【通信安全CACE-管理类基础级】第8章 网络安全应急响应

资源
中国通信企业协会网络安全人员能力认证考试知识点大纲
中国通信企业协会网络安全人员能力认证管理类基础级考试课件
中国通信企业协会网络安全人员能力认证考试管理类基础级复习资料
中国通信企业协会网络安全人员能力认证考试管理类基础级模拟题

系列文章
【通信安全CACE-管理类基础级】第1章 网络安全基础知识
【通信安全CACE-管理类基础级】第3章 国际安全标准体系概述
【通信安全CACE-管理类基础级】第4章 国内安全标准体系概述
【通信安全CACE-管理类基础级】第5章 安全体系最佳实践
【通信安全CACE-管理类基础级】第6章 风险评估
【通信安全CACE-管理类基础级】第7章 安全运维
【通信安全CACE-管理类基础级】第8章 网络安全应急响应
【通信安全CACE-管理类基础级】第10章 网络攻击
【通信安全CACE-管理类基础级】第11章 防护技术

8.1 安全事件监测方式

8.1.1 日志分析

Linux操作系统日志

日志	路径	操作	备注
history	syslog
/var/log/message	logger	首先history自身是无法记录日期和时间、IP地址这些信息的，且存在被删除的可能性，对于日志来说，一旦缺乏日期和时间，则基本上可以认为是不可信的，因此所有恶信息都可能伪造，因此需要对history进行加工
sftp	/etc/ssh/sshd_config
数据库日志	/etc/my.cnf
中间件日志（apache）	httpd.conf

攻防

类别	路径	操作	备注
暴力破解	/var/log/secure	限制ssh登录次数
缓冲区溢出和提权		1、缓冲区溢出/本地提权需要上传提权脚本，不管是用什么方法，通过sftp还是webshell，总会存在上传的痕迹。2、rz等命令上传，则会存在与/var/log/messages中，因为配置了history日志3、通过webshell上传会检测上传目录是否存在脚本文件，防御手段当然是限制执行权限。4、Sftp上传则会在/var/log/messages中存在上传日志。5、webshell命令执行漏洞/系统命令执行漏洞等攻击手段	centos6.4提权漏洞
SQL注入攻防		access_log和error_log的dumpio模块检测请求的参数

8.1.2 后门检测

Windows后门

https://blog.csdn.net/weixin_40412037/category_11105281.html

Unix/Linux后门

https://blog.csdn.net/weixin_40412037/category_11105281.html

Webshell监测

1. Webshell就是以asp、php、jsp或cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门
2. 分类：
   1. 一句话木马：代码短；使用场景大，可单独生成文件，可插入文件；安全性高，隐藏性强，可变形免杀；框架不变，数据执行，数据传递
   2. 小马：体积小，功能少；一般只有一个上传功能，用于上传大马
   3. 大马：体积大，功能全；会调用系统关键函数；以代码加密进行隐藏
3. webshell查杀
   1. 静态匹配特征码、特征值、位相函数
   2. 动态监测执行动作：http异常模型检测、函数劫持
   3. 日志分析：
      1. 少量ip对其发起访问
      2. 总的访问次数少
      3. 该页面属于孤立页面
   4. 语法检测
   5. 统计学监测，利用特征进行统计学习

8.1.3 样本分析

静态分析

1. 反病毒引擎扫描：一个扫描引擎一般包括了自动化恶意软件处理机制，规定了恶意软件入口点，以及匹配特征的工作。扫描引擎以病毒特征库为基础，通过引擎的识别和分析功能，将文件的分析数据与特征库比对，最终进行病毒文件的确认。

8.1.4 流量分析

处理异常流量的方法

1. 切断连接
2. 过滤
3. 静态空路由过滤
4. 异常流量限定

8.2 应急响应预案

应急响应的生命周期 PDCERF

准备、检测、分类、抑制、根除、恢复、后续

8.3 应急响应流程

8.3.1 准备阶段

准备阶段以预防为主。
主要工作涉及识别机构、企业的风险，建立安全政策，建立协作体系和应急制度。按照安全政策配置安全设备和软件，为应急响应与恢复准备主机。
依照网络安全措施，进行一些准备工作，例如，扫描、风险分析、打补丁等。如有条件且得到许可，可建立监控设施，建立数据汇总分析体系，制定能够实现应急响应目标的策略和规程，建立信息沟通渠道，建立能够集合起来处理突发事件的体系。

8.3.2 检测阶段

检测阶段主要检测事件是已经发生的还是正在进行中的，以及事件产生的原因。
确定事件性质和影响的严重程度，以及预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，估计安全事件的范围。通过汇总，查看是否发生了全网的大规模事件，从而确定应急等级及其对应的应急方案。
一般典型的事故现象包括：
（1）账号被盗用；
（2）骚扰性的垃圾信息；
（3）业务服务功能失效；
（4）业务内容被明显篡改；
（5）系统崩溃、资源不足。

8.3.3 分类阶段

8.3.4 抑制阶段

限制攻击的范围，同时限制潜在的损失和破坏。根据预先制定的应急响应处理方案，采取相应的措施，把安全事件的影响降低到最小。针对不同类型的安全时间，我们将这些措施进行如下划分：

