应急响应(个人总结,非专业
在 HW ,和重保中,应急响应是最重要的一环,当出现重大事件的时候,能否把损失降到最低,很大程度上,考验着应急人员对事件的分析能力。
我第一次参加重保是在某个局内负责监控网络安全设备,比如防火墙、IDS、IPS 等。当时负责的内容也挺简单的,如果防火墙出现某些警告的时候,根据信息查看是否被攻入,如果没有则直接封禁 IP,如果有被攻入的现象,则保存信息,联系应急人员。
在整个应急响应的流程中,我的职责更像是一位传话兵,负责报告前线情况。
多个月后,这个传话兵想学更多的东西。便跟着前辈开始了解应急响应的学习。
1. 应急响应大致流程
-
收集信息:收集客户信息和中毒主机信息,包括样本。
-
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。
-
深入分析:日志分析、进程分析、启动项分析、样本分析。
-
清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。
-
产出报告:整理并输出完整的安全事件报告。
2. 应急响应处理的整体思路
1. 要知道发生了什么事?
思考问题要用好 When?Who?What?Why?How?(4W1H)这个简单的方法。
加入发生了一次安全响应
根据前线传来消息,你要快速的理清这些关系:
- (When)什么时候发生的?下一次同样的攻击又会在什么时候发生?
- (who?)是那些用户的设备遭到了攻击?
- (What?)是受到了类型的攻击?
- (Why?)为何会造成这次攻击?
- (How?)怎么做去解决这个事件?又应该如何给加固防御?
2. 处理原则
当然应急响应处理的过程中,有的原则也是要注意的:
- 证据采集快速性:有的证据容易被清空,也有的证据不容易被清空,优先采集容易被清空的数据,其次采集不易被清空的数据。
- 证据齐全性:里面包括样本、流量、日志、进程模块、内存、启动项等。
- 免二次污染:避免为了解决问题过程中,旧的问题没解决,因为应急人员的粗心,造成了第二次收到攻击或者新的问题。
3. 应急响应相关知识点
1. 应急响应常见事件
- WEB 入侵:网页挂马、主页纂改、WebShell
- 系统入侵:病毒木马、勒索软件、远控后门
- 网络攻击:DDOS 攻击、 DNS 劫持、 ARP 欺骗
2. 应急响应常用工具
- 流量分析工具:WireShark(全平台)、TCPDump(Liunx)
- 进程分析工具:PC Hunter、ProcessHacker 等
- 辅助工具: WinHex、Everything 等
- 内存扫描工具:MemSanner
- 病毒扫描工具:根据
3. 日志收集
- Windows 系统日志:
此电脑 -> 右键 -> 管理 -> Windows 日志
选择正确的日志和正确的日志ID
日志存在路径
C:\Windows\System32\winevt\Logs
重要日志
Security.evtx、System.evtx、Application.evtx
- Linux 系统日志
日志路径
/var/log
日志作用
| 文件路径(前缀默认/var/log/) | 改日志记录内容 |
|---|---|
| message | 内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、 网络错误 |
| cron Crond | 周期性计划任务产生的时间信息 |
| dmesg | 引导过程中的各种时间信息 |
| maillog | 进入或发出系统的电子邮件活动 |
| lastlog | 每个用户最近的登录事件 |
| secure | 用户认证相关的安全事件信息 |
| wtmp | 每个用户登录注销及系统启动和停机事件 |
| btmp | 失败的、错误的登录尝试及验证事件 |
4. 漏洞和补丁
这个就要在主动防御应该做好的事情.
如果没有做好漏洞补丁填补,只要解决一个入侵,那么就会有下一次入侵,除病不除源,会体现在病毒清除不干净.
后果:黑客的侵入及病毒的驻留,数据丢失和篡改、隐私泄露,系统被控制并作为入侵其他主机系统的跳板,等等。
个人总结
突然感觉自己要学的东西很多啊,网络安全的学习还有很长的路要走.