【网络安全】安全事件管理处置 — 安全事件处置思路指导

专栏文章索引:网络安全

有问题可私聊:QQ:3375119339

目录

一、处理DDOS事件

1.准备工作

2.预防工作

3.检测与分析

4.限制、消除

5.证据收集

二、处理恶意代码事件

1.准备

2.预防

3.检测与分析

4.限制

5.证据收集

6.消除与恢复

三、处理未授权访问事件

1.准备

2.预防

3.检测与分析

4.限制、消除

5.证据收集

6.恢复

四、处理复合型安全事件

1.建议


一、处理DDOS事件

  • 事件定义:拒绝服务攻击是通过消耗CPU、内存、带宽或磁盘空间阻碍或破坏对网络、系统或应用的合法使用。

  • 常见DDOS类型有:
    • 反射式DDOS
    • 应用型DDOS
    • SYN FLOOD等

1.准备工作

  • 与ISP及相关服务商沟通,在遭受DDOS时,他们能提供什么服务。如流量清洗、封掉目的IP、限制某类流量的上限、提供DDOS流量日志。并确立明确的帮助流程与人员对接、及响应时间等
  • 部署IDS来检测DDOS攻击
  • 对现有网络资源进行监控,建立利用率基线
  • 建立网络性能检查的监控

2.预防工作

  • 使用严格的防火墙规则,禁用某些流量,如echo、chargen、ssdp
  • 使用源地址过滤设备,过滤伪造源地址流量
  • 对某些协议的比例进行限制,如ICMP
  • 对关键的应用和设备实现冗余配置,如多ISP、FW
  • 使用CDN保护WEB

3.检测与分析

  • DDOS 攻击的前兆
    • 在DDOS攻击开始前,一般会有小规模的试探型攻击。
      • 应对措施:根据试探攻击的特征来进行防护,或者迁移目标主机,加强对目标主机的保护
    • 新发布的DDOS利用工具,如2018年2月,攻击Github的memcached
      • 应对措施:分析新工具的特征,如memcached使用UDP 11211端口,可以联系ISP或在边界上过滤UDP11211的流量

  • DDOS 攻击的迹象
    • 用户报告系统不可用
    • 无故的连接丢失
    • 网络入侵检测报警
    • 主机入侵检测报警
    • 网络带宽利用率提高
    • 大量到单台主机的连接
    • 不对称的网络流量,进多出少
    • 防火墙或路由器日志
    • 数据包源地址不正常

4.限制、消除

  • 选择限制策略
    • 对被利用的弱点或缺陷进行修补
    • 根据攻击特征进行过滤
    • 借助ISP力量进行过滤
    • 重新部署受攻击目标
    • 对攻击者进行反攻

5.证据收集

  • 通过观察流量来发现攻击源
  • 通过ISP进行追踪
  • 了解僵尸网络主机是如何被控制
  • 检查大量日志记录

二、处理恶意代码事件

  • 恶意代码指的是一种被隐蔽插入到另一个程序中的程序,其目的是破坏数据、执行破坏性和入侵性程序或破坏受害者数据的安全性和完整性
  • 恶意代码类型:
    • 病毒
    • 木马
    • 蠕虫
    • 混合型

1.准备

  • 提高用户意识,使用户意识到恶意代码
  • 获取反病毒厂商关于最新恶意代码的通告
  • 对关键主机部署基于主机的IDS
  • 在边界上限制知名的木马连接端口

2.预防

  • 使用防病毒软件
  • 限制特定后缀的文件,如vbs、ps
  • 限定一些工具对文件的传输,如即时消息、网盘等
  • 教育用户安全的处理邮件
  • 关闭windows隐藏共享
  • 配置浏览器策略
  • 配置邮件客户端

3.检测与分析

  • 恶意代码前兆
    • 公开了一个对组织所使用软件的恶意代码利用,如2017年office公式编辑器漏洞
    • 反病毒软件成功隔离了一个新的文件

  • 恶意代码的迹象
    • 反病毒服务器报警文件被感染
    • 收发邮件数量突然大量增加
    • OFFICE经常使用的模板发生了变化
    • 屏幕上出现不正常的东西
    • 出现不正常的对话框或请求批准
    • 计算机或程序启动很慢
    • 系统不稳定和崩溃
    • 存在未知本机与远程的连接
    • 不正常的端口开启
    • 一些未知的进程正在运行
    • 主机产生大量的对外流量

