关于应急响应的一点笔记

2017-11-06 本文已影响305人 kevinhuangk

0x00 应急响应PDCERF模型。

P：指preparation准备，之前要做的各种工具，如编译好的Ls，ifconfig,ps这些事先准备好的。
D：指Detection诊断，诊断初期发生了哪些类型的问题，该环节强化了信息取证和预先通告，以助于后续工作的开展，利于同样是大规模流量，L4DDos和CC，蠕虫爆发，应对的应急手段不一样。
C:指Containment抑制，容易被忽视，首先应抑制受害范围，隔离区域，切断受害面扩大范围，再追求根治。思路同ITIL。
E：指Eradication根除，寻找根因，封堵攻击源。
R: 指Reconvery恢复，恢复业务，增加必要的安全加固措施，这步是大多说人熟悉的一步。
F：指follow-up跟踪，后续监控有无异常，报告，管理环节的自省和改进，现在一般称为安全运营的持续改进环节。

一般来说，应对当前应急监测体系来说，应急工作流程一般包括PDECRF模型，具体如下：

0X01 准备阶段

  该阶段以预防为主。
    - 制定应急响应工作流程文档计划，建立一组基于威胁态势的合理防御措施。
    - 制定预警与报警的方式流程，建立搞笑事件处理程序；
    - 建立备份的体系和流程，按网络安全政策配置安全设备和软件；
    - 一个支持事件响应活动的基础设施，获取处理问题的资源和人员，进行安全培训，预演应急事件；

0x02 事件监测与分析阶段（Detection和Analysis）

a.紧急事件监测（如何检测？）：

防火墙日志
系统日志
Web服务器日志
IDS日志
可疑的用户
管理员报告

b.初始响应：

初步判定事件类型，定义事件级别，预估事件的范围和影响严重程度（涉及到多少网络，多少主机等）以此决定启动相应的应急响应方案；
准备相关资源；
为紧急事件的处理取得管理方面的支持（决定是否关闭被破坏系统的业务，是否继续收集入侵者活动数据）；
组件事件处理小组；
制定安全事件响应策略；

c.事件分级：

决定什么对自己最重要
为紧急事件确定优先级，更有效的利用资源
不是紧急事件都需要平等对待；

d.响应后的事件调查

事件起因分析
事件取证追查
系统后门调查，漏洞分析
数据收集，数据分析；

应急响应的军事化

0x03 抑制处理阶段（Containment Eradication & Recovery）

在检测到安全事件后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在限制被抑制后，找出事件根源并彻底解决；然后就该着手恢复系统，把所有受侵害的系统，应用数据库恢复到他们的正常业务状态。

收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据；
确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务；
通过对有关恶意代码或行为的分析结果，找出事件根源明确相应的补救措施并彻底清除，并对攻击源进行准确定位并采取措施将其中断；
清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

0x04 应急响应场景

网络攻击事件

安全扫描攻击：利用扫描器对目标进行扫描探测，发现漏洞后进一步利用漏洞进行攻击。
暴力破解攻击：对目标系统账号密码进行暴力破解，获得后台管理员权限。
系统漏洞攻击：操作系统，应用系统中存在的漏洞进行攻击。
WEB漏洞攻击：通过SQL注入，上传，XSS，授权绕过等WEB漏洞进行攻击。
拒绝服务攻击：通过大流量DDOS或者CC攻击目标，使服务器无法提供正常服务；
其他网络攻击行为。

恶意程序事件：

病毒，蠕虫，造成系统缓慢，数据损坏，运行异常；
远控木马：主机被黑客远程控制；
僵尸网络程序（肉鸡行为）：主机对外发动DDOS攻击，对外发起扫描攻击行为；
挖矿程序：造成系统资源大量消耗；

WEB恶意代码

Webshell后门：黑客通过Webshell控制主机；
网页挂马：页面被植入待病毒内容，影响访问者安全；
网页暗链：网站被植入博彩，游戏等广告内容。

信息破坏事件

系统配置遭篡改：系统中出现异常服务，进程，启动项，账号等等；
数据库内容篡改：业务数据遭到恶意篡改，引发业务异常和损失；
网站内容篡改：网站页面内容被黑客恶意篡改；
信息数据泄露事件：服务器数据，会员账号遭到窃取并泄露；

其他安全事件

账号被异常登录：系统账号在异地登录，可能出现账号密码泄露；
异常网络连接：服务器发起对外的异常访问，连接到木马主控端，矿池，病毒服务器等行为；

0X05 总体思路：

统一规范事件报告格式；
建立及时准确的安全事件上报体系；
分类后，研究针对各类安全事件的响应对策，建立应急决策专家系统，建立网络安全事件数据库。