【网络安全】安全事件管理处置 — 安全事件处置思路指导

专栏文章索引:网络安全

有问题可私聊:QQ:3375119339

目录

一、处理DDOS事件

1.准备工作

2.预防工作

3.检测与分析

4.限制、消除

5.证据收集

二、处理恶意代码事件

1.准备

2.预防

3.检测与分析

4.限制

5.证据收集

6.消除与恢复

三、处理未授权访问事件

1.准备

2.预防

3.检测与分析

4.限制、消除

5.证据收集

6.恢复

四、处理复合型安全事件

1.建议


一、处理DDOS事件

  • 事件定义:拒绝服务攻击是通过消耗CPU、内存、带宽或磁盘空间阻碍或破坏对网络、系统或应用的合法使用。

  • 常见DDOS类型有:
    • 反射式DDOS
    • 应用型DDOS
    • SYN FLOOD等

1.准备工作

  • 与ISP及相关服务商沟通,在遭受DDOS时,他们能提供什么服务。如流量清洗、封掉目的IP、限制某类流量的上限、提供DDOS流量日志。并确立明确的帮助流程与人员对接、及响应时间等
  • 部署IDS来检测DDOS攻击
  • 对现有网络资源进行监控,建立利用率基线
  • 建立网络性能检查的监控

2.预防工作

  • 使用严格的防火墙规则,禁用某些流量,如echo、chargen、ssdp
  • 使用源地址过滤设备,过滤伪造源地址流量
  • 对某些协议的比例进行限制,如ICMP
  • 对关键的应用和设备实现冗余配置,如多ISP、FW
  • 使用CDN保护WEB

3.检测与分析

  • DDOS 攻击的前兆
    • 在DDOS攻击开始前,一般会有小规模的试探型攻击。
      • 应对措施:根据试探攻击的特征来进行防护,或者迁移目标主机,加强对目标主机的保护
    • 新发布的DDOS利用工具,如2018年2月,攻击Github的memcached
      • 应对措施:分析新工具的特征,如memcached使用UDP 11211端口,可以联系ISP或在边界上过滤UDP11211的流量

  • DDOS 攻击的迹象
    • 用户报告系统不可用
    • 无故的连接丢失
    • 网络入侵检测报警
    • 主机入侵检测报警
    • 网络带宽利用率提高
    • 大量到单台主机的连接
    • 不对称的网络流量,进多出少
    • 防火墙或路由器日志
    • 数据包源地址不正常

4.限制、消除

  • 选择限制策略
    • 对被利用的弱点或缺陷进行修补
    • 根据攻击特征进行过滤
    • 借助ISP力量进行过滤
    • 重新部署受攻击目标
    • 对攻击者进行反攻

5.证据收集

  • 通过观察流量来发现攻击源
  • 通过ISP进行追踪
  • 了解僵尸网络主机是如何被控制
  • 检查大量日志记录

二、处理恶意代码事件

  • 恶意代码指的是一种被隐蔽插入到另一个程序中的程序,其目的是破坏数据、执行破坏性和入侵性程序或破坏受害者数据的安全性和完整性
  • 恶意代码类型:
    • 病毒
    • 木马
    • 蠕虫
    • 混合型

1.准备

  • 提高用户意识,使用户意识到恶意代码
  • 获取反病毒厂商关于最新恶意代码的通告
  • 对关键主机部署基于主机的IDS
  • 在边界上限制知名的木马连接端口

2.预防

  • 使用防病毒软件
  • 限制特定后缀的文件,如vbs、ps
  • 限定一些工具对文件的传输,如即时消息、网盘等
  • 教育用户安全的处理邮件
  • 关闭windows隐藏共享
  • 配置浏览器策略
  • 配置邮件客户端

3.检测与分析

  • 恶意代码前兆
    • 公开了一个对组织所使用软件的恶意代码利用,如2017年office公式编辑器漏洞
    • 反病毒软件成功隔离了一个新的文件

  • 恶意代码的迹象
    • 反病毒服务器报警文件被感染
    • 收发邮件数量突然大量增加
    • OFFICE经常使用的模板发生了变化
    • 屏幕上出现不正常的东西
    • 出现不正常的对话框或请求批准
    • 计算机或程序启动很慢
    • 系统不稳定和崩溃
    • 存在未知本机与远程的连接
    • 不正常的端口开启
    • 一些未知的进程正在运行
    • 主机产生大量的对外流量

