Time: 2020-01-16  安恒信息

企业网络安全应急响应指南

  前 言

  没有网络安全,就没有国家安全。在中央网络安全和信息化领导小组第一次会议上,国家 就将网络安全提升至国家主权的高度。网络安全已经成为国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。和我国网络空间快速发展形成鲜 明对比的是网络安全保障能力的不足,人民群众对网络社会进一步发展的迫切需求和现阶段网络安全治理能力有限之间的矛盾已经成为影响国家安全和经济社会发展的重大问题。

  第一章 网络安全应急响应流程

  网络安全应急响应是一项需要充分准备并严密组织的工作,它必须避免因不正确、疑似灾难性动作、忽略关键步骤所导致的情况发生。这就需要掌握足够的安全技能,并且具备一定的追踪侦查能力、沟通能力、心理学知识并且掌握必要法律知识的专业安全人士的参与。企业网络安全事件应急处置处理流程主要分为三个阶段,包括事件初期、应急响应实施及输出报告与汇报:

  事件初期

  在实施应急响应工作前,技术人员根据事件现象判断事件类型,是否需要启用应急响应服务。

  应急响应实施

  在判断事件类型可能为安全事件,启用应急响应后,技术人员通过现场或非现场等方式进行信息收集工作,详细了解掌握事件发生的始终、现状、可能的影响,对事件进行详细分析,提供事件处理建议,并协助客户解决事件。

  输出报告与汇报

  待事件处理结束后,技术人员整理事件分析、事件处理的过程记录和相关资料,撰写应急响应服务记录报告。对于大型、复杂的应急响应过程还需进行整体的事件处理汇报工作。

网络安全应急响应流程

  第二章 常见安全事件应急响应演练

  一 、网页篡改演练方案

  1.事件说明

  1) 攻击者把模拟攻击服务器作为攻击发起机进行网页篡改攻击,通过核心交换机、服务器区交换机与Web服务器通讯。利用Web站点SQL注入安全漏洞进行获取Web服务器权限,并控制Web服务器。通过查询IIS找到网站Web页面,替换Index主页面。

  2) 应急响应组通过利用IDS设备处理监控到此攻击行为。

  2.演练流程

  网页篡改流程示意图

网页篡改流程示意图

  攻击发起模拟

  攻击者通过核心交换机、服务器区交换机到达被攻击Web服务器;

  攻击者对网站入侵扫描,如利用SQL注入工具进行注入扫描;

  攻击者利用SQL注入漏洞获取网站权限,服务器权限;

  攻击者利用工具对页面进行篡改,如上传准备好的Web替换页面;

  攻击事件发现

  系统监控人员在监控服务器上对Web服务器Web页面进行监控,发现Web主页面被非法篡改;

  系统监控人员确认此事件记录现象并根据应急规范,通知相关上级或管理人员;

  攻击事件处理

  系统管理员进行紧急处理,进行系统临时性恢复,迅速恢复系统被篡改的Web页面;

  严格监控对系统的访问以及Web服务器系统登陆情况,确保对再次攻击的行为能进行检测;

  必要条件下,将发生安全事件的设备脱网,做好安全审计及系统恢复准备(比如怀疑被放置木马或后门等,目的是避免攻击者利用此设备作为跳板机危害其他设备。);

  由应急响应组对网页篡改进行分析,并对木马病毒等进行处理;

  根据应急规范,将攻击事件处理结果上报相关上级。

  二 、针对DNS的拒绝服务攻击演练方案

  1.事件说明

  1) 攻击者把模拟攻击服务器作为攻击发起机进行拒绝服务攻击,通过核心交换机、服务器区交换机与DNS服务器通讯。利用多种类型的DDoS方式对DNS服务器进行拒绝服务攻击,使DNS服务器无法提供正常业务。

  2) 应急响应组主要通过利用黑洞设备处理此攻击行为,也可结合DNS服务器加固等手段进行防御。

  2.演练流程

  针对DNS拒绝服务攻击流程示意图

针对DNS拒绝服务攻击流程示意图

  攻击发起模拟

  确认DNS服务器目标地址可达;

