应急响应-深育杯
应急响应-深育杯
网络安全应急响应简介
理解为什么需要应急响应
应急响应起源
1988年,美国康乃尔大学一年级研究生罗伯特·莫里斯(23岁)写了一个99行的恶意程序。
莫里斯蠕虫是通过因特网传播的第一种蠕虫病毒,也是依据美国1986年的《计算机欺诈及滥用法案》而定罪的第一宗案件。最后罗伯特也被定罪,被判3年缓刑、400 小时社区服务及 1万美元的罚金。
1988年11月,发布到因特网上的莫里斯蠕虫病毒导致当时互联网中十分之一的计算机被感染而瘫痪,数据和资料遭大量损毁
随后,美国国防部高级研究计划局(DARPA)资助卡内基·梅隆大学成立了计算机应急响应小组(Computer Emergency ResponseTeam,缩写CERT),设在卡内基·梅隆大学内。该小组是因特网安全的“监督者”,致力于确保适当的技术和系统管理实践的组织,抵御对网络系统的攻击并限制损害
CERT/CC服务的内容
- 安全事件响应
- 安全事件分析和软件安全缺陷研究
- 缺陷知识库开发
- 信息发布:缺陷、公告、总结、统计、补丁、工具
- 教育与培训:CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训
- 指导其它CSIRT(也称IRT、CERT)组织建设
理解应急响应概念
应急响应(emergency response)组织为预防、监控、处置和管理应急事件所采取的措施和活动(GB/T28827.3-2012应急响应规范)
应急事件(emergency event)导致或即将导致运行服务对象运行中断、运行质量降低,以及需要实施重点时段保障的事件(GB/T28827.3-2012 应急响应规范)
网络安全应急响应是指有组织和协调的一系列步骤,使用技术或管理手段快速解决或减轻已报告的事件的策略与规程。
- 应急响应与安全事件处置
- 应急响应客体即安全事件
- 应急响应更加强调,重大、突发、对业务运行造成影响的安全事件处理
- 常规的安全事件处置应是一个常态化的工作
- 总结来说,应急响应是安全事件处置中比较特别的一类处置
信息安全强调的是技术与管理,在应急响应上这点也非常突出
应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减少安全事件带来的影响
- 停止或尽量减少攻击影响
- 防止同类事情再次发生
- 加强防御姿态和准备
了解应急响应流程
参照NIST SP800-61,应急响应流程分为4个阶段即
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
- 准备
- 检测分析
- 跟踪总结
- 限制、消除和恢复
准备阶段
建立应急响应组织
- 人员、职责、服务范围
制定应急响应制度
- 目标、原则、范围、各项管理制度
风险评估与改进
事件分级标准
应急预案
应急演练方案
在准备阶段要完成几件重要的事
- 风险评估,标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性。
- 业务影响分析(Business lmpact Analysis),在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标。
- 系统恢复能力等级,为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持及数据零丢失和远程集群支持等6个等级
- 恢复目标确定,恢复时间目标(RTO)和恢复点目标(RPO)
检测和分析
检测分析阶段,强调持续
检测目标
- 业务系统、支撑系统、网络设备、安全设备、物理环境等
检测来源
- 安全系统日志、文件完整性、第三方监测服务、日志、罐等
前兆和迹象
前兆,事件发生前的现象,如ddos试攻击、扫描
迹象,事件已经发生的现象,如进程中断、日志暴增
分析阶段
确定事件原因
确定事件性质,分级分类
事件分析建议
网络和系统特征,如流量大小,开放端口数量
熟悉正常的行为,来判断异常集中收集日志
开展关联性分析
保证时间同步
建立知识库
安全事件响应优先级,可以参照业务影响分析(BIA)的结果,也可以建立一个表格来进行判断
启动应急响应
启动原则–快速、有序
启动依据–受损程度
启动方法–由应急响应领导小组发布启动
记录所有操作,直到应急响应结束
确定事态严重程度与损害评估后,应通知应急响应领导小组,事先制定通知路径
信息安全事件发生后,应按照相关规定和要求,及时将情况上报相关主管或监管单位/部门
限制阶段
限制策略,在安全事件检测并分析后,在造成更大破坏前进行限制
针对不同事件会有不同限制策略
限制过程中应考虑
资源的潜在破坏和失窃
对证据收集影响,如重启后会丢失当前内存
服务的可用性
执行策略所需资源和时间
限制策略的有效性
消除和恢复阶段
- 消除工作
- 清除恶意代码、禁用违规账号
- 有时,消除工作可以跳过,直接进行恢复
- 恢复工作,直接将系统从备份中恢复到正常状态,并加固
- 恢复工作之后,需要加强监视
- 恢复工作优先级可以参照业务影响分析
- 恢复后,通告应急结束
跟踪总结
- 事件原因、发生时间
- 事件处置流程如何?是否合规?
