认识应急响应

网络安全的特性：

• 整体性--业务与利益相关
• 动态性--技术不断发展
• 开放性--没有物理边界
• 相对性--没有绝对的安全

网络应急响应：

定义1：在对网络安全态势、组织的网络系统运行情况和面临安全威胁有清楚的认识下，在管理、技术和人员方面进行计划和准备馆当网络安全事件突发时，能够有序应对并妥善处理，降低组织的损失，并能够改进网络安全突发事件的策略和计划。

定义2：应急响应对网络安全事件所做的具体准备，如数据、工具、人力和计划方面，以及事件发生时的处置和事件后的针对分析。

工程师分类：

• 红队 --攻击方
• 蓝队 --狩猎
• 青队--网络安全问题出现，能够及时响应反制保护企业安全。工作内容：采取合适的应对策略和措施保障自身业务信息系统持续性。

应急响应流程

应急响应准备：

获取当前网络安全事件信息

1、事件发生前，做好日常运维检测，收集各类故障信息。

•         区分系统自身故障和人为破坏
•         区分股事件和应急响应事件

2、充分获取当前事件信息从而启动相应的预案

•         事件上报，确认应急事件类型和应急事件的等级
•         通知相关人员，启用应急预案

启动网络安全应急响应预案

1、应急元内容

•         总则
•         组织体系和职责
•         事件预警
•         应急处置
•         后期处置
•         预防工作
•         保障措施
•         附则

2、应急小组划分

•         应急领导小组
•         应急预案制定小组
•         应急执行小组
•         技术保障小组
•         支持保障小组

应急响应保护

抑制保护

1、应急响应事件发生，采用临时策略对目标机器进行止损。

•         直接策略：断网
•         断网好处：防止删除日志和重要文件

2、方法

•         查清影响的机器和范围
•         进行网络隔离，关闭响应的端口
•         切换备份机器，保证业务正常
•         常规应急响应，修复系统，分析发生的原因，加固系统

数据保护

1、保护物理设备

•         物理隔离，防止人为物理破坏机器
•         事件重大，保护现场。

2、对内存和磁盘制作相关进行

•         取证数据
•         磁盘镜像（Disk Image)--将存储器的完整内容和结构都保存在一个文件中。

应急事件检测

目标

        通过数据分析确定攻击时间、查找攻击线索、梳理攻击过程、在可能的情况下，朔源到攻击者。

数据分析技术--系统信息分析--windows系统

1、系统用户

• lusrmgr.msc

• net user

• net localgroup administrators

• Get-LocalUser

2、进程信息

•  taskmgr.exe

• tasklist

• get-process

• wmic process list full

• wmic process get name,parentprocessid,processid

• wmic process where 'ProcessID=PID' get CommandLine

 

3、服务信息

• services.msc

• net start

 

• tasklist /svc

• psservice

        使用工具，需要提前下载。如：upnphost服务

4、计划任务

• 控制面板-管理工具-任务计划程序

 ​​​​​​

• taskschd.msc

• schtasks

5、自启动项

• taskmgr--启动标签页

• wmic startup get caption,command

• Get-CimInstance Win32_StartupCommand | Select-Object Name,command,Location, User | Format-List

6、注册表

• regedit

• reg query HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

• reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

7、端口状态

• netstat -ano

• Get-NetTCPConnection -LocalAddress 192.168.1.112 | Sort-Object LocalPort

8、共享文件

• net view \\127.0.0.1

• Get-SMBShare

9、防火墙设置

10、session信息 【可以理解为登录信息】

• net use

 

• net session

 

 

• PsLoggedon64.exe
• logonsessions64

数据分析技术--系统信息分析--Linux系统

1、系统用户

• 确定系统中是否尔一个看起来可疑的帐户    cat /etc/passwd 

• 查看用户密码信息，且只有root用户可以查看  cat /etc/shadow

• 查看用户组信息  cat /etc/group

• 查看当前登录系统用户信息  【whoami   who  w  last  lastb】

2、日志记录

3、系统资源

• 查看服务器已经运行了多长时间、系统中的当前时间、当前登录了多少用户以及系统的平均负载  update

• 查看Linux中系统的内存使用情况，系统中使用的物理内存和交换内存，以及内核使用的缓冲区  free

• 检查系统上是否存在未知的挂载  cat /proc/mounts

4、进程信息

• top命令是Linux下常用的性能分析工具，能够实时显示系统中各个进程的资源占用状况，类化于Windows的任务管理器

5、服务信息

• service --status-all

• cat /etc/crontab

• more /etc/resolv.conf

• more /etc/hosts

• iptables -L -n

6、文件信息

• 系统中任何过大的文件及其权限   find /home/ -type f -size +5120k -exec ls -lh {} \;

• 找到所有SUID的文件  find / -perm -u=s -type f 2>/dev/null

         find命令suid提权   

                which find

                ls -alt /usr/bin/find
                sudo chmod u+s /usr/bin/find 
                ls -alt /usr/bin/find
                find / -perm -u=s -type f 2>/dev/null
                find . -exec "whoami" \;

7、网络配置

• arp指令用来管理系统的arp缓冲区，可以显示、删除、添清静争态mac地址。

                arp -vn

                sudo arp -i ens33 -s 192.168.1.66 ff:ee:ee:ee:ee:ee:ee  【添加静态映射】

• 显示网络连接信息  显示网络连接信息  netstat -pantu

• IP地址信息查看  ifconfig

应急响应取证 

• 计算机调查取证，是法医学下的一个分支，与法医相似，计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。
• 使调查的结果能够经受法庭的检查

应急响应根除

• 利用杀毒软件、杀毒脚本、手工查杀等方式彻底消除病毒，并检测整个网络系统，以确保不要留下后门。
• 针对不同操作系统，使用打补丁、修改安全配置和增加系统带宽的方式，降低安全风险。

应急响应恢复

• 利用备份文件恢复用户数据和配置信息
• 将受到入侵和可能存储漏洞的服务关闭，修改后重启服务
• 连接网络，恢复业务，持续监控并进行汇总分析

应急响应报告

        1、事情经过

        2、事件成因

        3、评依事件影响

        4、采取措施

        5、事后系统定级、备案、测评等情况