【网络安全】安全事件管理处置 — 安全事件处置思路指导
专栏文章索引:网络安全
有问题可私聊:QQ:3375119339
目录
一、处理DDOS事件
- 事件定义:拒绝服务攻击是通过消耗CPU、内存、带宽或磁盘空间阻碍或破坏对网络、系统或应用的合法使用。
- 常见DDOS类型有:
- 反射式DDOS
- 应用型DDOS
- SYN FLOOD等
1.准备工作
- 与ISP及相关服务商沟通,在遭受DDOS时,他们能提供什么服务。如流量清洗、封掉目的IP、限制某类流量的上限、提供DDOS流量日志。并确立明确的帮助流程与人员对接、及响应时间等
- 部署IDS来检测DDOS攻击
- 对现有网络资源进行监控,建立利用率基线
- 建立网络性能检查的监控
2.预防工作
- 使用严格的防火墙规则,禁用某些流量,如echo、chargen、ssdp
- 使用源地址过滤设备,过滤伪造源地址流量
- 对某些协议的比例进行限制,如ICMP
- 对关键的应用和设备实现冗余配置,如多ISP、FW
- 使用CDN保护WEB
3.检测与分析
- DDOS 攻击的前兆
- 在DDOS攻击开始前,一般会有小规模的试探型攻击。
- 应对措施:根据试探攻击的特征来进行防护,或者迁移目标主机,加强对目标主机的保护
- 新发布的DDOS利用工具,如2018年2月,攻击Github的memcached
- 应对措施:分析新工具的特征,如memcached使用UDP 11211端口,可以联系ISP或在边界上过滤UDP11211的流量
- 在DDOS攻击开始前,一般会有小规模的试探型攻击。
- DDOS 攻击的迹象
- 用户报告系统不可用
- 无故的连接丢失
- 网络入侵检测报警
- 主机入侵检测报警
- 网络带宽利用率提高
- 大量到单台主机的连接
- 不对称的网络流量,进多出少
- 防火墙或路由器日志
- 数据包源地址不正常
4.限制、消除
- 选择限制策略
- 对被利用的弱点或缺陷进行修补
- 根据攻击特征进行过滤
- 借助ISP力量进行过滤
- 重新部署受攻击目标
- 对攻击者进行反攻
5.证据收集
- 通过观察流量来发现攻击源
- 通过ISP进行追踪
- 了解僵尸网络主机是如何被控制
- 检查大量日志记录
二、处理恶意代码事件
- 恶意代码指的是一种被隐蔽插入到另一个程序中的程序,其目的是破坏数据、执行破坏性和入侵性程序或破坏受害者数据的安全性和完整性
- 恶意代码类型:
- 病毒
- 木马
- 蠕虫
- 混合型
1.准备
- 提高用户意识,使用户意识到恶意代码
- 获取反病毒厂商关于最新恶意代码的通告
- 对关键主机部署基于主机的IDS
- 在边界上限制知名的木马连接端口
2.预防
- 使用防病毒软件
- 限制特定后缀的文件,如vbs、ps
- 限定一些工具对文件的传输,如即时消息、网盘等
- 教育用户安全的处理邮件
- 关闭windows隐藏共享
- 配置浏览器策略
- 配置邮件客户端
3.检测与分析
- 恶意代码前兆
- 公开了一个对组织所使用软件的恶意代码利用,如2017年office公式编辑器漏洞
- 反病毒软件成功隔离了一个新的文件
- 恶意代码的迹象
- 反病毒服务器报警文件被感染
- 收发邮件数量突然大量增加
- OFFICE经常使用的模板发生了变化
- 屏幕上出现不正常的东西
- 出现不正常的对话框或请求批准
- 计算机或程序启动很慢
- 系统不稳定和崩溃
- 存在未知本机与远程的连接
- 不正常的端口开启
- 一些未知的进程正在运行
- 主机产生大量的对外流量
4.限制
- 限制策略
- 确定并隔离受感染主机
- 发送未知的病毒样本给反病毒厂商
- 配置邮件服务器来限制邮件传播
- 阻挡特定的主机,通常是木马的控制服务器
- 关闭邮件服务器
- 断开局域网与因特网的连接
5.证据收集
- 尽管可以通过主机日志收集到证据,但恶意代码自身是可以互相传播。
- 确定恶意代码的来源是比较困难的
- 分析病毒样本的网络特性可能会更有意义
6.消除与恢复
- 对受感染的文件进行杀毒、隔离、删除、替换
- 修复被恶意代码利用的弱点,如MS17-010
