目录
一、应急响应流程
1.1 准备阶段
准备(Preparation)阶段是网络安全事件响应的第一个阶段,也属于一个过渡阶段,即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上,大部分工作需要在应急响应之前就已做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多事务,如果没有足够的准备,将无法准确地完成及时响应,导致难以意料的损失。
1.2 研判阶段
检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。
检测阶段主要包括:事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。
1.3 遏制阶段
采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。主要分为:物理遏制、网络遏制、主机遏制、应用遏制等。常见手段:断网、降权、网络封堵等。
1.4 根除阶段
本阶段主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。个人认为可以从以下几个方面入手:系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查等。
1.5 恢复阶段
恢复系统的运行过程就是把受影响系统、设备、软件和应用服务还原到正常的工作状态;系统恢复、网络恢复、用户恢复、数据恢复以及重新部署。常见手段:系统重装、补丁加固、网络恢复、密码重置、木马清除等。
1.6 跟踪阶段
在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失,为客户提供安全加固优化建议。
跟踪阶段主要包括:调查事件原因,输出应急响应报告,提供安全建议、加强安全教育、避免同类事件再次发生。
1.7 取证阶段
全面收集与事件相关的证据材料,包括日志、流量数据、样本文件等。分析收集到的证据,还原事件发生的过程和攻击者的行为轨迹。
二、应急响应措施及相关操作总结
Windows
信息收集
使用systeminfo命令查看系统信息,包括操作系统版本、补丁安装情况等。
使用net user命令查看当前用户列表,通过net user 用户名查看特定用户的详细信息。
使用netstat -ano命令查看当前网络连接,找出可疑的外部连接或监听端口。
查看事件查看器(eventvwr.msc)中的安全、系统和应用日志,分析异常事件。
使用tasklist命令查看当前运行的进程,通过tasklist /svc查看进程与服务的关联。
系统加固
更新操作系统补丁,使用Windows Update或第三方补丁管理工具。
配置防火墙规则,限制不必要的入站和出站连接。
使用账户策略加强密码复杂度要求,禁用或限制来宾账户访问。
启用安全策略,如审核策略、账户锁定策略等。
恶意代码清除
使用Windows Defender或第三方杀毒软件进行全盘扫描,清除恶意代码。
对于无法通过杀毒软件清除的恶意代码,可能需要手动删除相关文件、注册表项和服务。
使用taskkill /f /im 恶意程序名.exe命令强制结束恶意进程。
日志分析
深入分析事件查看器中的日志,特别是与安全相关的事件。
使用wevtutil命令导出日志进行分析,或使用Log Parser、Event Log Explorer等工具进行分析。
分析网络流量日志,使用Wireshark等工具捕获和分析数据包。
Linux
信息收集
使用uname -a命令查看系统信息,包括内核版本、主机名等。
使用whoami和id命令查看当前用户权限。
使用netstat -tulnp命令查看当前网络连接和监听端口。
查看/var/log目录下的系统日志,如/var/log/auth.log、/var/log/syslog等。
使用ps aux命令查看当前运行的进程。
系统加固
更新系统软件包,使用apt-get update && apt-get upgrade(Debian/Ubuntu)或yum update(CentOS/RHEL)。
配置防火墙规则,使用iptables或firewalld限制网络访问。
禁用或限制root账户登录,使用sudo进行权限提升。
配置SELinux或AppArmor增强系统安全。
恶意代码清除
使用find、grep命令查找可疑文件,如find / -name "*malicious*"。
使用kill -9 进程ID命令强制结束恶意进程。
手动删除恶意文件、清理crontab定时任务等。
使用chkrootkit、rkhunter等工具检测并清除rootkit。
日志分析
深入分析/var/log目录下的日志文件,特别是与安全相关的事件。
使用logrotate配置日志轮转,避免日志文件过大。
使用rsyslog或syslog-ng等工具进行日志集中管理和分析。
使用fail2ban等工具分析登录失败尝试,并自动封禁恶意IP。