4.限制

  • 限制策略
    • 确定并隔离受感染主机
    • 发送未知的病毒样本给反病毒厂商
    • 配置邮件服务器来限制邮件传播
    • 阻挡特定的主机,通常是木马的控制服务器
    • 关闭邮件服务器
    • 断开局域网与因特网的连接

5.证据收集

  • 尽管可以通过主机日志收集到证据,但恶意代码自身是可以互相传播。
  • 确定恶意代码的来源是比较困难的
  • 分析病毒样本的网络特性可能会更有意义

6.消除与恢复

  • 对受感染的文件进行杀毒、隔离、删除、替换
  • 修复被恶意代码利用的弱点,如MS17-010
    • 使用未受感染的备份进行恢复

三、处理未授权访问事件

  • 未经授权访问就是指访问者通过非法手段,在未经允许的情况下获得使用资源的权限。

  • 实现未授权访问的方式有:
    • 利用系统或程序漏洞
    • 非法获取用户名和口令
    • 社会工程学

  • 常见的未授权访问事件:
    • 非法获取服务器root权限
    • 非法修改网站主页
    • 暴力破解口令
    • 数据库脱库
    • 网络监听获取口令

1.准备

  • 配置基于主机的IDS
  • 使用集中的日志服务器并设置告警
  • 防止暴力破解 (使用验证码、账号锁定、强密码策略等)

2.预防

  • 对网络未授权访问的预防:
    • 配置默认拒绝的防火墙策略
    • 使用合理的VPN身份验证,如双因子验证
    • 划分DMZ区域,并做好区域间访问控制
    • 对内网服务器使用私有IP地址,通过NAT转换连网

  • 对主机未授权访问的预防:
    • 定期进行漏洞扫描
    • 关闭主机上不必要的服务
    • 使用普通用户运行服务,如新建一个apache的账号运行apache服务
    • 开启主机自带防火墙,如windows firewall 、 iptables
    • 设置自动锁屏和注销会话的策略
    • 定期检查权限配置

  • 对用户未授权访问的预防:
    • 启用复杂的口令策略
    • 在关键系统上使用双因素验证
    • 使用强加密算法保护口令
    • 建立完整的账号生命周期管理流程

3.检测与分析

  • 未授权访问的征兆
    • 对系统的扫描侦察活动发生了异象,如每天大量的扫描变突然减少
    • 一个新的远程利用漏洞公开,如针对IIS的缓冲区溢出
    • 用户反馈收到诱骗邮件,需要用户名输入账号密码
    • 一些登录失败的日志

  • 未授权访问迹象:
    • 主机上存安全相关利用工具
    • 主机上有不正常的流量
    • 主机系统配置发生变化,如进程服务增加、端口增加、日志策略更改
    • 重要数据、特权发生变化
    • 无法解释的账户登录或使用
    • 资源利用率发生明显变化
    • IDS的报警
    • 异常的日志

  • 未授权访问事件一般会分步进行
    • 进行扫描侦察工作,发现弱点
    • 侦察结束后,会利用弱点进行未授权访问
    • 获取基本用户权限后,会利用提权漏洞来获取管理员权限
    • 获取管理员权限后会使用rootkit技术来隐藏后门

4.限制、消除

  • 限制策略
    • 隔离受影响的系统
    • 禁用受影响的服务
    • 消除攻击者进入系统的路径
    • 禁用可能被利用的账号
    • 加强物理安全保护

5.证据收集

  • 如果怀疑系统被未授权访问, 安全处理人员应立即对系统做完整的映像备份。
  • 同时要保存主机、应用、IDS、防火墙日志
  • 如果发生物理安全问题,则保存门禁系统日志、监控视频等证据

