阿一网络安全学院干货科普篇之应急响应【上】

一、相关概念

应急响应(Incident Response)：安全人员在遇到突发事件后所采取的措施和行动。
突发事件：发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。
事件响应：信息安全生命周期的必要组成部分，这个生命周期包括：对策、检测和响应。
场景：运维人员无法迅速处理安全事件时，需要第三方厂商提供一种能发现并解决问题的有效服务手段。
职责：控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。
目的：以最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。
目标：积极预防、及时发现、快速反应、确保恢复。

二、应急响应流程

1、通用型流程

1、准备(Preparation)

安全支撑平台：防火墙、入侵检测系统(IDS)等
日常安全管理：运维操作记录
应急预案：设备故障应急操作、攻击如何处理、获取外部支持、风险分析(规避措施)

2、检测(Detection)

主动发现：预警的及时性和全局性，为后续处理争取时间
被动发现：网络使用者的报告，业务用户的投诉
影响范围：单用户、多用户，已发生的、处于危险中的(还未发生)

3、分类(Classification)

攻击事件：大流量攻击、业务应用攻击
入侵事件：应用系统后门、web站点入侵
病毒事件：网络蠕虫病毒、ARP欺骗病毒
其他：网络或系统异常、敏感信息泄露

4、抑制(Containment)

已发生安全事件的：采取隔离、用边界控制设备防止网络区域内相互影响
处于危险中的：采取补救加固、漏洞扫描与修补、安全测试

5、根除(Eradication)

安全事件分析-了解危害程度-确定事件原因-针对性防范措施-是否有存在遗漏-调整平台安全策略

6、恢复(Recovery)

对主机和网络控制的恢复
从备份中恢复受损的数据
调整可能影响业务正常运转的策略

7、后续(Follow-up)

总结并指导今后的应急管理
必要时申请司法程序介入

2、个人总结的流程

步骤简述：接案–取证–分析侦察–锁定嫌疑人–结案

接案

1、因为攻击者经验、隐蔽性不足被发现

炫耀型——上传黑页、到此一游.txt
政治目的型——重点攻击政府站点、Anonymous(匿名者)
利益型——暗链、SEO推广、勒索、挖矿
抓鸡型——1433、mysql自动抓鸡、SSH暴力破解
持续型——长期潜伏式攻击、APT
DDOS攻击型——SYN Flood、CC攻击
蠕虫感染型——内网传播、Conficker、WannaCry

取证

1、保护第一现场

操作日志、应用日志
攻击者的残留文件

2、不轻信一面之词

与目击者交流相关细节
亲自核实所述、转述情况

分析侦察

1、三要素法-时间

攻击发现时间
-------目击者报案时间

后门文件时间
-------windows时间问题(创建时间等可以修改)
-------Linux下ctime(change time)

异常时间段内
-------web访问日志、操作系统认证日志、应用设备日志

2、三要素法-地点

webshell首次出现目录
-------上传漏洞——img_upload
-------代码执行——dedecms变量覆盖
-------后台上传——system_upload

残留文件所在目录
-------自动化攻击——批处理文件