安全巡检和处置思路 2020/1/13

 安全事件实时监测

监控数据源 

以下为常见的安全数据类型，可帮助安全分析人员对高级可持续性威胁（APT）和高危安全事件进行深入了解，以及如何防止对组织的网络发生对抗性攻击。

数据源	ATT&CK类别	数据源说明
防火墙/路由器	•   防御逃跑 •   发现 •   命令与控制 •   渗出	防火墙数据有助于检测命令控制问题将其用于外部侦察并防止恶意IP通信进入企业环境。
IDS/IPS	•   防御逃跑 •   持久性机制 •   发现 •   命令与控制	将IDS/IPS威胁事件与漏洞相关联，然后升级这些威胁事件，进行更深入的攻击检测。
Web代理	•   防御逃跑 •   持久性机制 •   数据泄露 •   命令与控制 •   特权升级 •   凭证访问	可以进行监控恶意通信，数据泄漏以及命令和控制活动。
VPN	•   凭证访问 •   横向移动	可用来监控来自可疑位置的登录。
DNS	•   防御逃跑 •   持久性机制 •   命令与控制 •   渗出 •   凭证访问（注意：技术T1171）	可用来监控恶意DNS使用，例如DGA域名，隧道和DNS FastFlux、攻击指令传送等。
DHCP	防御性逃避	可用来检测公司网络上的恶意接入点或其他意外设备存在。
邮件	•   执行 •   初始访问 •   采集	可用来监控网络钓鱼和垃圾邮件。
DLP	•   数据泄露 •   采集	可用来检测多种方法进行数据渗透的攻击行为。识别并跟踪可疑文件，例如： •   DNS异常 •   敏感内容 •   异常的互联 •   别名
LDAP/AD/Radius	•   特权升级 •   凭证访问 •   初始访问	可用来监控恶意软件强力登录，网络横向移动或可疑登录等活动。
Anti Virus	•   持久性机制 •   初始访问 •   防御逃跑	可用于监控以下活动： •   通过抗病毒感染终端 •   未清除的病毒 •   其他可疑终端行为
数据库	•   凭证访问 •   采集 •   初始访问 •   发现 •   数据泄露 •   特权升级	可用于检测未经授权的数据库访问和数据窃取。
EDR	•   凭证访问 •   特权升级 •   发现	可用于监控以下活动： •   失陷的端点 •   可疑的端点行为
流量	•   横向移动 •   发现 •   持久性机制 •   防御逃跑 •   数据泄露 •   凭证访问 •   命令与控制	可用于监控以下活动： •   侦察 •   恶意下载 •   横向移动 •   网络钓鱼
主机	•   特权升级 •   初始访问 •   执行 •   持久性机制 •   凭证访问 •   防御逃跑 •   发现 •   横向移动 •   采集 •   渗出 •   命令与控制	可用于监控恶意哈希，可疑的PowerShell活动，进程滥用或其他可疑的端点活动。

网络安全设备监控

        通过部署态势感知系统，对客户的网络设备、安全设备、主机服务器进行事件收集、分析，特别是对日志审计系统、安全管理平台、蜜罐系统、僵木蠕监控系统以及网内现有的安全设备的安全事件、日志进行汇总分析，通过态势感知系统的数据分析功能对事件、日志进行7x24小时实时监控，对于发现的安全攻击事件通告给防护组进行攻击行为阻断，同时连同分析组进行攻击溯源以及取证分析。

系统连接性监测

        通过多条网络线路采用远程探测的方式（包括Ping、Telnet、Tracert等），可有效的监测到ISP线路等原因导致的网站可用性问题。基于监测技术对网站的可用性获得更为全面详细的数据，如业务中断、访问延时等。特别是部分云服务平台对指定的应用系统域名或IP地址进行7*24小时互联网连通性监测，及时发现网络中断等问题，并进行预警，协助排查、定位故障原因。

• Ping监控

ping指令发送一个ICMP回响请求到某个目标域名或IP地址，帮助检验IP层的连接情况，可及时发现Web系统以及相关网络中的路由器、防火墙和其他设备的可用性故障。