4.限制

  • 限制策略
    • 确定并隔离受感染主机
    • 发送未知的病毒样本给反病毒厂商
    • 配置邮件服务器来限制邮件传播
    • 阻挡特定的主机,通常是木马的控制服务器
    • 关闭邮件服务器
    • 断开局域网与因特网的连接

5.证据收集

  • 尽管可以通过主机日志收集到证据,但恶意代码自身是可以互相传播。
  • 确定恶意代码的来源是比较困难的
  • 分析病毒样本的网络特性可能会更有意义

6.消除与恢复

  • 对受感染的文件进行杀毒、隔离、删除、替换
  • 修复被恶意代码利用的弱点,如MS17-010
    • 使用未受感染的备份进行恢复

三、处理未授权访问事件

  • 未经授权访问就是指访问者通过非法手段,在未经允许的情况下获得使用资源的权限。

  • 实现未授权访问的方式有:
    • 利用系统或程序漏洞
    • 非法获取用户名和口令
    • 社会工程学

  • 常见的未授权访问事件:
    • 非法获取服务器root权限
    • 非法修改网站主页
    • 暴力破解口令
    • 数据库脱库
    • 网络监听获取口令

1.准备

  • 配置基于主机的IDS
  • 使用集中的日志服务器并设置告警
  • 防止暴力破解 (使用验证码、账号锁定、强密码策略等)

2.预防

  • 对网络未授权访问的预防:
    • 配置默认拒绝的防火墙策略
    • 使用合理的VPN身份验证,如双因子验证
    • 划分DMZ区域,并做好区域间访问控制
    • 对内网服务器使用私有IP地址,通过NAT转换连网

  • 对主机未授权访问的预防:
    • 定期进行漏洞扫描
    • 关闭主机上不必要的服务
    • 使用普通用户运行服务,如新建一个apache的账号运行apache服务
    • 开启主机自带防火墙,如windows firewall 、 iptables
    • 设置自动锁屏和注销会话的策略
    • 定期检查权限配置

  • 对用户未授权访问的预防:
    • 启用复杂的口令策略
    • 在关键系统上使用双因素验证
    • 使用强加密算法保护口令
    • 建立完整的账号生命周期管理流程

3.检测与分析

  • 未授权访问的征兆
    • 对系统的扫描侦察活动发生了异象,如每天大量的扫描变突然减少
    • 一个新的远程利用漏洞公开,如针对IIS的缓冲区溢出
    • 用户反馈收到诱骗邮件,需要用户名输入账号密码
    • 一些登录失败的日志

  • 未授权访问迹象:
    • 主机上存安全相关利用工具
    • 主机上有不正常的流量
    • 主机系统配置发生变化,如进程服务增加、端口增加、日志策略更改
    • 重要数据、特权发生变化
    • 无法解释的账户登录或使用
    • 资源利用率发生明显变化
    • IDS的报警
    • 异常的日志

  • 未授权访问事件一般会分步进行
    • 进行扫描侦察工作,发现弱点
    • 侦察结束后,会利用弱点进行未授权访问
    • 获取基本用户权限后,会利用提权漏洞来获取管理员权限
    • 获取管理员权限后会使用rootkit技术来隐藏后门

4.限制、消除

  • 限制策略
    • 隔离受影响的系统
    • 禁用受影响的服务
    • 消除攻击者进入系统的路径
    • 禁用可能被利用的账号
    • 加强物理安全保护

5.证据收集

  • 如果怀疑系统被未授权访问, 安全处理人员应立即对系统做完整的映像备份。
  • 同时要保存主机、应用、IDS、防火墙日志
  • 如果发生物理安全问题,则保存门禁系统日志、监控视频等证据

6.恢复

  • 对系统的恢复工作可以基于攻击者获取权限的程序
  • 如攻击者获取了管理员权限,建议是从备份中恢复系统,而不是修复系统。因为很难保证rootkit的检测完整
  • 如果攻击者只获取部分权限,可以依据日志行为分析攻击者文件。进而恢复。

四、处理复合型安全事件

  • 复合型安全事件是指一次安全事件中包含多种安全事件,如
    • 某恶意代码通过邮件感染了员工PC
    • 攻击者利用被感染PC破坏了其它服务器或PC
    • 攻击者利用获取到权限的设备发起DDOS攻击