6.恢复

  • 对系统的恢复工作可以基于攻击者获取权限的程序
  • 如攻击者获取了管理员权限,建议是从备份中恢复系统,而不是修复系统。因为很难保证rootkit的检测完整
  • 如果攻击者只获取部分权限,可以依据日志行为分析攻击者文件。进而恢复。

四、处理复合型安全事件

  • 复合型安全事件是指一次安全事件中包含多种安全事件,如
    • 某恶意代码通过邮件感染了员工PC
    • 攻击者利用被感染PC破坏了其它服务器或PC
    • 攻击者利用获取到权限的设备发起DDOS攻击

  • 这次安全事件包含:恶意代码事件、多起未授权访问、DDOS事件
  • 复合型安全事件分析起来往往非常困难
  • 安全人员可能只意识到其中一部分,而没有认识到整体的安全事件
  • 处理人员可能知道是多起安全事件,但无法分析其联系
  • 处理复合型事件需要丰富的安全事件处理经验
  • 其准备、预防工作要包含全面,对组织要求较高
  • 处理人员应该限制最先发现的安全事件
  • 但安全事件的优先级也同样重要
  • 正进行DDOS攻击优先级应该高于一个月前暴发病毒

1.建议

  • 使用集中式日志系统和事件关联分析软件
  • 限制最初的安全事件,然后查找其它部分的征兆
  • 单独对安全事件进行优先级排序


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/313936.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

游戏新手村18:游戏广告渠道与广告形式

上文我们说到,渠道为王,渠道可以为我们带来流量和用户,进而带来收入。我们可以通过哪些渠道导入用户呢?每个渠道有哪些优劣呢?在进行游戏营销推广的时候我们该如何选择呢? 根据付费性质,我们可…

鸿蒙ArkUI实战开发-如何通过上下滑动实现亮度和音量调节

场景说明 在音视频应用中通常可以通过上下滑动来调节屏幕亮度和音量大小,本例即为大家介绍如何实现上述UI效果。 说明: 由于当前亮度和音量调节功能仅对系统应用开发,所以本例仅讲解UI效果的实现。 效果呈现 本例效果如下: 当在…

iOS - 多线程-GCD-队列组

文章目录 iOS - 多线程-GCD-队列组1. 队列组1.1 基本使用步骤 iOS - 多线程-GCD-队列组 开发过程中,有时候想实现这样的效果 多个任务并发执行所有任务执行完成后,进行下一步处理(比如回到主线程刷新UI) 1. 队列组 可以使用GC…

区间图着色问题:贪心算法设计及实现

区间图着色问题:贪心算法设计及实现 1. 问题定义2. 贪心算法设计2.1 活动排序2.2 分配教室2.3 算法终止 3. 伪代码4. C语言实现5. 算法分析6. 结论7. 参考文献 在本文中,我们将探讨如何使用贪心算法解决一个特定的资源分配问题,即区间图着色问…

ruby 配置代理 ip(核心逻辑)

在 Ruby 中配置代理 IP,可以通过设置 Net::HTTP 类的 Proxy 属性来实现。以下是一个示例: require net/http// 获取代理Ip:https://www.kuaidaili.com/?refrg3jlsko0ymg proxy_address 代理IP:端口 uri URI(http://www.example.com)Net:…

【002_音频开发_基础篇_Linux音频架构简介】

002_音频开发_基础篇_Linux音频架构简介 文章目录 002_音频开发_基础篇_Linux音频架构简介创作背景Linux 音频架构ALSA 简介ASoC 驱动硬件架构软件架构MachinePlatformCodec ASoC 驱动 PCMALSA设备文件结构 ALSA 使用常用概念alsa-libALSA Open 流程ALSA Write 流程2种写入方法…

Android Studio查看viewtree

前言:之前开发过程一直看的是手机上开发者选项中的显示布局边界,开关状态需要手动来回切换,今天偶然在Android Studio中弄出了布局树觉得挺方便的。

【STM32F407+CUBEMX+FreeRTOS+lwIP之TCP记录】

STM32F407CUBEMXFreeRTOSlwIP之TCP记录 注意TCP client(socket)示例 TCP_server(socket)效果 注意 如果连接失败,建议关一下代理软件。 配置方面可以参考一下上一篇UDP的文章 STM32F407CUBEMXFreeRTOSlwIP之UDP记录 TCP client(socket) #define LWIP_DEMO_PORT 8…

