信息安全-网络安全应急响应技术原理与应用(二)

编程入门行业动态更新时间:2024-10-23 16:28:28

一、网络安全应急响应技术与常见工具

1.1 网络安全应急响应技术概况

网络安全应急响应是一个复杂的过程，需要综合应用多种技术和安全机制

在网络安全应急响应过程中，常用到的技术如表所示

应急响应常用技术分类表
应急技术类型	用途描述	参考实例
访问控制	攻击阻断，用于网络安全事件处置	防火墙
网络安全评估	掌握攻击途径及系统状态，用于网络安全事件处置	漏洞扫描、木马检测
系统恢复	修复受害系统，用于网络安全事件事后处置	系统启动盘、灾备系统启用
网络安全监测	实时分析系统、网络活动，用于网络安全事件事前监测预警	网络协议分析器、入侵检测系统
入侵取证	追究入侵者的法律责任，用于网络安全事件处置	网络追踪及硬盘克隆

1.2 访问控制

是网络安全应急响应的重要技术手段

主要用途：是控制网络资源不被非法访问，限制安全事件的影响范围

根据访问控制的对象的不同，访问控制的技术手段：主要有网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制等。这些访问控制手段可以通过防火墙、代理服务器、路由器、VLAN、用户身份认证授权等来实现

1.3 网络安全评估

是指对受害系统进行分析，获取受害系统的危害状况

包括：

恶意代码检测：分析受害系统是否安装了病毒、木马、蠕虫或间谍软件
漏洞扫描：检查受害系统所存在的漏洞，然后分析漏洞的危害性
文件完整性检查：目的是发现受害系统中被篡改的文件或操作系统的内核是否被替换
系统配置文件检查：通过对系统配置文件检查分析，可以发现攻击者对受害系统的操作
网卡混杂模式检查：目的是确认受害系统中是否安装了网络嗅探器
文件系统检查：目的是确认受害系统中是否有入侵者创建的文件
日志文件审查：可以让应急响应人员掌握入侵者的系统侵入途径、入侵者的执行操作

1.4 网络安全监测

对受害系统的网络活动或内部活动进行分析，获取受害系统的当前状态信息，包括:

网络流量监测：通过利用网络监测工具，获取受害系统的网络流量数据，挖掘分析受害系统在网络上的通信信息，以发现受害系统的网上异常行为
系统自身监测：目的主要在于掌握受害系统的当前活动状态，以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面
1. 受害系统的网络通信状态监测
2. 受害系统的操作系统进程活动状态监测
3. 受害系统的用户活动状况监测。用who命令显示受害系统的在线用户信息
4. 受害系统的地址解析状况监测。用arp命令查看受害机器的地址解析缓存表
5. 受害系统的进程资源使用状况监测

1.5 系统恢复

系统恢复技术用于将受害系统进行安全处理后，使其重新正常运行，尽量降低攻击造成的损失

系统恢复技术的方法主要有下面几种

系统紧急启动：当计算机系统因口令遗忘、系统文件丢失等导致系统无法正常使用的时候，利用系统紧急启动盘可以恢复受损的系统，重新获取受损的系统访问权限。系统紧急启动盘主要的作用是实现计算设备的操作系统引导恢复，主要类型有光盘、U盘。系统紧急启动盘保存操作系统最小化启动相关文件，能够独立完成对相关设备的启动
恶意代码清除：系统遭受恶意代码攻击后无法正常使用，通过使用安全专用工具，对受害系统的恶意代码进行清除
系统漏洞修补：针对受害系统，通过安全工具检查相应的安全漏洞，然后安装补丁软件
文件删除恢复：操作系统删除文件时，只是在该文件的文件目录项上做一个删除标记，把FAT表中所占用的簇标记为空簇，而DATA区域中的簇仍旧保存着原文件的内容。因此，计算机普通文件删除只是逻辑做标记，而不是物理上清除，此时通过安全恢复工具，可以把已删除的文件找回来
系统备份容灾：常见的备份容灾技术主要有磁盘阵列、双机热备系统、容灾中心等。当运行系统受到攻击瘫痪后，启用备份容灾系统，以保证业务连续运行和数据安全

