searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

信息安全应急响应浅谈

2023-03-26 03:24:52
31
0

1.概述

安全事件不可避免,只能尽量控制影响范围和减小损失,事前准备,事中防御,事后应急紧密协作。事后应急响应是最直观控制影响范围和减小损失阶段。
以阶段划分的总体思路:准备>鉴别>抑制>恢复>根除>加固

2.阶段简述

2.1.准备阶段

前期为辅助分析、抑制和恢复准备工具资料,比如
进程分析: ProcessHacker、Process Explorer
内存扫描: MemScanner
流量分析:Tcpdump,Wireshark
辅助工具: MD5/HASH工具, Everything查找
专杀工具:跟进存储各安全厂商下载专杀工具URL列表
数据备份:定期业务主机外备份系统重要数据,如数据库、核心配置

2.2.鉴别阶段

主要实现具体安全事件定位和影响分析,为下一步响应提供方向
事件定位:
比如从 系统卡顿、异常外联(攻击,扫描,外传)、文件加密、信息篡改(挂马,黑链)、系统停服 确认是否可能被入侵
比如从 安全日志、文件内容、资源消耗 确认安全事件类型
影响分析:
参考《信息安全技术 网络安全等级保护定级指南》,从受侵害客体和对客体侵害程度得到

2.3.抑制阶段

限制更多系统或数据受到损害,可从以下几个维度进行,优先级从高到低
网络阻断:拔网线;iptables技术;路由黑洞技术
进程终止:ProcessHacker;kill;任务管理器 
文件隔离:EDR、文件压缩打包、文件加密、路径转移、执行属性去除
文件删除:直接进行文件删除
账号禁用:删除账号、禁用登录
密码修改:密码重新设置
权限降级:零信任调整权限、修改账号角色

2.4.恢复阶段

在控制影响范围下恢复重要业务服务,避免损失持续扩大(这个阶段与根除阶段随业务重要程度调整顺序),可从以下几个方式进行
数据恢复:在发生被删除、篡改情况下使用,重置数据安全状态
新开服务:在无法简单数据恢复重置安全状态下进行,比如部署新服务、启用备机

2.5.根除阶段

根据鉴别阶段的分析,各类安全事件进行对应查杀处置,比如
webshell后台,则使用准备阶段的webshell扫描和专杀工具
木马病毒,则使用对应家族种类专杀工具

2.6.加固阶段

修复被利用的缺陷,比如漏洞、弱口令、配置不当

控制权限范围,比如白名单网络连接、账号角色调整、进程运行权限降级

3.系统知识

3.1. Linux

服务查看 :systemctl list-unit-files + chkconfig --list

符号替换:LD_PRELOAD和dlsym

定时方式:crond和systemctl

端口复用:参考 https://saucer-man.com/operation_and_maintenance/586.html

账号隐藏:(1)修改驱动 (2)修改PAM模块(/etc/pam.d配置或对应so) (3)修改定时任务,定时修改[PAM模块或SSH配置或passwd文件]

3.2. Windows

系统信息:
(1)左下角搜索框查找 "msinfo"
 
进程查看:
(1)cmd下运行 tasklist
(2)工具使用:任务管理器、PCHunter、火绒剑、PowerTool、ProcessMonitor
 
账号查看:
(1)cmd下运行 net user [user] 查看全部用户|指定用户信息
(2)cmd下运行 wmic useraccount get name,disabled 查看用户和状态
(3)cmd下运行 wmic useraccount list full 查看用户详细信息
 
开机启动:
(1)左下角搜索框查找 "msconfig"
(2)外部工具:Autoruns
 
定时任务:
(1)cmd下运行 schtasks
(2)界面操作:计算机>管理>系统工具>任务计划程序>任务计划程序库
 
日志查看:
(1)界面操作:我的电脑(右键)>管理>系统工具>事件查看器>Windows日志
(2)外部工具:Event Log Explorer, Log Parser
 
网络查看:
(1)外部工具:WiFiHistoryView(历史WIFI连接查看)
(2)cmd下运行 netsat -ano

4.参考文献

(1) https://www.cisa.gov/cyber-incident-response
(2) https://saucer-man.com/operation_and_maintenance/586.html
(3) https://websec.readthedocs.io/zh/latest/defense/emergency.html
(4) https://www.securitypaper.org/3.sdl%E8%90%BD%E5%9C%B0%E6%96%B9%E6%A1%88/7-%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/ 
(5) https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf
0条评论
0 / 1000
刘****成
15文章数
0粉丝数
刘****成
15 文章 | 0 粉丝
原创