【C语言__指针02__复习篇12】

目录 前言 一、数组名的理解 二、使用指针访问数组 三、一维数组传参的本质 四、冒泡排序 五、二级指针 六、指针数组 七、指针数组模拟二维数组 前言 本篇主要讨论以下问题: 1. 数组名通常表示什么,有哪两种例外情况,在例外情况中…

【论文浅尝】Phi-3-mini:A Highly Capable Language Model Locally on Your Phone

Phi-3-mini phi-3-mini,一个3.8亿个参数的语言模型,训练了3.3万亿个token,其总体性能,通过学术基准和内部测试进行衡量,可以与Mixtral 8x7B和GPT-3.5等模型相媲美(在MMLU上达到69%,在MT-bench上达到8.38)&…

Maya vs Blender:制作3D动画首选哪一个?

就 3D 动画而言,有两款3D软件引发了最多的争论:Blender 与 Maya。这两个强大的平台都提供强大的工具集,使动画故事和角色栩栩如生。但作为一名3D动画师,您应该投入时间学习和创作哪一个呢?下面我将从以下六点给您一个清…

用Python将原始边列表转换为邻接矩阵

👽发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【点击进入巨牛的人工智能学习网站】。 在图论和网络分析中,图是一种非常重要的数据结构,它由节点&#xff…

C++感受6-Hello World 交互版

变量、常量输入、输出、流getline() 函数读入整行输入Hello() 函数复习新定义函数 Input() 实现友好的人机交互还有 “痘痘” 为什么挤不到的分析…… 1. DRY 原则简介 上一节课,我们写了两版“问候”程序。第一版的最大问题是重复的内容比较多,每一次问…

运行django

确保app被注册 urls.py中编写url 视图对应关系 命令行启动 python manage.py runserver

完美运营版商城/拼团/团购/秒杀/积分/砍价/实物商品/虚拟商品等全功能商城

源码下载地址:完美运营版商城.zip 后台可以自由拖曳修改前端UI页面 还支持虚拟商品自动发货等功能 挺不错的一套源码 前端UNIAPP 后端PHP 一键部署版本

Python浅谈清朝秋海棠叶版图

1、清朝疆域概述: 清朝是我国最后一个封建王朝,其始于1616年建州女真部努尔哈赤建立后金,此后统一女真各部、东北地区。后又降服漠南蒙古,1644年入关打败农民起义军、灭南明,削三藩,复台湾。后又收外蒙&am…

网络安全之防范钓鱼邮件

随着互联网的快速发展,新的网络攻击形式“网络钓鱼”呈现逐年上升的趋势,利用网络钓鱼进行欺骗的行为越来越猖獗,对互联网的安全威胁越来越大。网络钓鱼最常见的欺骗方式就是向目标群体发送钓鱼邮件,而邮件标题和内容,…

Qt配置CMake出错

一个项目需要在mingw环境下编译Opencv源码,当我用Qt配置opencv的CMakeLists.txt时,出现了以下配置错误: 首先我根据下述博文介绍,手动配置了CMake,但仍不能解决问题。 Qt(MinGW版本)安装 - 夕西行 - 博客园 (cnblogs.…

使用CNN实现新闻文本分类

一、实验目的: 理解卷积神经网络的基本概念和原理;了解卷积神经网络处理文本数据的基本方法;掌握卷积神经网络处理文本数据的实践方法,并实现新闻文本的分类任务。 实验要求: 使用Keras框架定义并训练卷积神经网络模…

【BFPTR】震惊!竟然还有比 快速排序 更快的算法...

在介绍 堆 和 加强堆 的文章中,我们探讨了当有新的元素加入时,如何实时更新前 K 个元素的方法。 (还没学习过的小伙伴赶快关注,在 「堆」 合集里查看哦!) 今天我们介绍一种新的方法,使用 bfp…