  • 这次安全事件包含:恶意代码事件、多起未授权访问、DDOS事件
  • 复合型安全事件分析起来往往非常困难
  • 安全人员可能只意识到其中一部分,而没有认识到整体的安全事件
  • 处理人员可能知道是多起安全事件,但无法分析其联系
  • 处理复合型事件需要丰富的安全事件处理经验
  • 其准备、预防工作要包含全面,对组织要求较高
  • 处理人员应该限制最先发现的安全事件
  • 但安全事件的优先级也同样重要
  • 正进行DDOS攻击优先级应该高于一个月前暴发病毒

1.建议

  • 使用集中式日志系统和事件关联分析软件
  • 限制最初的安全事件,然后查找其它部分的征兆
  • 单独对安全事件进行优先级排序


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mfbz.cn/a/576514.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

NodeJS基础知识

文章目录 **1. Node.js平台与架构****1.1 Node.js简介****1.2 事件循环(Event Loop)** **2. JavaScript基础知识****2.1 ECMAScript版本****2.2 变量、数据类型、运算符****2.3 函数****2.4 类与面向对象编程** **3. Node.js核心API****3.1 全局对象与内…

Linux下载及安装OpenSSL

文章目录 前言一、OpenSSL下载二、OpenSSL安装1.上传下载好的安装包到服务器2.解压3.切换目录4.配置config5.编译6.安装7.备份旧版本OpenSSL7.创建软链接8.添加OpenSSL动态链接库9.更新库缓存10.查看OpenSSL版本验证安装是否成功 前言 一般系统会自带有OpenSSL,我们…

OpenHarmony实战开发-媒体查询 (@ohos.mediaquery)

概述 媒体查询作为响应式设计的核心,在移动设备上应用十分广泛。媒体查询可根据不同设备类型或同设备不同状态修改应用的样式。媒体查询常用于下面两种场景: 针对设备和应用的属性信息(比如显示区域、深浅色、分辨率)&#xff0…

大数据第五天(操作hive的方式)

文章目录 操作hive的方式hive 存储位置hive 操作语法创建数据表的方式 操作hive的方式 hive 存储位置 hive 操作语法 创建数据表的方式 – 创建数据库 create database if not exists test我们创建数据库表的时候,hive是将我们的数据自动添加到数据表中&#xf…

Matlab|交直流系统潮流计算(含5种控制模式)

目录 1 主要内容 程序参考流程图 2 部分代码 3 程序结果 4 下载链接 1 主要内容 该程序参考文献《交直流系统潮流计算及相互关联特性分析》,采用5种交直流潮流控制方式:1.定电流定电压 2.定电流定熄弧角 3.定功率定电压 4.定功率定熄弧角 5.定触发角…

C++进阶:多态

目录 一、多态的概念 二、多态的实现 1.多态的实现条件 2.虚函数 3.虚函数的重写(覆盖) 三、概念比较 四、抽象类 1.概念 2.接口继承与实现继承 一、多态的概念 在生活中我们通常会遇到以下的一个场景:领支付宝的红包。 明明都是同一个红包,不同…

Qt配置CMake出错

一个项目需要在mingw环境下编译Opencv源码,当我用Qt配置opencv的CMakeLists.txt时,出现了以下配置错误: 首先我根据下述博文介绍,手动配置了CMake,但仍不能解决问题。 Qt(MinGW版本)安装 - 夕西行 - 博客园 (cnblogs.…

鸿蒙(HarmonyOS)性能优化实战-Trace使用教程

概述 OpenHarmony的DFX子系统提供了为应用框架以及系统底座核心模块的性能打点能力,每一处打点即是一个Trace,其上附带了记录执行时间、运行时格式化数据、进程或线程信息等。开发者可以使用SmartPerf-Host调试工具对Trace进行解析,在其绘制…

人工智能如何提高公司效率的 5 种方法

人工智能是当今最热门的话题之一,但并不是每个人都了解其对商业的价值规模。由此可见,现有的AI技术可以将企业的生产力提升40%。 在机器学习的帮助下,Netflix 利用自动化个性化推荐每年赚取 10 亿美元。当公司使用人工智能时,34%…