- 是否能改进事件处置?
- 如何加强预防?
- 如何加强检测?
应急响应团队
组织应结合本单位日常机构建立信息安全应急响应的团队,并明确其职责。其中一些人可负责两种或多种职责,一些职位可由多人担任
领导小组是决定应急响应团队成立的要素,因为
- 管理层责任声明
- 适用范围声明
- 团队目的和目标
- 组织结构及相关角色
- 对安全事件的等级划分
- 报告及联系方式
安全事件分级分类
安全事件分级
- 在对安全事件的应急响应过程中,有一重要环节是对安全事件进行分级分类
- 在不同标准中不同场景下,对安全事件的分级分类标准也不同
- 依据对安全事件分级分类,可以快速的判断安全事件的第一处置措施
参照中央网信办2017年6月印发的《国家网络安全事件应急预案》将网络安全事件分为4级
- 特别重大网络安全事件
- 重大网络安全事件
- 较大网络安全事件
- 一般网络安全事件
特别重大网络安全事件
- 重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
- 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
- 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件
重大网络安全事件
- 重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
- 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
- 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
较大网络安全事件
- 重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
- 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
- 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
一般网络安全事件
- 除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
网络和信息系统损失程度划分说明
全事件分级有更详细指标依据《GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南》
应急事件划分
参照GBT 28827.3–2012 信息技术服务 运维维护 第3部分:应急响应规范
首先,应急事件分级参考因素有三个维度
- 信息系统的重要程度
- 信息系统服务时段
- 信息系统受损程度
信息系统的重要程度
- 信息系统安全利益主体
- 信息系统处理的业务信息类别
- 信息系统服务范围
- 业务对信息系统的依赖程度
信息系统服务时段赋值表
信息系统损失程度赋值表
事件定级步骤,将上述三个要素赋值
- 信息系统的重要程度,取值1-4
- 信息系统服务时段赋值表,取值1-3
- 信息系统损失程度赋值表,取值1-3
将三要素相乘,得到取值范围为1~36,其中
- 三级事件为1~6
- 二级事件为8~18
- 一级事件为26~36
安全事件分类
国家标准 GB/Z20986-2007《信息安全事件分类指南》根据信息安全事件的起因、表现、结果等,将信息安全事件分为7个基本分类,每个基本分类包括若干个子类。
一、恶意程序事件(计算机病毒事件,蠕虫事件,特洛伊木马事件,僵尸网络事件,混合攻击程序事件,网页内嵌恶意代码事件,其他有害程序事件)
二、网络攻击事件(拒绝服务器攻击事件,后门攻击事件,漏洞攻击事件,网络扫描窃听事件,网络钓鱼事件,干扰事件,其他网络攻击事件)
三、信息破坏事件(信息篡改事件,信息假冒事件,信息泄露事件,信息窃取事件,信息丢失事件,其他信息破坏事件)