• 端口监控

对Web应用系统开放的服务端口存活状况进行实时监控。该功能模块将试图与指定Web服务器的指定端口进行连接，查看Web系统是否接受此端口的连接。

• HTTP Head监控

通过Http Head方式探测Web服务器的连通情况。

• 网站平稳度检测

        记录首页加载时间、网络延时、丢包数据，自定义预警阀值，如网站响应事件超过阀值，平台将产生告警信息。

互联网安全性监测

        网站挂马监测服务通过应用系统安全检测平台的木马检测特征库，对指定的应用系统页面进行定时检测，判别应用系统页面是否存在被植入的木马程序，并及时进行预警，协助定位、隔离和删除木马程序，降低挂马事件造成的影响。

        采用特征分析和沙箱行为分析技术对网站进行木马监测，平台监测告警后通过技术专家二次确认监测精度高达99%，从而实现快速、准确的发现和定位网页木马，确保在第一时间发现感染的木马并及时消除。

        对指定的应用系统页面进行定时检测，通过页面的大小、页面元素等技术比对，同时采用html标签域比对技术实现，监测引擎对网站进行初始化采样并建立篡改监测基准，对基准内容进行泛格式化处理，解析出html的相关标签作为后续比对的基准。及时发现应用系统页面被恶意删除、篡改等事件，并进行预警，提供页面恢复方案建议，使客户能够迅速恢复页面，降低页面篡改事件带来的影响。

        篡改监测技术的基础是网页变更监测，系统采用标题更新审查、新增内容审查、特定关键词审查等多种方式来避免将所有的网页变更都认为是篡改事件。如果审查的内容触发了告警条件，平台会立即捕捉网页快照，并启动告警程序。通过远程定时监测技术，可以有效的监测网页篡改行为，特别是一些越权篡改等情形，并针对篡改方式提供篡改截图取证功能，极大的提升了网站篡改类安全事件的处理效率。

        安全云服务中心对指定的应用系统页面进行定时暗链检测服务，通过对检测页面的深度、页面数量自定义的爬取，从而发现暗链，并支持对已检测出的URL进行白名单设置。

内容监测服务

内容（敏感关键字）监测服务通过基于海量大数据样本库，机器学习智能算法精确检测用户的应用系统页面中文字及图片是否包含敏感关键词，并采取人工核查的方式对敏感关键字的真实性进行判定，一旦发现敏感信息及时向用户预警，定位敏感信息的发布位置，提醒用户及时删除敏感信息。

平台可通过定义敏感信息字典来管理敏感字，及时发现网页及评论中的不良信息发布事件。系统内置低俗内容检测模板，包含通用的暴力、色情等低俗信息的检测匹配策略，使用户可以快速准确的定位该信息的位置。

平台通过辅助关键字技术来提高告警准确率，采用中文关键词以及语义分析技术对网站进行敏感关键字监测，实现精确的敏感字识别，确保网站内容符合互联网相关规定，避免出现敏感信息。

现场安全监控

        网站安全监控系统针对大规模网站进行持续、多维度安全监测，并结合安全风险评估模型做出来的实时的网站安全风险评估系统，可以在全网IT管理的各Web站点检测并监控的内容违规敏感词。系统覆盖了Web扫描、页面篡改检测、DNS监控、性能监控、关键字检查等功能。

应急策略及流程

• 提高快速反应能力

建立信息安全预警和事件快速反应机制，建立高效的事件汇报渠道，强化人力、物力、财力储备，增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，一旦出现影响信息系统的安全事件，快速反应，及时准确处置。

• 加强安全监管

        在网络安全监控系统的基础上，建立完善的信息系统安全监控和管理机制，对数据库服务器、网上申报系统、内部办公业务系统和网络状况进行持续和重点监控，及时发现信息安全隐患和事件迹象，进行安全预警并采取针对性的应对措施。

• 责任到人、制度保障

        坚持统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复的原则。明确信息安全应急响应工作的角色和职责，保证各项工作责任到人，建立应急响应各项工作的处理流程，实现应急响应工作的规范化、制度化和流程化。

基本流程

        任何一个应急预案都必须首先在做好响应前准备阶段工作的基础上，没有充分的准备，应急工作则无从谈起。 总体的应急预案的基本流程主要由：准备阶段、监测及事件分析阶段、事件处理阶段、结束响应阶段以及总结预警阶段组成。

