信息安全应急响应浅谈-天翼云开发者社区

1.概述

安全事件不可避免，只能尽量控制影响范围和减小损失，事前准备，事中防御，事后应急紧密协作。事后应急响应是最直观控制影响范围和减小损失阶段。

以阶段划分的总体思路：准备>鉴别>抑制>恢复>根除>加固

2.阶段简述

2.1.准备阶段

前期为辅助分析、抑制和恢复准备工具资料，比如

进程分析: ProcessHacker、Process Explorer

内存扫描: MemScanner

流量分析：Tcpdump，Wireshark

辅助工具: MD5/HASH工具, Everything查找

专杀工具：跟进存储各安全厂商下载专杀工具URL列表

数据备份：定期业务主机外备份系统重要数据，如数据库、核心配置

2.2.鉴别阶段

主要实现具体安全事件定位和影响分析，为下一步响应提供方向

事件定位：

比如从系统卡顿、异常外联(攻击，扫描，外传)、文件加密、信息篡改(挂马，黑链)、系统停服确认是否可能被入侵

比如从安全日志、文件内容、资源消耗确认安全事件类型

影响分析：

参考《信息安全技术网络安全等级保护定级指南》，从受侵害客体和对客体侵害程度得到

2.3.抑制阶段

限制更多系统或数据受到损害，可从以下几个维度进行，优先级从高到低

网络阻断：拔网线；iptables技术；路由黑洞技术

进程终止：ProcessHacker；kill；任务管理器

文件隔离：EDR、文件压缩打包、文件加密、路径转移、执行属性去除

文件删除：直接进行文件删除

账号禁用：删除账号、禁用登录

密码修改：密码重新设置

权限降级：零信任调整权限、修改账号角色

2.4.恢复阶段

在控制影响范围下恢复重要业务服务，避免损失持续扩大（这个阶段与根除阶段随业务重要程度调整顺序），可从以下几个方式进行

数据恢复：在发生被删除、篡改情况下使用，重置数据安全状态

新开服务：在无法简单数据恢复重置安全状态下进行，比如部署新服务、启用备机

2.5.根除阶段

根据鉴别阶段的分析，各类安全事件进行对应查杀处置，比如

webshell后台，则使用准备阶段的webshell扫描和专杀工具

木马病毒，则使用对应家族种类专杀工具

2.6.加固阶段

修复被利用的缺陷，比如漏洞、弱口令、配置不当

控制权限范围，比如白名单网络连接、账号角色调整、进程运行权限降级

3.系统知识

3.1. Linux

服务查看：systemctl list-unit-files + chkconfig --list

符号替换：LD_PRELOAD和dlsym

定时方式：crond和systemctl

端口复用：参考 https://saucer-man.com/operation_and_maintenance/586.html

账号隐藏：(1)修改驱动 (2)修改PAM模块(/etc/pam.d配置或对应so) (3)修改定时任务，定时修改[PAM模块或SSH配置或passwd文件]

3.2. Windows

系统信息：

(1)左下角搜索框查找 "msinfo"

进程查看：

(1)cmd下运行 tasklist

(2)工具使用：任务管理器、PCHunter、火绒剑、PowerTool、ProcessMonitor

账号查看：

(1)cmd下运行 net user [user] 查看全部用户|指定用户信息

(2)cmd下运行 wmic useraccount get name,disabled 查看用户和状态

(3)cmd下运行 wmic useraccount list full 查看用户详细信息

开机启动:

(1)左下角搜索框查找 "msconfig"

(2)外部工具：Autoruns

定时任务：

(1)cmd下运行 schtasks

(2)界面操作：计算机>管理>系统工具>任务计划程序>任务计划程序库

日志查看：

(1)界面操作：我的电脑(右键)>管理>系统工具>事件查看器>Windows日志

(2)外部工具：Event Log Explorer, Log Parser

网络查看：

(1)外部工具：WiFiHistoryView(历史WIFI连接查看)

(2)cmd下运行 netsat -ano

4.参考文献

(1) https://www.cisa.gov/cyber-incident-response

(2) https://saucer-man.com/operation_and_maintenance/586.html

(3) https://websec.readthedocs.io/zh/latest/defense/emergency.html

(4) https://www.securitypaper.org/3.sdl%E8%90%BD%E5%9C%B0%E6%96%B9%E6%A1%88/7-%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/