1. 网站、网页出现非法言论时
   1. 针对论坛系统，应及时删除非法言论，临时关闭相关板块的发帖，评论功能，封禁相关用户的账户
   2. 针对新闻类门户网站系统，应及时删除包含非法言论的文章，临时封禁发布非法文章的账户
   3. 针对企业、学校类门户网站系统，应及时删除包含非法言论的文章，立即联系网站管理人员确认非法言论来源，恢复网站备份或暂时关闭网站
2. 网站或服务器遭到黑客攻击时
   1. 针对DDOS攻击，及时启用硬件或软件防护工具，启动最大连接数限制，修改所有防火墙和路由器的过滤规则，拒绝来自看起来是发起攻击的主机的流量，或临时转移至防御等级更高的服务器
   2. 针对网站被入侵，断开当前服务器与外网的网络连接，阻断正在发起攻击的行为，缓解系统的负载，通过路由器、防火墙封堵入侵的源地址
   3. 设置蜜罐并关闭被利用的服务
   4. 汇总数据，估算损失和隔离效果
3. 数据库系统发生故障时
   1. 及时导出数据库日志信息，以备后期使用
   2. 根据数据库故障等级，决定是否立即启用备用数据库服务器
   3. 汇总数据，估算损失和隔离效果
4. 网络线路或硬件系统发生故障时
   1. 如硬件设备出现故障，应立即更换备份设备，导入备份配置文件，使网络立即连通
   2. 如网络物理连接发生故障，应先确认故障点，在改动最小的前提下，确保网络能迅速恢复连通

8.3.5 根除阶段

在事件被抑制以后，找出事件根源并彻底根除才能真正的解决问题。此时可以采取以下措施：

1. 网站、网页出现非法言论时
   1. 增加关键词过滤系统，屏蔽非法关键词
   2. 增加论坛发帖审核机制，人工和自动禁止包含不良信息的文章被发布
   3. 增加人工管理对舆情进行监控，及时发现不良信息的传播
2. 网站或服务器遭到黑客攻击时
   1. 对于病毒，应该在信息系统内部采用最新的软件清除所有的病毒
   2. 对于系统的入侵、非法授权访问等，应根据调查取证结果，及时找出漏洞并修复，升级相关系统至最新版本。可自行或授权相关人员进行渗透测试，以找出可能存在的未被发现的漏洞
   3. 改进网络安全防护策略，防止再次被攻击者进入系统
   4. 启动网络与应用层的审计功能，为进一步的分析提供详细的资料
   5. 分析事件发生的原因，为以后的进一步改善提供依据
3. 数据库系统发生故障时
   1. 修复造成数据库漏洞的相关应用，避免再次被恶意利用
   2. 针对数据库用户的权限进行严格限制，禁止低权限用户执行敏感操作
   3. 安装带有数据库防护功能的软件或硬件设备，加强对数据库的实时保护
   4. 自行或授权相关人员进行渗透测试，以找出可能存在的未被发现的漏洞
4. 网络线路或硬件系统发生故障时
   1. 定期检查网络设备的运行情况，出现小问题时及时解决
   2. 定期排查可能对网络连通性造成危害的因素，确保物理网络正常连通
   3. 定期检查硬件系统的相关性能，避免突发性硬件故障

8.3.6 恢复阶段

把所有受侵害或被破坏的系统、应用、数据库、网络设备等彻底地还原到它们正常的任务状
态。主要的方面有：

1. 网站、网页出现非法言论时
   1. 重新开放论坛发帖，评论等相关功能
   2. 对被封禁的用户进行排查，解禁误封用户
   3. 在严格设置了用户对应权限后，恢复相关用户的管理权限
2. 网站或服务器遭到黑客攻击时
   1. 确认网站文件不包含webshell等后门后，重新开启网站服务
   2. 重新启服务器并持续监控，服务器各系统运行情况
   3. 对被破坏、无法修复的数据或系统进行系统恢复，对所有安全上的变更作备份，对收到破坏的网络安全设备进行软件配置恢复
   4. 根据的运行情况判断隔离措施的有效性
   5. 通过汇总分析的结果判断是否存在仍然受影响的系统
   6. 适当的时候解除封锁措施，去掉用作短期抑制措施的所有中间防御措施
3. 数据库系统发生故障时
   1. 确认严格设置了数据库用户权限，开启了数据库防护软件后，重新开启数据库服务
   2. 对被破坏、无法修复的数据或系统进行系统恢复，对所有安全上的变更作备份，对收到破坏的网络安全设备进行软件配置恢复。
   3. 重新开启需要执行数据库操作并且已修复已知漏洞的功能
   4. 适当的时候解除封锁措施，去掉用作短期抑制措施的所有中间防御措施
4. 网络线路或硬件系统发生故障时
   1. 检测设备是否正常运行、网络是否连通，若有问题，再次确认并解决问题

8.3.7 后续阶段

总结阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、政策、程序，并进行训练。

1. 形成事件处理的最终报告；
2. 检查应急响应过程中存在的问题，重新评估和修改事件响应过程；
3. 评估应急响应人员相互沟通在事件处理上存在的缺陷，以促进事后进行更有针对性的培训。

8.4 各类事件检测分析和处置方式

8.4.1 恶意代码型

恶意代码的分类

类别	实例
具有自我复制能力的依附性恶意代码	主要代表是病毒
具有自我复制能力的独立性恶意代码	主要代表是蠕虫
不具有自我复制能力的依附性恶意代码	主要代表是后门
不具有自我复制能力的独立性恶意代码	主要代表是木马

蠕虫和普通病毒的区别

病毒侧重于破坏系统和程序的能力
木马侧重于窃取敏感信息的能力
蠕虫侧重于网络中的自我复制能力和自我传染能力

蠕虫的检测条件

1. 基于特征串匹配的检测
2. 基于关联分析的检测
3. 基于扫描行为的检测
4. 基于人工智能技术的检测

8.4.2 管理型漏洞

1. 网络管理系统
   网络管理系统(Network Management System)是一种通过结合软件和硬件用来对网络状态进行调整的系统，以保障网络系统能够正常、高效运行，使网络系统中的资源得到更好的利用，是在网络管理平台的基础上实现各种网络管理功能的集合。