如何做高效的应急响应?

已于 2024-06-16 00:52:24 修改
阅读量951 收藏 20
点赞数 12
分类专栏: HVV 应急响应 文章标签: windows 安全 网络安全 linux
于 2024-06-16 00:51:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55762309/article/details/139711257
版权

前言

本文只做分享,技术交流

由于攻击面广、攻击路径不定;

怎样快速定位、快速分析安全入侵、攻击事件,快速取证并及时上报就显得尤为重要。

目录

前言

常见的安全事件有哪些?

入侵事件

信息泄露事件

Web应用安全事件

怎么去找这些造成安全事件的因素呢?

日志分析

恶意文件监控

安全威胁情报

什么样的情况下是出现了安全事件呢?

系统运维报告异常

业务用户投诉或者抱怨

被通报

那我们该怎么去判断他的一个影响范围呢?

异常主机所处网络环境

异常主机用途

快速有效分析与侦查的方法

三要素法

经验法

常见的安全事件有哪些?

入侵事件

  • 主机、服务器被入侵
  • WEB站点入侵

信息泄露事件

  • 敏感信息泄露
  • 用户弱口令
  • 源代码泄露

Web应用安全事件

  • SQL注入
  • XSS
  • XXE
  • 短信炸弹
  • 反序列化
  • 文件上传

怎么去找这些造成安全事件的因素呢?

日志分析

  • 安全设备日志
  • 主机日志
  • 中间件日志
  • 应用程序日志

恶意文件监控

  • 木马
  • Webshell
  • 其他可疑文件

安全威胁情报

什么样的情况下是出现了安全事件呢?

系统运维报告异常

  • 网络丢包
  • 系统频繁重启
  • 系统蓝屏
  • 系统资源占用率过高

业务用户投诉或者抱怨

  • 用户收到异常短信
  • 用户异常退出登陆

被通报

那我们该怎么去判断他的一个影响范围呢?

异常主机所处网络环境

  • 内网接入区
  • 外来接入区
  • 单台主机or多台主机
  • 已被感染or处于危险中

异常主机用途

  • 个人办公主机
  • 特殊权限主机
  • 工控主机
  • 应用服务器
  • 数据库服务器
  • 域控服务器

快速有效分析与侦查的方法

  1. 三要素法

    1. 时间
      1. 攻击发现时间
        1. 报案时间
      2. 后门文件时间
        1. windows
        2. Linux
      3. 异常时间段
        1. Web访问日志
        2. 操作系统日志
        3. 安全设备日志
    2. 地点
      1. 恶意文件首次出现目录
        1. 文件上传
        2. 代码执行
      2. 残留文件所在目录
        1. 自动化攻击
        2. 认为上传/下载
    3. 事件
      1. 应用后台日志
        1. 登陆日志
        2. 上传点
      2. 安全设备日志
        1. 暴力破解
        2. 恶意文件上传
        3. SQL注入
      3. 对外应用访问日志
        1. FTP访问日志
        2. SSH认证日志
        3. 远程桌面日志
      4. 系统日志
        1. web运行账户
        2. root用户
        3. 易受攻击账户

  2. 经验法

    1. 攻击者常用的一些目录
    2. 社会工程学常见手法
      1. 恶意邮件
      2. 钓鱼网站
      3. 微信假扮系统维护人员索要系统账号
    3. 常见的一些服务端口

                        详情请看我的另外一篇文章

                         网络安全练气篇——常见服务端口对应漏洞-CSDN博客

               