1) 准备阶段

        包括了人员、组织的准备以及技术的准备，技术准备主要是要建立监控管理的技术体系和平台，为事件发生后的技术分析，及时的通告和响应等提供条件和保障。同时，尽可能地在事前做好相应的安全防范工作，准备好进行应急处理的技术工具等内容。

2) 监测及事件分析阶段

        监测人员通过手动监测方式以及在准备阶段建设好的安全运行管理中心的监测方式，监测是否有异常现象的发生；当发生异常情况时，并根据异常的性质与影响，决定是否向相关人员进行报告。上报方式除了通常的电话外，还可以利用安全运行管理中心平台中的告警机制，根据告警级别的不同，通过工单、邮件、短信的方式上报和通知到相关人员。

        上报到应急响应小组后，应急执行小组的成员后，对异常情况进行分析，判断是否事件类型，识别攻击的性质以及攻击强度，同时根据事件影响决定是否报告网络与信息安全工作小组；网络与信息安全工作小组同安全服务机构和系统厂商取得联系，获得必要的帮助；在必要的时候，向公安机关报案以获得帮助；

3) 事件处理阶段

        根据事件的不同，采取不同的处理方案，启用相应的专题应急预案，对于常见的、主要的事件类型，在本预案中附带了《专题应急处理预案》。该阶段中的技术处理主要为抑制事件的影响，并进行根除。

4) 结束响应阶段

        网络与信息安全工作小组根据之前判断的攻击信息，采取必要的技术手段控制攻击行为、恢复系统服务并对攻击的来源进行追踪；如果攻击源不在专网内部，需通过下属单位网络与信息安全办公室与集团进行协调，以协助进行追踪、取证，必要时向公安机关通报相关信息，对攻击者进行抓捕。

5) 总结预警阶段

        当攻击事件结束后，系统恢复正常，由网络与信息安全工作小组对整个事件进行总结分析，向网络与信息安全领导小组进行汇报；网络与信息安全领导小组组织相关人员就本次事件总结经验教训，同时从中总结预警方案和内容，一方面进一步改进和完善应急响应体系，另一方面在安全运行管理平台上，适时发布总结后的预警信息，从而逐渐完善信息安全的整体安全保障能力。

拒绝服务攻击应急流程

1、监测分析

利用网管平台监测：

• 实时流量检测：出入口总流量较正常峰值流量异常增加50％
• 系统资源检测：CPU使用率>80％、内存使用率>70％

 利用安全管理平台监测：

• 实时风险及事件状况：出现的拒绝服务类风险事件
• 被管理设备的安全健康状况：CPU使用率>80％、内存使用率>70％
• 安全管理的KPI指标：端口总流量异常率KPI超标

人工检测： 

登陆主机、网络等设备，查看网管平台上可以看到的内容，如系统资源、流量情况，可用性状况：

• Ping的丢包率>30%；
• Ping的延时>1000ms；
• WEB服务页面出现时间>30s；
• 通过查看系统连接状况，严重超出日常连接数，SYN_RCVD的半连接数量>500或占总连接数的10%以上。

利用其他工具检测：

数据包分析检测：

• TCP Syn包流量大于总流量的30%；
• UDP包的流量大于总流量的50%；
• ICMP包的流量大于总流量的30%；
• 非IP包流量大于总流量的30%。

