初识网络安全应急响应
- 1.应急响应的基本能力
- 2.应急响应的基本流程
1.应急响应的基本能力
一、数据采集、存储和检索
- 能对全流量数据协议进行还原;
- 能对还原的数据进行存储;
- 能对存储的数据快速检索。
二、事件发现
- 能发现高级可持续威胁(APT)攻击;
- 能发现 Web 攻击;
- 能发现数据泄露;
- 能发现失陷主机;
- 能发现弱密码及企业通用密码;
- 能发现主机异常行为。
三、事件分析
- 能进行多维度关联分析;
- 能还原完整杀伤链;
- 能结合具体业务进行深度分析。
四、事件研判
- 能确定攻击者的动机及目的;
- 能确定事件的影响面及影响范围;
- 能确定攻击者的手法。
五、事件处置
- 能在第一时间恢复业务正常运行;
- 能对发现的病毒、木马进行处置;
- 能对攻击者所利用的漏洞进行修复;
- 能对问题机器进行安全加固。
六、攻击溯源
- 具备安全大数据能力;
- 能根据已有线索(IP 地址、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。
2.应急响应的基本流程
1、准备阶段
准备阶段以预防为主。主要工作涉及识别机构、企业的风险,建立安全政策,建立协作体系和应急制度。
例如,扫描、风险分析、打补丁等
2、检测阶段
检测阶段主要检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以及预计采用什么样的专用资源来修复
一般典型的事故现象包括:
(1) 账号被盗用;
(2) 骚扰性的垃圾信息;
(3) 业务服务功能失效;
(4) 业务内容被明显篡改;
(5) 系统崩溃、资源不足。
3、抑制阶段
抑制阶段的主要任务是限制攻击/破坏波及的范围,同时也是在降低潜在的损失。
(1) 完全关闭所有系统;
(2) 从网络上断开主机或断开部分网络;
(3) 修改所有的防火墙和路由器的过滤规则;
(4) 封锁或删除被攻击的登录账号;
(5) 加强对系统或网络行为的监控;
(6) 设置诱饵服务器进一步获取事件信息;
(7) 关闭受攻击的系统或其他相关系统的部分服务。
4、根除阶段
根除阶段的主要任务是通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同的手段攻击系统
5、恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表,从可信的备份介质中恢复用户数据,打开系统和应用服务,恢复系统网络连接,验证恢复系统,观察其他的扫描,探测可能表示入侵者再次侵袭的信号
6、总结阶段
总结阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生
总结阶段的工作主要包括以下 3 方面的内容:
(1) 形成事件处理的最终报告;
(2) 检查应急响应过程中存在的问题,重新评估和修改事件响应过程;
(3) 评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训。
