- 整体性--业务与利益相关
- 动态性--技术不断发展
- 开放性--没有物理边界
- 相对性--没有绝对的安全
定义1:在对网络安全态势、组织的网络系统运行情况和面临安全威胁有清楚的认识下,在管理、技术和人员方面进行计划和准备馆当网络安全事件突发时,能够有序应对并妥善处理,降低组织的损失,并能够改进网络安全突发事件的策略和计划。
定义2:应急响应对网络安全事件所做的具体准备,如数据、工具、人力和计划方面,以及事件发生时的处置和事件后的针对分析。
工程师分类:
- 红队 --攻击方
- 蓝队 --狩猎
- 青队--网络安全问题出现,能够及时响应反制保护企业安全。工作内容:采取合适的应对策略和措施保障自身业务信息系统持续性。
获取当前网络安全事件信息
1、事件发生前,做好日常运维检测,收集各类故障信息。
- 区分系统自身故障和人为破坏
- 区分股事件和应急响应事件
2、充分获取当前事件信息从而启动相应的预案
- 事件上报,确认应急事件类型和应急事件的等级
- 通知相关人员,启用应急预案
启动网络安全应急响应预案
1、应急元内容
- 总则
- 组织体系和职责
- 事件预警
- 应急处置
- 后期处置
- 预防工作
- 保障措施
- 附则
2、应急小组划分
- 应急领导小组
- 应急预案制定小组
- 应急执行小组
- 技术保障小组
- 支持保障小组
抑制保护
1、应急响应事件发生,采用临时策略对目标机器进行止损。
- 直接策略:断网
- 断网好处:防止删除日志和重要文件
2、方法
- 查清影响的机器和范围
- 进行网络隔离,关闭响应的端口
- 切换备份机器,保证业务正常
- 常规应急响应,修复系统,分析发生的原因,加固系统
数据保护
1、保护物理设备
- 物理隔离,防止人为物理破坏机器
- 事件重大,保护现场。
2、对内存和磁盘制作相关进行
- 取证数据
- 磁盘镜像(Disk Image)--将存储器的完整内容和结构都保存在一个文件中。
目标
通过数据分析确定攻击时间、查找攻击线索、梳理攻击过程、在可能的情况下,朔源到攻击者。
数据分析技术--系统信息分析--windows系统1、系统用户
- lusrmgr.msc
- net user
- net localgroup administrators
- Get-LocalUser
2、进程信息
- taskmgr.exe
- tasklist
- get-process
- wmic process list full
- wmic process get name,parentprocessid,processid
- wmic process where 'ProcessID=PID' get CommandLine
3、服务信息
- services.msc
- net start
- tasklist /svc
- psservice
使用工具,需要提前下载。如:upnphost服务
4、计划任务
- 控制面板-管理工具-任务计划程序
- taskschd.msc
- schtasks
5、自启动项
- taskmgr--启动标签页
- wmic startup get caption,command
- Get-CimInstance Win32_StartupCommand | Select-Object Name,command,Location, User | Format-List
6、注册表
- regedit
- reg query HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
- reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
7、端口状态
- netstat -ano
- Get-NetTCPConnection -LocalAddress 192.168.1.112 | Sort-Object LocalPort
8、共享文件
- net view \\127.0.0.1
- Get-SMBShare
9、防火墙设置
10、session信息 【可以理解为登录信息】
- net use
- net session
- PsLoggedon64.exe
- logonsessions64
1、系统用户
- 确定系统中是否尔一个看起来可疑的帐户 cat /etc/passwd
- 查看用户密码信息,且只有root用户可以查看 cat /etc/shadow
- 查看用户组信息 cat /etc/group
- 查看当前登录系统用户信息 【whoami who w last lastb】
2、日志记录
3、系统资源
- 查看服务器已经运行了多长时间、系统中的当前时间、当前登录了多少用户以及系统的平均负载 update
- 查看Linux中系统的内存使用情况,系统中使用的物理内存和交换内存,以及内核使用的缓冲区 free
- 检查系统上是否存在未知的挂载 cat /proc/mounts
4、进程信息
- top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类化于Windows的任务管理器
5、服务信息
- service --status-all
- cat /etc/crontab
- more /etc/resolv.conf
- more /etc/hosts
- iptables -L -n
6、文件信息
- 系统中任何过大的文件及其权限 find /home/ -type f -size +5120k -exec ls -lh {} \;
- 找到所有SUID的文件 find / -perm -u=s -type f 2>/dev/null
find命令suid提权
which find
ls -alt /usr/bin/find sudo chmod u+s /usr/bin/find ls -alt /usr/bin/find find / -perm -u=s -type f 2>/dev/null find . -exec "whoami" \;
7、网络配置
- arp指令用来管理系统的arp缓冲区,可以显示、删除、添清静争态mac地址。
arp -vn
sudo arp -i ens33 -s 192.168.1.66 ff:ee:ee:ee:ee:ee:ee 【添加静态映射】
- 显示网络连接信息 显示网络连接信息 netstat -pantu
- IP地址信息查看 ifconfig
- 计算机调查取证,是法医学下的一个分支,与法医相似,计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。
- 使调查的结果能够经受法庭的检查
- 利用杀毒软件、杀毒脚本、手工查杀等方式彻底消除病毒,并检测整个网络系统,以确保不要留下后门。
- 针对不同操作系统,使用打补丁、修改安全配置和增加系统带宽的方式,降低安全风险。
- 利用备份文件恢复用户数据和配置信息
- 将受到入侵和可能存储漏洞的服务关闭,修改后重启服务
- 连接网络,恢复业务,持续监控并进行汇总分析
1、事情经过
2、事件成因
3、评依事件影响
4、采取措施
5、事后系统定级、备案、测评等情况