综合上述监测和分析的结果可以基本确定为拒绝服务攻击后，按照下述事件处理流程进行处理。

二、事件处理

1. 新增设备/工具/资源

• 增加额外的抗拒绝服务攻击设备，对拒绝服务攻击流量进行过滤
• 考虑增加带宽，增强抗拒绝服务攻击能力

1. 已有产品/设备上的措施

• 通过Sniffer分析数据来源（可能存在伪造地址），在防火墙或边界路由器处设置ACL限制攻击源，进行有效的控制

1. 常见攻击的技术处理方法

• SYN Flood攻击

通过访问列表进行抑制（边界路由器/防火墙上）；

通过TCP截获进行抑制（边界路由器/防火墙上）；

在可控攻击源接入层面配置单波逆向转发URPF；

# ip cef            开启路由器CEF功能

# interface fastethernet 6/0/0      进入fastethernet 6/0/0端口配置

#ip verify unicast reverse-path    启用URPF功能

#show cef interface fas6/0/0     观察该端口上IP unicast RPF check is enabled。

#show ip traffic                可观察到被urpf drop的IP包数量。

支持SYN Proxy算法的安全设备。

• Ping of death攻击

禁止ICMP协议当中的ECHO、Redirect、Maskrequest（边界路由器/防火墙上）；

为根除ICMP-Flood攻击，可禁止ICMP（边界路由器/防火墙上）。

• UDP Flood攻击

通过访问列表进行抑制（边界路由器/防火墙上）；

通过集群映射，实现负载分担；

必要时采用Random Drop方式实现保护。

• Connection Flood攻击

限制源IP地址的每秒钟连接请求数。

通过访问列表进行抑制（边界路由器/防火墙上）；

三、结束响应

追踪攻击源

• 由于利用应用系统漏洞进行攻击的行为一般都使用的是真实的IP发起的，因此可以很容易的定位攻击源；而利用协议漏洞或流量型的攻击行为由于大部分源IP是伪造的，因此需要通过流量分析以及sniffer抓包等方法进行追踪。
• 对于攻击来源在省网网内的情况，直接找到攻击主机，消除攻击，保留现场；对于攻击来源不在省公司网内的情况，确定攻击来源，和总局联系，跨网络追踪，找到攻击主机，消除攻击，保留现场。
• 如果攻击主机是被实际攻击者控制的主机，需要继续追踪，定位实际的攻击者，追究攻击者责任。

总结汇报

        在拒绝服务攻击结束，或者受到控制，业务系统恢复正常运行后，应急响应执行小组应当完成：

• 对拒绝服务事件造成的原因、产生的影响、应急事件处理流程中的问题进行总结和向应急响应领导小组进行汇报。
• 对应急预案进行评估，对响应流程、预案提出修改意见，撰写事件处理报告。

预警及防范

• 根据本次拒绝服务事件产生的原因，如：冲击波、蠕虫等，确定针对性的解决方案，如上述技术手段。

将总结出的针对性拒绝服务攻击类型及其解决方案形成预警信息，在安全管理平台上进行定期发布，促使相关人员定期检查是否做好了事前的防范措施。

 蠕虫攻击应急流程

(一) 事件监测分析

1） 蠕虫病毒爆发的监测

a)    安全管理中心监控：监控到网络的整体安全状况，可以根据网络中防病毒系统、网络流量监控系统、终端安全管理系统可以关联相关信息，评估网络的蠕虫病毒爆发的风险状况，当风险达到一定水平时，就需要进一步的分析。

b)    病毒中心管理服务器监控：可以监控到哪些设备和哪些类型病毒爆发的状况。

c)    网管中心监控：主要可以监控网络设备目前的流量状况，如果网络流量突然异常造成网络拥塞，需要通过进一步的分析来确定是否为蠕虫病毒爆发。

d)    终端安全管理系统监控，可以有效地监控到终端系统的安全状况，当蠕虫病毒爆发时能够最快的定位出哪些终端出现问题。

e)    通过在核心交换机配置端口镜像，使用Sniffer工具，对网络数据包分析、网络连接分析。

f)     对重要服务器日志查看，检查服务器是否受到蠕虫病毒的入侵或者是否感染蠕虫病毒。

2） 蠕虫病毒爆发应急的启动

当发生蠕虫病毒事件到达《系统网络与信息安全事件分级分类指南》中定义的重大网络与信息安全事件时，启动本预案。

3） 蠕虫病毒爆发的分析

分析确认：判断确认哪些设备感染蠕虫病毒。

a)    通过防病毒中心，可以有效地看到那些设备、哪些部门、受到哪些蠕虫的攻击和感染。

b)    人工检查重要服务器，察看是否有相关的病毒。

4） 事件处理

a)    隔离主机：在确认有主机感染蠕虫之后，将被感染主机进行隔离，以免其进一步扩散，并根据需要启动备用服务器以保持业务的连续性。

b)    杀毒根除：

• 在对主机隔离之后，即开始杀毒工作。当本单位技术力量无法完成时，应及时寻求专业病毒服务厂商支持（病毒服务厂商联系方式参见附件1）。杀毒工作完成之后，应升级各主机病毒库，确认蠕虫被彻底清除。
• 并对各主机进行加固，保证不会再次感染。
• 可以利用终端安全管理系统，对网内的所有终端系统自动同步补丁，使全网的终端的补丁能够及时地更新。