四、信息内容安全事件(违反宪法和法律,行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件、组织串联,煽动集会游行的信息安全事件、其他信息内容安全事件)
五、设备设施故障(软硬件自身故障、外围保障设施故障、人为破坏事故其他设备设施故障)
六、灾害性事件
七、其他信息安全事件
在企业层面,不同企业有不同的应用场景与业务需求。所以事件的分级与响应没有统一执行的标准。
实际在执行过程可以借鉴ISO 27005风险管理的方法,来执行企业的安全
事件定义
或者依据国家标准,简单的从受影响人数、经济损失、系统中断时长来定义安全事件等级,进而采取不同响应
安全事件处置思路
处理DDOS事件
事件定义:拒绝服务攻击是通过消耗CPU、内存、带宽或磁盘空间阻碍或破坏对网络、系统或应用的合法使用
常见DDOS类型:
- 反射式
- 应用型
- SYN FLOOD等
准备工作
- 与ISP及相关服务商沟通,在遭受DDOS时,他们能提供什么服务。如流量清洗、封掉目的IP、限制某类流量的上限、提供DDOS流量日志。并确立明确的帮助流程与人员对接、及响应时间等
- 部署IDS来检测DDOS攻击
- 对现有网络资源进行监控,建立利用率基线
- 建立网络性能检查的监控
预防工作
- 使用严格的防火墙规则,禁用某些流量,如echo、chargen、ssdp
- 使用源地址过滤设备,过滤伪造源地址流量
- 对某些协议的比例进行限制,如ICMP对关键的应用和设备实现冗余配置,如多ISP、FW
- 使用CDN保护WEB
检测与分析
DDOS攻击的前兆
在DDOS攻击开始前,一般会有小规模的试探型攻击
- 应对措施:根据试探攻击的特征来进行防护,或者迁移目标主机,加强对目标主机的保护
新发布的DDOS利用工具,如2018年2月,攻击Github的memcached
- 应对措施:分析新工具的特征,如memcached使用UDP11211端口,可以联系ISP或在边界上过滤UDP11211的流量
DDOS攻击的迹象
- 用户报告系统不可用
- 无故的连接丢失
- 网络入侵检测报警
- 主机入侵检测报警
- 网络带宽利用率提高
- 大量到单台主机的连接
- 不对称的网络流量,进多出少
- 防火墙或路由器日志
- 数据包源地址不正常
限制、消除
选择限制策略
- 对被利用的弱点或缺陷进行修补
- 根据攻击特征进行过滤
- 借助ISP力量进行过滤
- 重新部署受攻击目标
- 对攻击者进行反攻
证据收集
- 通过观察流量来发现攻击源
- 通过ISP进行追踪
- 了解僵尸网络主机是如何被控制
- 检查大量日志记录
处理恶意代码事件
恶意代码指的是一种被隐蔽插入到另一个程序中的程序,其目的是破坏数据、执行破坏性和入侵性程序或破坏受害者数据的安全性和完整性
恶意代码类型:病毒、木马、蠕虫、混合型
准备工作
- 提高用户意识,使用户意识到恶意代码
- 获取反病毒厂商关于最新恶意代码的通告
- 对关键主机部署基于主机的IDS
- 在边界上限制知名的木马连接端口
预防
- 使用防病毒软件
- 限制特定后缀的文件,如vbs、ps
- 限定一些工具对文件的传输,如即时消息、网盘等
- 教育用户安全的处理邮件
- 关闭windows隐藏共享
- 配置浏览器策略
- 配置邮件客户端
检测与分析
恶意代码前兆
公开了一个对组织所使用软件的恶意代码利用,如2017年office公式编辑器漏洞
反病毒软件成功隔离了一个新的文件
恶意代码的迹象
反病毒服务器报警文件被感染
收发邮件数量突然大量增加
OFFICE经常使用的模板发生了变化
屏幕上出现不正常的东西
出现不正常的对话框或请求批准
计算机或程序启动很慢
系统不稳定和崩溃
存在未知本机与远程的连接
不正常的端口开启一些未知的进程
正在运行主机产生大量的对外流量
限制
限制策略
- 确定并隔离受感染主机
- 发送未知的病毒样本给反病毒厂商
- 配置邮件服务器来限制邮件传播
- 阻挡特定的主机,通常是木马的控制服务器
- 关闭邮件服务器
- 断开局域网与因特网的连接
证据收集
- 尽管可以通过主机日志收集到证据,但恶意代码自身是可以互相传播
- 确定恶意代码的来源是比较困难的
