的标记语言元素。 每个表格均有若干行&#xff08;由 <tr> 标签定义&#xff09;&#xff0c;每行被分割为若干单元格&#xff08;由 <td> 标签定义&#xff09;&#x…

用卷积网络对城市住区进行分类

这将是解释我的人工智能硕士最终项目的几篇文章中的第一篇&#xff0c;我想在其中详细解释从项目的想法到结论&#xff0c;我将在其中展示给定解决方案的所有代码。 总体思路 城市扩张地图集 https://www.lincolninst.edu/es/publications/books/atlas-urban-expansion 项…

【linux】chmod权限开放(整个文件夹)

文章目录 起因权限查看权限修改 失败权限修改成功 起因 想要共享conda环境给同事&#xff0c;发现同事没权限。 权限查看 ls #查看当前目录 ls -l # 查看当前目录的东西和权限正常情况下是显示 三个rwx分别属于user&#xff0c;group&#xff0c;others 前面第一个rwx 是针…

【斐波那契】原来困扰多年的生兔子问题竟然能够轻松拿捏...万能公式法...

上篇文章我们讲解了「矩阵快速幂」技巧&#xff0c;通过快速幂极大的优化了 斐波那契数列 的求解问题。并且通过分析知道了 系数矩阵 是解决问题的关键。 本文我们继续深化对于 系数矩阵 的求解&#xff0c;介绍一种通用方法&#xff0c;一举解决所有 斐波那契及变种类型 的问…

路由器使用docker安装mysql和redis服务

路由器使用docker安装mysql和redis服务 1.先在路由器中开启docker功能 &#xff08;需要u盘 或者 移动硬盘&#xff09; 2. docker 管理地址 :http://192.168.0.1:11180/#/ 3. 拉取镜像 4. mysql容器参数设置 MYSQL_ROOT_PASSWORD 5. redis 容器设置 开发经常需要用到 &…

【工具-PyCharm】

工具-PyCharm ■ PyCharm-简介■ PyCharm-安装■ PyCharm-使用■ 修改主题■ 设置字体■ 代码模板■ 解释器配置■ 文件默认编码■ 快捷键■ 折叠■ 移动■ 注释■ 编辑■ 删除■ 查看■ 缩进■ 替换 ■ PyCharm-简介 官方下载地址 Professional&#xff1a;专业版&#xff0…