三七怪鸽
关注
  • 12
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows应急响应
m0_67401055的博客
05-15 3041
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、准备工作 在
网络安全应急响应有哪些相关知识?
oldboysecurity的博客
12-18 3743
网络安全学习过程中,应急响应是什么?应急响应体系的要素有哪些?应急响应的对象是什么?应急响应的主要意义是什么?应急响应的工作流程是怎样的?是每个网络安全工程师都需要了解的问题。 什么是应急响应? “应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所的准备以及在事件发生后所采取的措施。 网络安全应急响应体系的要素: (一)综合分析与汇聚能力 网络安全领域的应急保障,有其自身较为明显的特点,其对象灵活多变、信息
企业如何建立网络事件应急响应团队?
网络安全知识分享
04-25 1454
事件响应团队是一个专门小组,负责准备、检测和响应网络安全事件。他们评估威胁、减轻损失并帮助恢复,确保组织抵御网络攻击的能力。他们的重点是维护安全并最大限度地减少网络攻击的影响。
应急响应
frinck的博客
09-24 770
1️⃣简介???????? 标准:GB/T 24363-2009,GB/T 20988-2007 ,GB/Z 20985-2009 ,GB/Z 20986-2007 信息安全应急响应计划规范 ⚪️信息安全事件 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。 ⚪️ 应急响应 组织为了应对突发/重大信息安全事件的发生所的准备,以及在事件发生后所...
Windows应急响应(超详细)
csjjjd的博客
07-15 906
要进行应急响应,通俗来讲,首先你得知道攻击你的是啥。常见的攻击归类如下:1.系统入侵:病毒木马、勒索软件、远控后门2.web入侵:网页挂马、主页篡改、Webshell 3.网络攻击:DDOS攻击、DNS劫持、ARP欺骗这个在应急响应整个流程里面还是相对容易的,比如你的网站出事了,被人挂了马或图片,很明显就是web入侵。如果你被勒索或者被挖矿,或者病毒入侵,都可以视为系统入侵,因为已经打到了你的系统层面,可以调用你的一些系统权限,很明显就是一个系统入侵。网络攻击查看一手流量分析,实时监控网络就可以看出,不必多
应急响应基本流程
m0_55854679的博客
05-11 817
应急响应实战笔记 应急响应工具包 文章目录背景简介流程分析准备阶段检测阶段抑制阶段根除阶段恢复阶段总结阶段案例分析红队角度蓝队角度 背景简介 当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。 流程分析 准备阶段 准备阶段需要的是主要是明确资产范围,对可能产生安全问题的地方进行加固。 检测阶段 通过日
能盾智能化应急响应管理平台
NateIT的博客
06-21 644
网络安全应急响应管理平台提升组织应变网络攻击的能力,满足主管部门的监管要求,保障重要信息系统、关键信息基础设施安全稳定运行,提高应对网络安全风险能力。
网络信息系统应急响应
小旺的博客
06-09 792
网络安全应急响应主要是提供一种机制,保证资产在遭受攻击时能够及时地取得专业人员、安全技术等资源的支持,并且保证在紧急的情况下能够按照既定的程序高效有序地开展工作,使网络业务免遭进一步的侵害,或者是在网络资产已经被破坏后还能够在尽可能短的时间内迅速恢复业务系统,减小业务的损失。CNCERT/CC成立于2001年8月,主页为http://www.cert.org.cn/,主要职责是协调我国各计算机网络安全事件应急小组,共同处理国家公共电信基础网络上的安全紧急事件,为国家公共电信基础网络、国家主要网络信息应用系统
谷歌是如何应急响应
weixin_47208161的博客
04-14 615
简介Google 如何帮助保护客户数据应急响应团队架构应急响应流程识别协调处置完成持续改进总结参考资料简介为客户数据维护安全的环境是 Google Cloud 的首要任务。Google 通...
xxx应急响应实施方案.doc
05-12
应急响应实施方案 一、信息安全防护意识和水平提高 本实施方案旨在提高信息安全防护意识和水平,加强信息系统安全体系建设,积极好日常安全工作,开展安全教育和培训工作,建立完善的安全管理、监督和审查制度,...
应急响应取证-20210504.pdf
05-05
网络安全应急响应是信息安全领域的重要组成部分,它涉及到在信息安全事件发生后,迅速采取措施以减轻损失、修复系统并恢复业务运行的整个过程。本部分将详细介绍网络安全事件的概念、分类、分级以及应急响应的流程和...
网络安全应急响应的思考V2.0.pdf
01-04
- **统一指挥**:确保应急响应行动的高效性和协调性。 - **上下联动**:实现各级部门之间的紧密合作。 - **专常兼备**:专业人员与常规工作人员相结合,提高整体响应能力。 #### 流程与制度 - **应急预案**:预先...
应急响应实战checklist.pdf
11-19
应急响应实战checklist是一份面向网络安全专业人员的技术性文档,旨在帮助他们高效地应对各种网络安全事件。文档主要关注WindowsLinux系统下的网络安全事件应急响应处置流程,提供了从信息收集、分析到具体处置的...
应急响应体系下的智能新元素.pdf
08-08
因此,应急响应已经从传统的人工驱动转变为人工智能辅助,实现更加务实、高效的攻防应对。 总的来说,应急响应体系下的智能新元素是现代企业网络安全防护的重要组成部分,通过整合各种数据源,利用智能分析工具,...
【链表在Java中DeBug】
最新发布
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
08-19 126
时,你实际上是在告诉当前节点 cur:“你的下一个节点应该是这个新创建的节点。,你将 cur 的引用更新为新创建的节点,这样 cur 现在就指向了你刚刚添加到链表末尾的节点。实际上,head 是一个固定的引用,它始终指向链表的第一个节点(即头节点)。当你看到链表似乎“增长”了,这实际上是因为你通过操作 cur(当前节点的引用)在链表的末尾添加了新的节点。所以,当你看到链表“增长”时,你实际上是在通过更新节点之间的链接(即 next 指针)来扩展链表结构。它只是保持了对链表起始节点的引用。
【C++】list的模拟实现
2301_77954967的博客
08-16 1380
在 C++ 编程中,模拟实现标准模板库(STL)中的list具有重要意义和广泛的应用场景。list作为一种常用的数据结构,其独特的特性使得在许多情况下能够提供高效和灵活的操作。模拟实现list有助于深入理解其内部工作原理。通过亲手编写代码来模拟 list 的各种功能,如节点的创建、插入、删除、遍历等,可以清晰地掌握数据在链表中的存储和流动方式,这对于提升对数据结构的理解和编程能力至关重要。在实际应用中,list 常用于需要频繁进行插入和删除操作的场景。
Spring cloud是如何继承Feign的
不知跬步无至千里
08-16 342
从源码维度分析,Spring cloud是如何集成Feign的,帮助快速理解
代码随想录第三天 | 链表
qq_37206769的博客
08-19 67
/ 单链表的节点定义int data;// 节点上存储的元素// 指向下一个节点的指针ListNode(int val) : data(val), next(nullptr) {} // 节点的构造函数// 双链表的节点定义int data;// 定义一个长度为n的链表。
华为智慧应急指挥解决方案:打造高效应急响应
"华为智慧应急指挥解决方案旨在通过先进的信息技术,如人工智能、大数据分析、云计算等,来提升应急响应效率和决策质量。方案针对现有应急管理体系中的挑战,包括监测预警不完善、资源共享不充分、综合监管不闭环、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三七怪鸽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值