本文详细阐述了应急响应的概念,包括其流程(准备、检测、抑制、根除、恢复和跟进阶段),并列举了常见的应急响应事件类型,如web入侵和Windows系统入侵。同时,文章强调了检查Windows系统账号安全的重要性,包括查找弱口令、隐藏账户和异常登录记录。
1.应急响应
应急响应(Emergency Response),通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后采取的措施。简单来说,就是遇到攻击者的攻击时,应对对方的攻击,你怎样去处理。
2.应急响应流程
准备阶段 ——>启动阶段 ——>抑制阶段 ——>根除阶段 ——>恢复阶段 ——>跟进阶段
准备阶段:一是对信息系统进行初始化的快照。二是准备应急响应工具包。
检测阶段:第一步;系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常(日志、进程、操作系统是否有病毒等)。第二步:发现异常情况后,形成安全事件报告。第三步:安全技术人员、系统维护人员和第三方安全事件应急服务人员查找安全事件的原因。第四步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的原因、性质和影响范围。第五步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。此阶段工作中应注意:第三方安全事件应急服务人员仅应在必要时参加制定应急处理方案应包含实施方案失败的应变和回退措施抑制阶段抑制是对攻击所影响的范围、程度进行扼制,通过采取各种方法,控制、阻断、转移安全攻击。
抑制阶段:主要是针对前面检测阶段发现的攻击特征,比如攻击利用的端口,服务,攻击源,攻击利用系统漏洞等,采取有针对性的安全补救工作,以防止攻击进一步加深和扩大。抑制阶段的风险是可能对正常业务造成影响,如在系统中了蠕虫后要拔掉网线,遭到DOS攻击时会在网络设备上做一些安全配置,由于简单口令遭到入侵后要更改口令会对系统的业务造成中断或延迟,所以在采取抑制措施时,必须充分考虑风险。根除阶段根除阶段是在抑制的基础上,对引起该类安全问题的最终技术原因在技术上进行完全的杜绝,比如木马查杀、寻找漏洞、修复漏洞等,并对这类安全问题所造成的后果进行弥补和消除。
根除阶段:采取的措施最大的风险主要是在系统升级或补丁时可能造成系统故障,所以必须作好备份工作。在进入抑制和根除阶段之前,应形成安全事件应急响应方案,并对方案的实施获取必要的管理授权。
恢复阶段:通过采取一系列的步骤将系统恢复到正常业务状态。一是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统变化的情况下,重装系统。跟进阶段跟进阶段是应急响应的最后一个阶段,本部分的内容主要是对抑制或根除的效果进行审计,确认系统没有被再次入侵。
3.常见的应急响应事件分类:
- web入侵:网页挂马、主页篡改、Webshell
- 系统入侵:病毒木马(病毒有传染性、木马没有,一般木马都是做后门)、勒索软件、远控后门
- 网络攻击:DDOS攻击(护网是不允许ddos的)、DNS劫持、ARP欺骗
4.Windows入侵盘查
检查系统账号安全
1.查看服务器是否有弱口令,远程管理端口是否对公网开放。扫描我们的外网ip地址,查看那个ip和端口是开放的,显示“ESTABLISHED”表示已经建立连接。
2.查看服务器是否存在可疑账号、新增账号
a.检查是否有多余用户
检查guest账户权限,如果以下没有取消勾选就没有账户入侵
属性权限,如果属于管理员组,就说明有问题
3.查看服务器是否存在隐藏账户、克隆账户
a.打开注册表,查看管理员对应键值。
右键属性设置SAM权限
c.刷新
查看names,可以查看到所有的用户名。
b.使用D盾web查杀工具,可以杀木马,对克隆账户进行检测。
4.结合日志,查看管理员登录时间、用户名是否存在异常。
a.打开事件查看器
b.导出Windows日志—安全,利用Log Parser进行分析。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