线性代数:抽象向量空间

一、说明 有些函数系列极具线性代数的向量特征。这里谈及多项式构成函数的线性代数意义。问题是这个主题能展开多少内涵?请看本文的论述。 二、线性空间和向量 让我先问你一个简单的问题。什么是向量?为了方便起见,二维箭头从根本上说是平…

Web前端一套全部清晰 ③ day2 HTML 标签综合案例

别让平淡生活&#xff0c;耗尽所有向往 —— 24.4.26 综合案例 —— 一切都会好的 网页制作思路&#xff1a;从上到下&#xff0c;先整体到局部&#xff0c;逐步分析制作 分析内容 ——> 写代码 ——>保存——>刷新浏览器&#xff0c;看效果 <!DOCTYPE html> &l…

IDEA生成测试类

方法一 具体流程: 选中要生成的测试类------------>选择code选项------------>选择Generate选项---------->选择test选项---------->选择要生成的方法 第一步: 光标选中需要生成测试类的类 找到code选项 选中Generate选项 选中test选项 选中你要生成的测试…

【智能算法】囊状虫群算法(TSA)原理及实现

目录 1.背景2.算法原理2.1算法思想2.2算法过程 3.结果展示4.参考文献 1.背景 2020年&#xff0c;S Kaur等人受到囊状虫群自然行为启发&#xff0c;提出了囊状虫群算法&#xff08;Tunicate Swarm Algorithm, TSA&#xff09;。 2.算法原理 2.1算法思想 TSA模拟了囊状虫群在导…

Scala的函数至简原则

对于scala语言来说&#xff0c;函数的至简原则是它的一大特色。下面让我们一起来看看分别有什么吧&#xff01; 函数至简原则&#xff1a;能省则省&#xff01; 初始函数 def test(name:String):String{return name }1、return可以省略&#xff0c;Scala会使用函数体的最后一…

什么是用户体验(UX)文案,为什么它很重要?

网上购物如今比以往任何时候都更加相关。所以我们将以此为例说明什么是用户体验&#xff08;UX&#xff09;文案&#xff0c;以及为什么它很重要。 假设你去了一个在线商店。你需要执行一系列操作&#xff1a; 找到合适的部分选择你感兴趣的产品弄清楚它们是什么&#xff0c;…

Access2019直接将数据导入SQL Server数据库中,再直接链接回来

Access2019 的数据表等&#xff0c;除了通过 SSMA 导入数据库外&#xff0c;还可以利用access2019 自身的外部数据导出功能来达到目的。本文将详细介绍这一操作过程。 一、命令行操作阶段 1.以SA这一超级用户登录SQL Server&#xff0c;创建一个数据库&#xff0c;例如“个人…

PyQt5中QTablewidget生成右键菜单

QTablewidget生成右键菜单&#xff0c;需要自定义一个QTablewidget类 import sys from PyQt5.QtWidgets import QApplication, QTableWidget, QTableWidgetItem, QMenu, QAction, QDialog from PyQt5.QtCore import Qt from PyQt5 import QtCoreclass CustomTableWidget(QTabl…

数据结构-二叉树-堆(二)

一、建堆的时间复杂度问题 1、除了向上调整建堆&#xff0c;我们还可以向下调整建堆。不能在根上直接开始向下调整。这里的条件就是左右子树必须都是大堆或者小堆。我们可以倒着往前走&#xff0c;可以从最后一个叶子开始调整。但是从叶子开始调整没有意义。所以我们可以从倒数…

架构师的六大生存法则与价值创造

目录 什么影响架构的成败 架构师的六大生存法则 一、所有的架构规划必须有且只有一个正确的目标 二、架构活动需要尊重和顺应人性 三、架构活动在有限的资源下最大化商业价值 四、架构师要考虑依赖的商业模块和技术生命周期 五、架构师为什么要关注技术体系的外部适应性…

【InternLM】大模型的评测——OpenCompass

1. OpenCompass简介 1.1 基本介绍 大模型开源开放评测体系 “司南” (OpenCompass2.0)由上海人工智能实验室科学家团队发布&#xff0c;用于为大语言模型、多模态模型等提供一站式评测服务。其主要特点如下&#xff1a; 开源可复现&#xff1a;提供公平、公开、可复现的大模型…
最新文章