  利用DDoS工具对DNS服务器进行DDoS攻击。

  攻击事件发现

  发现网站域名无法访问,服务器IP地址可达;

  检查DNS服务器运行情况,发现CPU、内存使用率过高,负载量大;

  系统监控人员确认此事件记录现象并根据应急规范,通知相关上级或管理人员。

  攻击事件处理

  通过网络流量分析软件或分析网站的访问连接,确定数据包类型特征,分析大量的连接;

  通过网络分析大量连接的源地址,部分来源为假地址,部分为真地址;

  通过网络设备日志等,基本确定攻击的来源;

  启用DNS应急机制,进行DNS授权转移;

  部署防DDoS设备,检测部署效果;

  在防火墙或网络设备访问控制ACL策略,对攻击源限制或者对最大连接数限制;

  在其他防护设备上进行调整,例如调整IPS规则,提高检查的灵敏度或者门限值;

  根据应急规范,将攻击事件处理结果上报相关上级。

  三 、僵尸网络演练方案

  1.演练环境

  僵尸网络示意图

僵尸网络示意图

  2.事件说明

  攻击者把模拟攻击服务器作为僵尸主机控制端机器,通过核心交换机、服务器区交换机与两台被控制的僵尸主机进行通讯。利用控制端工具对两台僵尸主机进行管理,对外发送大量垃圾邮件操作。

  应急响应组通过利用IDS设备处理监控到此攻击行为,对三台机器进行处理并加固。

  3.演练流程

  僵尸网络流程示意图

僵尸网络流程示意图

  攻击发起模拟

  攻击者通过模拟攻击服务器对被控端两台Windows服务器进行操作;

  操作两台被控端服务器对外发送大量垃圾邮件;

  攻击事件发现

  系统监控人员在监控服务器上对IDS告警和网络流量进行监控,发现两台异常流量主机IP地址和IDS告警;

  系统监控人员确认此事件记录现象,根据应急规范,通知相关上级或管理人员;

  攻击事件处理

  系统管理员进行紧急处理,对服务器可疑进程进行检查;

  利用工具对进程进行关闭,卸载删除可疑程序;

  对三台服务器进行加固处理;

  根据应急规范,将处理结果上报相关上级。

  4.具体操作

  僵尸网络演练具体操作示意图

僵尸网络演练具体操作示意图

  四 、业务主机被植入恶意代码演练方案

  1.演练环境

  业务主机被植入恶意代码示意图

等级保护资讯网

  2.事件说明

  攻击者把在linux业务服务器植入恶意代码程序,通过核心交换机、服务器区交换机与模拟攻击服务器通讯。利用恶意代码脚本将主机上的内容ftp到远程模拟攻击服务器。

  应急响应组通过流量监测软件发现异常流量,根据进程和端口找到恶意进程并处理。

  3.演练流程

  业务主机被植入恶意代码流程示意图

业务主机被植入恶意代码流程示意图

  攻击发起模拟

  Linux业务服务器被植入恶意代码

  恶意代码定期执行ftp动作

  定期FTP系统文件至攻击

  攻击事件发现

  系统监控人员在监控服务器上察看流量软件;

  系统监控人员发现服务器网络流量异常;

  系统监控人员确认此事件记录现象并根据应急规范,通知相关上级或管理人员。

  攻击事件处理

  系统管理员进行紧急处理,定位流量异常服务器IP地址;

  必要条件下,将发生安全事件的设备脱网,做好安全审计及系统恢复准备(比如怀疑被放置木马或后门等,目的是避免攻击者利用此设备作为跳板机危害其他设备。);

  由应急响应组对服务器进行安全检查;

  通过进程和端口找到恶意进程,并进行文件删除。

  根据应急规范,将攻击事件处理结果上报相关上级。

  4.具体操作

  僵尸网络演练具体操作示意图

僵尸网络演练具体操作示意图

18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。