c)    恢复运行：在确认蠕虫被彻底根除之后，可恢复系统运行，如果启动了备用服务器，应将服务器切换到原来的数据库服务器。

5） 结束响应

a)    蠕虫病毒爆发的处理结果

总结本次蠕虫病毒的爆发的经验，写出相关的报告。评估带来的损失及影响。

b)    蠕虫病毒爆发的预防

        选购统一管理的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须具备向内存实时监控和邮件实时监控发展。

        及时升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。

        提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

        不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。

 Arp攻击应急流程

(一) 事件监测分析

1） ARP病毒爆发的监测

a)    安全管理中心监控到网络的整体安全状况，可以根据网络中防病毒系统、网络流量监控系统、终端安全管理系统可以关联相关信息，评估网络的ARP病毒爆发的风险状况，当风险达到一定水平时，就需要进一步的分析。

b)    病毒中心管理服务器监控可以监控到哪些设备和哪些类型病毒爆发的状况。

c)    网管中心监控主要可以监控网络设备目前的流量状况，如果网络流量突然异常造成网络拥塞，需要通过进一步的分析来确定是否为ARP病毒爆发。

d)    终端安全管理系统监控，可以有效地监控到终端系统的安全状况，当ARP病毒爆发时能够最快的定位出哪些终端出现问题。

e)    通过在核心交换机配置端口镜像，使用Sniffer工具，对网络数据包分析、网络连接分析。当ARP包占50%以上时，可以基本确认存在ARP病毒。

f)     对重要服务器日志查看，检查服务器是否受到ARP病毒的入侵或者是否感染ARP病毒。

2） ARP病毒爆发应急的启动

当发生ARP病毒事件到达《系统网络与信息安全事件分级分类指南》中定义的重大网络与信息安全事件时，启动本预案。

3） ARP病毒爆发的分析

分析确认：判断确认哪些设备感染ARP病毒。

a)    通过防病毒中心，可以有效地看到那些设备、哪些部门、受到哪些ARP的攻击和感染。

b)    人工检查重要服务器，察看是否有相关的病毒。

c)    通过登陆到相关的网络设备查看，对于小型网络环境，一般是只有一个VLAN的，在这样的情况下，可以通过一台接入网络的主机，定期查看自己的ARP表，看看在定期删除ARP缓存后，有哪些机器的IP/MAC对应表马上又到你的机器上了。

举例：

C:\>arp -a

Interface: 192.168.1.236 --- 0x10004

Internet Address     Physical Address     Type

192.168.1.1         00-0a-eb-c1-d8-60   dynamic

192.168.1.22       00-e0-4c-c2-7e-50   dynamic

192.168.1.144     00-e0-4c-f0-e1-33   dynamic

192.168.1.233     00-e0-4c-a9-35-72   dynamic

通过以上步骤可以直接发现感染主机。

d)    对于复杂的网络环境，一般是有多个VLAN的，在这样的情况下，可以通过专门的网管系统对交换机的ARP缓存的变化来查看整个网络ARP攻击情况，也可以通过AntiArpSniffer1.2网络版软件来查看攻击者的IP和真实MAC了。

(二) 事件处理

1） 隔离主机：在确认有主机感染蠕虫之后，将被感染主机进行隔离，以免其进一步扩散，并根据需要启动备用服务器以保持业务的连续性。

2） 控制病毒源：对病毒源头的机器进行处理，杀毒或重新装系统。此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。

3） 全面杀毒：检查局域网病毒，安装杀毒软件，对机器进行病毒扫描。

4） 系统加固：

a)    系统安装补丁程序，通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)。

b)    给系统管理员帐户设置足够复杂的强密码，最好能是8位以上，字母+数字+符号的组合；

c)    也可以禁用/删除一些不使用的帐户。

d)    关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。

(三) 结束响应

1） ARP病毒爆发的处理结果

总结本次ARP病毒的爆发的经验，写出相关的报告。评估带来的损失及影响。

2） 预防措施：

        经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。

        安装并使用终端安全管理系统客户端，终端安全管理系统客户端在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。下载ARP病毒免疫补丁，然后可以通过终端安全管理系统的软件分发功能将该补丁分发到各终端且强制安全

        不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。