网络安全应急响应操作流程-打好应急响应保卫战

最新推荐文章于 2024-07-15 10:59:49 发布

securitypaper

最新推荐文章于 2024-07-15 10:59:49 发布

阅读量2.6k

点赞数

文章标签： web安全安全网络

本文链接：https://blog.csdn.net/securitypaper/article/details/125504482

版权

本文详解了应急响应的核心要素，包括目标设定（快速止损与风险控制）、标准流程（事前准备、事中检测与响应、处置与溯源）、注意事项（团队协作、纵深检测与知己知彼）。通过实例阐述了网络拓扑、安全设备配置和应急预案的重要性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

文章目录

应急响应

应急响应是安全工作的重点和难点，由于响应过程中压力比较大，难免出现手忙脚乱的情况，因此怎样做好应急响应工作是对一个安全团队的最好考量。
本文主要从应急响应目标、流程、使用工具、核心注意事项等进行介绍

应急响应目标

应急响应启动时，一般是安全事件已经开始，因此目标就是快速解决安全事件，核心目标就是快速止损，控制风险到可接受范围

应急响应标准流程

按事件的发生的时间顺序，可以分成事前、事中、事后

事前

事前更多的时候是说甲方企业，在日常做的事情，需要熟悉自身的情况，做到知己
最核心的:
网络拓扑 -> IP分布、安全域的划分、能够上外网的区域、边界的访问控制等，出来一个IP就知道在哪个区域
安全设备 -> 已有的安全防御措施，waf、IPS、TIP、soc、hids、终端管控、杀毒软件这些防御将在应急响应过程中大大提高应急效率，节省很多宝贵时间
备份情况 -> 企业是否具有备份，在处理勒索病毒时，非常有用
应急预案 -> 应急过程是高强度、争分夺秒的事情，在这种情况下很难考虑周全，因此需要事前做预案，对各种可能情况进行冷静、理智分析，包括解决方案、操作步骤、联系人员
应急演练 -> 确保应急预案可用，流程顺畅，因此需要事前进行演练，查找预案的不足，及时进行更正，确保预案可行性
预案中最主要的是人员通讯录，明确分工和职责，至少需要一位总指挥 见过太多无头应急，失败已经是注定的

事中

应急的理论基础:攻击留痕(罗卡交换定律)

检测

怎样发现出现问题的?

主机向外发送大量数据包?
主机资源瓶颈(CPU跑满 -> 挖矿，磁盘满了->数据下载)
安全监控报警(日志报警)
威胁情报(用户诈骗投诉电话、SRC威胁情报、暗网监控)
主机运行比较慢?

响应

收集受影响的主机信息和取证相关恶意程序
收集相关的日志信息包括但不限于网络流量日志、防火墙日志、系统安全日志、审计日志、web服务器日志、数据库日志和其他相关日志。
对已掌握的线索进行深入分析，并对其攻击类型进行分析和定性，如网络攻击(端口扫描、账号破解、POC扫描、DDoS)、恶意程序(病毒、勒索/挖矿木马、后门)等
在根据分析结果对本次事件的发起时间点进行确认，定位攻击源头，确保受影响服务和失陷主机
最终是以时间为线梳理出来的完整攻击路径

处置

真实操作中，处置与响应基本上同时进行，而且处置是止损的关键。主要操作的方法:
封锁公网IP -> 一般是攻击者的服务端公网IP地址
封域名 -> 内网dns封掉回连dns
线下被感染的主机 -> 网络隔离掉被感染的主机
恶意软件采样 -> 恶意文件
后门账号 -> 清理后门账号
横向排查 -> 此类相关问题进行横向排查，确认是否有相关问题 ,比如确认恶意木马，计算hash，在HIDS检索，确认其他机器是否存在相同文件

溯源(人的识别)

网络特征分析及追踪溯源
攻击IP相关信息，木马的C2地址
文件特征分析及追踪溯源
文件hash关联
编译信息(编译语言、编译时间、编译器信息、调试信息等)
数字签名伪造或滥用
代码特征分析以及追踪溯源
经过逆向分析提取恶意程序代码片段和字符串，进行Hunting分析，关联相似样本和进行代码同源分析
行为特征分析，根据该样本使用的技术特征进行关联和扩展

核心注意事项

团队合作
应急响应是争分夺秒、超高强度的工作(背后可能站着数级领导，甚至是CXO), 一个错误可能就让攻击者将几千万用户信息下载走了,同时应急工作比较杂乱，涉及到网络、主机、监控设备、应用、数据等等方面，需要一个团队进行分工协作才能够胜任，因此必须有一个对情况比较熟悉的团队指挥官,负责统一指挥，比如记录失陷IP，公网IP，发布任务(如果有预案则按照预案分配任务)，实现多人协作抗敌的效果
纵深检测
应急响应最宝贵的就是时间，切换死抠一个点，尽可能发挥防御方的优势，快速歼灭敌人。将网络、主机、应用、数据相关信息进行整体联动，单独一个地方抗争不过，就直接更换方式，比如网络层加密传输，则从主机上进行分析，或者确认异常，先阻断远端地址
知己知彼
当知道攻击者常见的攻击方法时，可以采取针对性的防御方法
比如攻击者常挖掘子域名，则可以在外网放个密子域名，当有人访问这个子域名(因为没有发布业务，正常用户是不会访问的)，这就是攻击者IP地址
比如攻击者常会探测端口，则在外网放个密端口，当有人尝试连接这个端口，这就是攻击者Ip
比如内网蜜IP地址或者蜜域名, 当访问时就会发现攻击者
比如网络是攻防必争之地，如果服务本身没有出网要求，可以将服务器访问外网权限关闭，可以大大提高攻击难度
弄清缘由横向排查
一定要分析清楚，按照时间顺序完整的攻击路径，获得相关信息比如木马文件(HIDS)，恶意账号(HIDS)，攻击者IP(从内到外网络流量日志/VPN日志/web日志), 攻击者域名(内网DNS日志)