针对网络信息系统的容灾恢复问题，国家制定和颁布了《信息安全技术信息系统灾难恢复规范》

该规范定义了六个灾难恢复等级和技术要求，各级规范要求如下：

第1级-基本支持

本级要求至少每周做一次完全数据备份，并且备份介质场外存放
同时还需要有符合介质存放的场地
企业要制定介质存取、验证和转储的管理制度，并按介质特性对备份数据进行定期的有效性验证
企业需要制订经过完整测试和演练的灾难恢复预案

第2级-备用场地支持

第2级在第1级的基础上，还要求配备灾难发生后能在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备
并且对于第1级中存放介质的场地，需要其能满足信息系统和关键业务功能恢复运作的要求
对于企业的运维能力，也增加了相应的要求，即要制定备用场地管理制度，同时要与相关厂商、运营商有符合灾难恢复时间要求的紧急供货协议、备用通信线路协议

第3级-电子传输和部分设备支持

第3级不同于第2级的调配数据处理设备和具备网络系统紧急供货协议，其要求配置部分数据处理设备和部分通信线路及相应的网络设备
同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地，并在灾难备份中心配置专职的运行管理人员
对于运行维护来说，要求制定电子传输数据备份系统运行管理制度

第4级-电子传输及完整设备支持

第4级相对于第3级中的配备部分数据处理设备和网络设备而言，须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备，并处于就绪状态
备用场地也提出了支持7×24小时运作的更高的要求，同时对技术支持和运维管理的要求也有相应的提高

第5级-实时数据传输及完整设备支持

第5级相对于第4级的数据电子传输而言，要求实现远程数据复制技术，并利用通信网络将关键数据实时复制到备用场地
同时要求备用网络具备自动或集中切换能力

第6级-数据零丢失和远程集群支持

第6级相对于第5级的实时数据复制而言，要求数据远程实时备份，实现教据零丢失
同时要求应用软件是集群的，可以实现实时无缝切换，并具备远程集群系统的实时监控和自动切换能力
对于备用网络的要求也有所加强，要求用户可通过网络同时接入主、备中心

1.6 入侵取证

入侵取证：是指通过特定的软件和工具，从计算机及网络系统中提取攻击证据

依据证据信息变化的特点，可以将证据信息分成两大类：

第一类是实时信息或易失信息，例如内存和网络连接
第二类是非易失信息，不会随设备断电而丢失

网络安全取证包含6个步骤：

取证现场保护：保护受害系统或设备的完整性，防止证据信息丢失
识别证据：识别可获取的证据信息类型，应用适当的获取技术与工具
传输证据：将获取的信息安全地传送到取证设备
保存证据：存储证据，并确保存储的数据与原始数据一致
分析证据：将有关证据进行关联分析，构造证据链，重现攻击过程
提交证据：向管理者、律师或者法院提交证据

在取证过程中，每一步的执行都涉及相关的技术与工具

证据获取：此类技术用于从受害系统获取原始证据数据，常见证据：有系统时间、系统配置信息、关键系统文件、系统用户信息、系统日志、垃圾箱文件、网络访问记录、恢复己删除的文件、防火墙日志、IDS日志等
证据安全保护：此类技术用于保护受害系统的证据的完整性及保密性，防止证据受到破坏或非法访问
证据分析：此类技术用于分析受害系统的证据数据，常见的技术方法有关键词搜索、可疑文件分析、数据挖掘等

二、网络安全应急响应参考案例

2.1 阿里云安全应急响应服务

阿里云安全应急响应服务参照国家信息安全事件响应处理相关标准，帮助云上用户业务在发生安全事件后，按照预防、情报信息收集、遏制、根除、恢复流程，提供专业的7 × 24小时远程紧急响应处理服务，使云上用户能够快速响应和处理信息安全事件，保障业务安全运营