- 分析病毒样本的网络特性可能会更有意义
消除和恢复
- 对受感染的文件进行杀毒、隔离、删除、替换
- 修复被恶意代码利用的弱点,如MS17-010
- 使用未受感染的备份进行恢复
处理未授权访问事件
未经授权访问就是指访问者通过非法手段,在未经允许的情况下获得使用资源的权限。
实现未授权访问的方式有:
- 利用系统或程序漏洞
- 非法获取用户名和口令
- 社会工程学
常见的未授权访问事件:
- 非法获取服务器root权限
- 非法修改网站主页
- 暴力破解口令
- 数据库脱库
- 网络监听获取口令
准备工作
- 配置基于主机的IDS
- 使用集中的日志服务器并设置告警
- 防止暴力破解 (使用验证码、账号锁定、强密码策略等)
对网络未授权访问的预防:
- 配置默认拒绝的防火墙策略
- 使用合理的VPN身份验证,如双因子验证
- 划分DMZ区域,并做好区域间访问控制
- 对内网服务器使用私有IP地址,通过NAT转换连网
对主机未授权访问的预防:
- 定期进行漏洞扫描
- 关闭主机上不必要的服务
- 使用普通用户运行服务,如新建一个apache的账号运行apache服务
- 开启主机自带防火墙,如windows firewall、iptables
- 设置自动锁屏和注销会话的策略
- 定期检查权限配置
预防工作
对用户未授权访问的预防:
- 启用复杂的口令策略
- 在关键系统上使用双因素验证
- 使用强加密算法保护口令
- 建立完整的账号生命周期管理流程
检测与分析
未授权访问的征兆
- 对系统的扫描侦察活动发生了异象,如每天大量的扫描变突然减少
- 一个新的远程利用漏洞公开,如针对IS的缓冲区溢出
- 用户反馈收到诱骗邮件,需要用户名输入账号密码
- 一些登录失败的日志
未授权访问迹象:
- 主机上存安全相关利用工具
- 主机上有不正常的流量
- 主机系统配置发生变化,如进程服务增加、端口增加、日志策略更改
- 重要数据、特权发生变化
- 无法解释的账户登录或使用
- 资源利用率发生明显变化
- IDS的报警
- 异常的日志
未授权访问事件一般会分步进行
- 进行扫描侦察工作,发现弱点
- 侦察结束后,会利用弱点进行未授权访问
- 获取基本用户权限后,会利用提权漏洞来获取管理员权限
- 获取管理员权限后会使用rootkit技术来隐藏后门
限制、消除
限制策略
- 隔离受影响的系统
- 禁用受影响的服务
- 消除攻击者进入系统的路径
- 禁用可能被利用的账号
- 加强物理安全保护
证据收集
如果怀疑系统被未授权访问,安全处理人员应立即对系统做完整的映像备份。
同时要保存主机、应用、IDS、防火墙日志
如果发生物理安全问题,则保存门禁系统日志、监控视频等证据
恢复
- 对系统的恢复工作可以基于攻击者获取权限的程序
- 如攻击者获取了管理员权限,建议是从备份中恢复系统,而不是修复系统,因为很难保证rootkit的检测完整
- 如果攻击者只获取部分权限,可以依据日志行为分析攻击者文件。进而恢复。
处理复合型安全事件
复合型安全事件是指一次安全事件中包含多种安全事件,如
某恶意代码通过邮件感染了员工PC
攻击者利用被感染PC破坏了其它服务器或PC
攻击者利用获取到权限的设备发起DDOS攻击
复合型安全事件分析起来往往非常困难
安全人员可能只意识到其中一部分,而没有认识到整体的安全事件
处理人员可能知道是多起安全事件,但无法分析其联系
处理复合型事件需要丰富的安全事件处理经验
其准备、预防工作要包含全面,对组织要求较高
处理人员应该限制最先发现的安全事件
但安全事件的优先级也同样重要
正进行DDOS攻击优先级应该高于一个月前暴发病毒
使用集中式日志系统和事件关联分析软件
限制最初的安全事件,然后查找其它部分的征兆
单独对安全事件进行优先级排序
Windows应急响应
账户排查
账户排查主要包含以下几个维度
登录服务器的途径
弱口令
可疑账号
新增账号
隐藏账号
克隆账号
服务器是否存在被远程登录的途径或弱口令
- 3389
- smb,445
- http
- ftp
- 数据库
- 中间件