應急回應—應急回應、應急回應事件、網路應急回應
一、應急回應
1、什么是應急回應
??應急回應( Incident Response/ Emergency Response )通常是指一個組織為了應對各種意外事件的發生所做的準備作業以及在突發事件發生時或者發生后所采取的措施,計算機網路應急回應的物件是指計算機或網路所存盤、傳輸、處理的資訊的安全事件,事件的主體可能來自自然界、系統自身故障(這里的系統包括主機范疇內的問題,也包括網路范疇內的問題)、組織內部或外部的人、計算機病毒或蠕蟲等,
2、應急回應周期
??應急回應生命周期:準備、檢測、遏制、根除、恢復、追蹤
??準備階段:分析資產的風險、組建管理 人員團隊、風險加固、保障資源儲備、技術支持資源庫
??檢測階段:日常運維監控、事件判斷、事件上報
事件等級判定:一般事件、較大事件、重大事件、特別重大事件
事件型別:惡意程式事件、網路攻擊事件、Web攻擊事件、業務安全事件
惡意程式事件包括:計算機病毒事件、特洛伊木馬事件 、勒索軟體、蠕蟲事件、僵尸網路程式、挖礦程式等等
網路攻擊事件包括:拒絕服務攻擊事件、漏洞攻擊事件、網路釣魚事件、后門攻擊事件、網路掃描竊聽事件、干擾事件
WEB攻擊事件包括:WebShell、網頁掛馬事件、網頁篡改事件、網頁暗鏈事件
業務安全事件包括:薅羊毛事件、資料泄漏事件、權限泄漏事件
??遏制階段:
??(1)控制事件蔓延
1)采取有效的措施防止事件的進一步擴大,
2)盡可能減少負面影響,
??(2)遏制效應
1)采取常規的技術手段處理應急事件,
2)嘗試快速修復系統,消除應急事件帶來的影響,
??(3)遏制監測
1)確認當前的抑制手段是否有效,
2)分析應急事件發生的原因,為根除階段提供解決方案,
??根除恢復階段:啟動應急預案、根除監測、持續監測
??(1)啟動應急預案
1)協調各應急回應小組人員到位
2)根據應急場景啟動相關預案
??(2)根除監測
1)根據應急預案的執行情況確認處置是否有效
2)嘗試恢復資訊系統的正常運行
??(3)持續監測
1)當應急處置成功后對應急事件持續監測
2)確認應急事件已根除
3)資訊系統運行恢復到正常狀況
??跟蹤階段:應急回應報告、應急事件調查、應急回應總結
??(1)應急回應報告
1)由應急回應實施小組報告應急事件的處置情況
2)由應急回應領導小組下達應急回應結束的指令
??(2)應急事件調查
1)對應急事件發生的原因進行調查
2)評估應急事件對資訊系統造成的損失
3)評估應急事件對單位、組織帶來的影響
??(3)應急回應總結
1)對存在的風險點進行加固和整改
2)評價應急預案的執行情況和后續改進計劃
3)對應急回應組織成員進行評價,表彰立功人員
3、應急回應預案
??應急回應預案的包括的主要內容:
????●確定風險場景
????●行動計劃
????●描述可能受到的業務影響
????●團隊和人員的職責
????●描述使用的預防性策略
????●聯絡清單
????●描述應急回應策略
????●所需資源配置
????●識別和排列關鍵應用系統
4、成功預案的特點
??●清楚、簡潔
??●高級管理層支持/組織承諾
??●不斷改進和更新的恢復策略
??●及時的更新維護
二、WebShell
1、什么是WebShell
??WebShell看起來和普通的服務端腳本一樣(或者說就是普通code )
如:<?php echo system($_GET[cmd]); ?>
??以web服務端腳本(程式)形式存在,與傳統服務端腳本的運行原理相同,對服務器本地資源具備一定的操作能力,其操作本地資源的范圍取決于決議器的權限,
2、檢測webshell的幾種方法
(1)Web掃描/爬蟲/google hack檢測
(2)基于web日志的檢測
??原理:日志若可記錄referer欄位,可對搜索referer欄位為空的鏈接,因為絕大多數WEBShell無上級鏈接,入侵者會直接訪問WEBShell檔案
操作思路:
??搜索檔案名搜索命令搜索write exec等引數
??搜索referrer欄位為空的日志條目
優點
●成本低,只要配合文本搜索工具對日志進行搜索
缺點
●日志缺失則無法檢測
●對于使用POST的WEBShell無法檢測
●只能搜索已知的可疑引數,不夠精確
●通過人工分析,耗時耗力
●若日志沒有做分割,面對海量日志分析時困難重重
(3)基于檔案屬性的檢測
??●設定檔案的創建基準日期(用戶附件目錄除外)
??●以創建時間為線索進行搜索,基準日期后所有檔案
基于檔案的MD5值檢測:
●初始狀態下設立安全基準值
●安裝狀態下記錄WEB目錄結構并對目錄中檔案計算
●MD5值(可變檔案和用戶附件目錄除外)
●定期進行匹配比對,并更新新的安全基準值
(4)基于檔案內容的檢測
??1)基于關鍵字檢測
??2)基于檔案屬性的檢測
特殊目錄中的特殊型別檔案
用戶可寫入的目錄
非用戶可寫入的檔案型別
可通過檔案頭的方式進行排查以防止類似gif木馬
3、Webshell防御
??避免常規的漏洞,如:注入、后臺泄露、配置缺陷等等
三、網路應急回應
1、網路攻擊事件:
??安全掃描攻擊:黑客利用掃描器對目標進行漏洞探測,并在發現漏洞后進一步利用漏洞進行攻擊
??暴力破解攻擊:對目標系統賬號密碼進行暴力破解,獲取后臺管理員權限
??系統漏洞攻擊:利用作業系統、應用系統中存在漏洞進行攻擊
??WEB漏洞攻擊:通過SQL注入漏洞、上傳漏洞、 XSS漏洞、 授權繞過等各種WEB漏洞進行攻擊
??拒絕服務攻擊:通過大流量DDOS或者CC攻擊目標,使目標服務器無法提供正常服務
??其他網路攻擊行為
2、惡意程式事件
惡意程式主要型別及危害:
??病毒、蠕蟲:造成系統緩慢,資料損壞、運行例外
??遠控木馬:主機被黑客遠程控制
??僵尸網路程式:主機對外發動DDOS攻擊、對外發起描攻擊行為(肉雞行為)
??挖礦程式:造成系統資源大量消耗
3、WEB惡意代碼
網站惡意代碼常見型別及危害:
??Webshell后門:黑客通過Webshell控制主機
??網頁掛馬:頁面被植入待病毒內容,影響訪問者安全
??網頁暗鏈:網站被植入博彩、游戲等廣告內容
4、資訊破壞事件
??系統配置遭篡改:系統中出現例外的服務、行程、啟動項、賬號等等
??資料庫內容篡改:業務資料遭到惡意篡改,引起業務例外和損失
??網站內容篡改事件:網站頁面內容被黑客惡意篡改
??資訊資料泄露事件:服務器資料、會員賬號遭到竊取并泄露
5、其他破壞事件
??賬號被例外登錄:系統賬號在異地登錄,可能出現賬號密碼泄露
??異常網路連接:服務器發起對外的例外訪問,連接到木馬主控端、礦池、病毒服務器等行為
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/250174.html
標籤:其他