- 使用未受感染的备份进行恢复
三、处理未授权访问事件
- 未经授权访问就是指访问者通过非法手段,在未经允许的情况下获得使用资源的权限。
- 实现未授权访问的方式有:
- 利用系统或程序漏洞
- 非法获取用户名和口令
- 社会工程学
- 常见的未授权访问事件:
- 非法获取服务器root权限
- 非法修改网站主页
- 暴力破解口令
- 数据库脱库
- 网络监听获取口令
1.准备
- 配置基于主机的IDS
- 使用集中的日志服务器并设置告警
- 防止暴力破解 (使用验证码、账号锁定、强密码策略等)
2.预防
- 对网络未授权访问的预防:
- 配置默认拒绝的防火墙策略
- 使用合理的VPN身份验证,如双因子验证
- 划分DMZ区域,并做好区域间访问控制
- 对内网服务器使用私有IP地址,通过NAT转换连网
- 对主机未授权访问的预防:
- 定期进行漏洞扫描
- 关闭主机上不必要的服务
- 使用普通用户运行服务,如新建一个apache的账号运行apache服务
- 开启主机自带防火墙,如windows firewall 、 iptables
- 设置自动锁屏和注销会话的策略
- 定期检查权限配置
- 对用户未授权访问的预防:
- 启用复杂的口令策略
- 在关键系统上使用双因素验证
- 使用强加密算法保护口令
- 建立完整的账号生命周期管理流程
3.检测与分析
- 未授权访问的征兆
- 对系统的扫描侦察活动发生了异象,如每天大量的扫描变突然减少
- 一个新的远程利用漏洞公开,如针对IIS的缓冲区溢出
- 用户反馈收到诱骗邮件,需要用户名输入账号密码
- 一些登录失败的日志
- 未授权访问迹象:
- 主机上存安全相关利用工具
- 主机上有不正常的流量
- 主机系统配置发生变化,如进程服务增加、端口增加、日志策略更改
- 重要数据、特权发生变化
- 无法解释的账户登录或使用
- 资源利用率发生明显变化
- IDS的报警
- 异常的日志
- 未授权访问事件一般会分步进行
- 进行扫描侦察工作,发现弱点
- 侦察结束后,会利用弱点进行未授权访问
- 获取基本用户权限后,会利用提权漏洞来获取管理员权限
- 获取管理员权限后会使用rootkit技术来隐藏后门
4.限制、消除
- 限制策略
- 隔离受影响的系统
- 禁用受影响的服务
- 消除攻击者进入系统的路径
- 禁用可能被利用的账号
- 加强物理安全保护
5.证据收集
- 如果怀疑系统被未授权访问, 安全处理人员应立即对系统做完整的映像备份。
- 同时要保存主机、应用、IDS、防火墙日志
- 如果发生物理安全问题,则保存门禁系统日志、监控视频等证据
6.恢复
- 对系统的恢复工作可以基于攻击者获取权限的程序
- 如攻击者获取了管理员权限,建议是从备份中恢复系统,而不是修复系统。因为很难保证rootkit的检测完整
- 如果攻击者只获取部分权限,可以依据日志行为分析攻击者文件。进而恢复。
四、处理复合型安全事件
- 复合型安全事件是指一次安全事件中包含多种安全事件,如
- 某恶意代码通过邮件感染了员工PC
- 攻击者利用被感染PC破坏了其它服务器或PC
- 攻击者利用获取到权限的设备发起DDOS攻击
- 这次安全事件包含:恶意代码事件、多起未授权访问、DDOS事件
- 复合型安全事件分析起来往往非常困难
- 安全人员可能只意识到其中一部分,而没有认识到整体的安全事件
- 处理人员可能知道是多起安全事件,但无法分析其联系
- 处理复合型事件需要丰富的安全事件处理经验
- 其准备、预防工作要包含全面,对组织要求较高
- 处理人员应该限制最先发现的安全事件
- 但安全事件的优先级也同样重要
- 正进行DDOS攻击优先级应该高于一个月前暴发病毒
1.建议
- 使用集中式日志系统和事件关联分析软件
- 限制最初的安全事件,然后查找其它部分的征兆
- 单独对安全事件进行优先级排序
原文地址:https://blog.csdn.net/m0_63636799/article/details/138187943
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!