信息安全应急响应浅谈

2023-03-26 03:24:52
31
0

1.概述

安全事件不可避免,只能尽量控制影响范围和减小损失,事前准备,事中防御,事后应急紧密协作。事后应急响应是最直观控制影响范围和减小损失阶段。
以阶段划分的总体思路:准备>鉴别>抑制>恢复>根除>加固

2.阶段简述

2.1.准备阶段

前期为辅助分析、抑制和恢复准备工具资料,比如
进程分析: ProcessHacker、Process Explorer
内存扫描: MemScanner
流量分析:Tcpdump,Wireshark
辅助工具: MD5/HASH工具, Everything查找
专杀工具:跟进存储各安全厂商下载专杀工具URL列表
数据备份:定期业务主机外备份系统重要数据,如数据库、核心配置

2.2.鉴别阶段

主要实现具体安全事件定位和影响分析,为下一步响应提供方向
事件定位:
比如从 系统卡顿、异常外联(攻击,扫描,外传)、文件加密、信息篡改(挂马,黑链)、系统停服 确认是否可能被入侵
比如从 安全日志、文件内容、资源消耗 确认安全事件类型
影响分析:
参考《信息安全技术 网络安全等级保护定级指南》,从受侵害客体和对客体侵害程度得到

2.3.抑制阶段

限制更多系统或数据受到损害,可从以下几个维度进行,优先级从高到低
网络阻断:拔网线;iptables技术;路由黑洞技术
进程终止:ProcessHacker;kill;任务管理器 
文件隔离:EDR、文件压缩打包、文件加密、路径转移、执行属性去除
文件删除:直接进行文件删除
账号禁用:删除账号、禁用登录
密码修改:密码重新设置
权限降级:零信任调整权限、修改账号角色

2.4.恢复阶段

在控制影响范围下恢复重要业务服务,避免损失持续扩大(这个阶段与根除阶段随业务重要程度调整顺序),可从以下几个方式进行
数据恢复:在发生被删除、篡改情况下使用,重置数据安全状态
新开服务:在无法简单数据恢复重置安全状态下进行,比如部署新服务、启用备机

2.5.根除阶段

根据鉴别阶段的分析,各类安全事件进行对应查杀处置,比如
webshell后台,则使用准备阶段的webshell扫描和专杀工具
木马病毒,则使用对应家族种类专杀工具

2.6.加固阶段

修复被利用的缺陷,比如漏洞、弱口令、配置不当

控制权限范围,比如白名单网络连接、账号角色调整、进程运行权限降级

3.系统知识

3.1. Linux

服务查看 :systemctl list-unit-files + chkconfig --list

符号替换:LD_PRELOAD和dlsym

定时方式:crond和systemctl

端口复用:参考 https://saucer-man.com/operation_and_maintenance/586.html

账号隐藏:(1)修改驱动 (2)修改PAM模块(/etc/pam.d配置或对应so) (3)修改定时任务,定时修改[PAM模块或SSH配置或passwd文件]

3.2. Windows

系统信息:
(1)左下角搜索框查找 "msinfo"
 
进程查看:
(1)cmd下运行 tasklist
(2)工具使用:任务管理器、PCHunter、火绒剑、PowerTool、ProcessMonitor
 
账号查看:
(1)cmd下运行 net user [user] 查看全部用户|指定用户信息
(2)cmd下运行 wmic useraccount get name,disabled 查看用户和状态
(3)cmd下运行 wmic useraccount list full 查看用户详细信息
 
开机启动:
(1)左下角搜索框查找 "msconfig"
(2)外部工具:Autoruns
 
定时任务:
(1)cmd下运行 schtasks
(2)界面操作:计算机>管理>系统工具>任务计划程序>任务计划程序库
 
日志查看:
(1)界面操作:我的电脑(右键)>管理>系统工具>事件查看器>Windows日志
(2)外部工具:Event Log Explorer, Log Parser
 
网络查看:
(1)外部工具:WiFiHistoryView(历史WIFI连接查看)
(2)cmd下运行 netsat -ano

4.参考文献

(1) https://www.cisa.gov/cyber-incident-response
(2) https://saucer-man.com/operation_and_maintenance/586.html
(3) https://websec.readthedocs.io/zh/latest/defense/emergency.html
(4) https://www.securitypaper.org/3.sdl%E8%90%BD%E5%9C%B0%E6%96%B9%E6%A1%88/7-%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/ 
(5) https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf
文章来自个人专栏
信息安全
15 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
1
0