(5) https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf

1.概述

以阶段划分的总体思路：准备>鉴别>抑制>恢复>根除>加固

2.阶段简述

2.1.准备阶段

前期为辅助分析、抑制和恢复准备工具资料，比如

进程分析: ProcessHacker、Process Explorer

内存扫描: MemScanner

流量分析：Tcpdump，Wireshark

辅助工具: MD5/HASH工具, Everything查找

专杀工具：跟进存储各安全厂商下载专杀工具URL列表

数据备份：定期业务主机外备份系统重要数据，如数据库、核心配置

2.2.鉴别阶段

主要实现具体安全事件定位和影响分析，为下一步响应提供方向

事件定位：

比如从系统卡顿、异常外联(攻击，扫描，外传)、文件加密、信息篡改(挂马，黑链)、系统停服确认是否可能被入侵

比如从安全日志、文件内容、资源消耗确认安全事件类型

影响分析：

参考《信息安全技术网络安全等级保护定级指南》，从受侵害客体和对客体侵害程度得到

2.3.抑制阶段

限制更多系统或数据受到损害，可从以下几个维度进行，优先级从高到低

网络阻断：拔网线；iptables技术；路由黑洞技术

进程终止：ProcessHacker；kill；任务管理器

文件隔离：EDR、文件压缩打包、文件加密、路径转移、执行属性去除

文件删除：直接进行文件删除

账号禁用：删除账号、禁用登录

密码修改：密码重新设置

权限降级：零信任调整权限、修改账号角色

2.4.恢复阶段

在控制影响范围下恢复重要业务服务，避免损失持续扩大（这个阶段与根除阶段随业务重要程度调整顺序），可从以下几个方式进行

数据恢复：在发生被删除、篡改情况下使用，重置数据安全状态

新开服务：在无法简单数据恢复重置安全状态下进行，比如部署新服务、启用备机

2.5.根除阶段

根据鉴别阶段的分析，各类安全事件进行对应查杀处置，比如

webshell后台，则使用准备阶段的webshell扫描和专杀工具

木马病毒，则使用对应家族种类专杀工具

2.6.加固阶段

修复被利用的缺陷，比如漏洞、弱口令、配置不当

控制权限范围，比如白名单网络连接、账号角色调整、进程运行权限降级

3.系统知识

3.1. Linux

服务查看：systemctl list-unit-files + chkconfig --list

符号替换：LD_PRELOAD和dlsym

定时方式：crond和systemctl

端口复用：参考 https://saucer-man.com/operation_and_maintenance/586.html

账号隐藏：(1)修改驱动 (2)修改PAM模块(/etc/pam.d配置或对应so) (3)修改定时任务，定时修改[PAM模块或SSH配置或passwd文件]

3.2. Windows

系统信息：

(1)左下角搜索框查找 "msinfo"

进程查看：

(1)cmd下运行 tasklist

(2)工具使用：任务管理器、PCHunter、火绒剑、PowerTool、ProcessMonitor

账号查看：

(1)cmd下运行 net user [user] 查看全部用户|指定用户信息

(2)cmd下运行 wmic useraccount get name,disabled 查看用户和状态

(3)cmd下运行 wmic useraccount list full 查看用户详细信息

开机启动:

(1)左下角搜索框查找 "msconfig"

(2)外部工具：Autoruns

定时任务：

(1)cmd下运行 schtasks

(2)界面操作：计算机>管理>系统工具>任务计划程序>任务计划程序库

日志查看：

(1)界面操作：我的电脑(右键)>管理>系统工具>事件查看器>Windows日志

(2)外部工具：Event Log Explorer, Log Parser

网络查看：

(1)外部工具：WiFiHistoryView(历史WIFI连接查看)

(2)cmd下运行 netsat -ano

4.参考文献

(1) https://www.cisa.gov/cyber-incident-response

(2) https://saucer-man.com/operation_and_maintenance/586.html

(3) https://websec.readthedocs.io/zh/latest/defense/emergency.html

(4) https://www.securitypaper.org/3.sdl%E8%90%BD%E5%9C%B0%E6%96%B9%E6%A1%88/7-%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/

(5) https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

信息安全应急响应浅谈

1.概述

2.阶段简述

2.1.准备阶段

2.2.鉴别阶段

2.3.抑制阶段

2.4.恢复阶段

2.5.根除阶段

2.6.加固阶段

3.系统知识

3.1. Linux

3.2. Windows

4.参考文献

信息安全应急响应浅谈

1.概述

2.阶段简述

2.1.准备阶段

2.2.鉴别阶段

2.3.抑制阶段

2.4.恢复阶段

2.5.根除阶段

2.6.加固阶段

3.系统知识

3.1. Linux

3.2. Windows

4.参考文献

活动

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

信息安全应急响应浅谈

1.概述

2.阶段简述

2.1.准备阶段

2.2.鉴别阶段

2.3.抑制阶段

2.4.恢复阶段

2.5.根除阶段

2.6.加固阶段

3.系统知识

3.1. Linux

3.2. Windows

4.参考文献

信息安全应急响应浅谈

1.概述

2.阶段简述

2.1.准备阶段

2.2.鉴别阶段

2.3.抑制阶段

2.4.恢复阶段

2.5.根除阶段

2.6.加固阶段

3.系统知识

3.1. Linux

3.2. Windows

4.参考文献