阿里云安全应急响应服务的主要场景如表所示

服务应用场景	详细描述
网络攻击事件	1.安全扫描攻击：黑客利用扫描器对目标进行漏洞探测，并在发现漏洞后进一步利用漏洞进行攻击 2.暴力破解攻击：对目标系统账号密码进行暴力破解，获取后台管理员权限 3.系统漏洞攻击：利用操作系统、应用系统中存在的漏洞进行攻击 4.Web漏洞攻击：通过SQL注入漏洞、上传漏洞、 XSS漏洞、授权绕过等各种Web漏洞进行攻击 5.拒绝服务攻击：通过大流量DDoS或者CC攻击目标，使目标服务器无法提供正常服务 6.其他网络攻击行为
恶意程序事件	1.病毒、蠕虫：造成系统缓慢，数据损坏、运行异常 2.远控木马：主机被黑客远程控制 3.僵尸网络程序(肉鸡行为) ：主机对外发动DDoS攻击、对外发起扫描攻击行为 4.挖矿程序：造成系统资源大量消耗
web恶意代码	1.Webshell后门：黑客通过Webshell控制主机 2.网页挂马：页面被植入病毒内容，影响访问者安全 3.网页暗链：网站被植入博彩、色情、游戏等广告内容
信息破坏事件	1.系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号等 2.数据库内容篡改：业务数据遭到恶意篡改，引起业务异常和损失 3.网站内容篡改事件：网站页面内容被黑客恶意篡改 4.信息数据泄露事件：服务器数据、会员账号遭到窃取并泄露
其他安全事件	1.账号被异常登录：系统账号在异地登录，可能出现账号密码泄露 2.异常网络连接：服务器发起对外的异常访问，连接到木马主控端、矿池、病毒服务器等行为

阿里云安全应急响应服务的流程如图：

阿里云安全应急响应服务的流程具体如下

1.购买服务

当客户系统发生安全突发事件后，需要SOS服务时，需要先购买安全事件应急响应服务
购买服务后需要在5个自然日内在页面上提交需要应急响应的资产清单或者在安全公司与客户取得联系后，通过其他方式提交需要处理的资产清单
为避免进一步的损失，建议客户自行对被攻击的资产进行数据备份工作

2.分配合作伙伴

当客户购买服务后，阿里云后台管理系统会根据客户发生的安全事件的情况，为客户分配合适的安全公司

3.事件确认

安全公司的安全工程师与客户直接联系对接，通过与客户交流了解事件的具体详情，并记录问题情况
登录被入侵系统查看实际系统状态
根据客户描述现象与系统实际现象，对事件进行确认，定性

4.事件抑制

如果在响应过程中，发现黑客正在进行攻击，或者有其他可能会进一步破坏系统的行为，安全工程师将采取抑制手段。抑制事态发展是为了将事故的损害降低到最小化

在抑制环节，常见的手段：

断开网络连接
关闭特定的业务服务
关闭操作系统

5.事件处理

在对安全事件进行原因分析之后，将进一步对安全事件进行处理，具体工作如下：

清理系统中存在的木马、病毒、恶意代码程序
清理Web站点中存在的木马、暗链、挂马页面
恢复被黑客篡改的系统配置，删除黑客创建的后门账号
删除异常系统服务、清理异常进程
在排查问题后，协助恢复用户的正常业务服务

6.入侵原因分析

根据网络流量、系统日志、Web日志记录、应用日志、数据库日志，结合安全产品数据，分析黑客入侵手法，调查造成安全事件的原因，确定安全事件的威胁和破坏的严重程度

部分安全事件会因为黑客清理了日志或者系统未保留相关日志从而导致无法定位入侵原因，因此应急响应服务将尽可能地分析原因，但不承诺一定能分析出入侵原因

7.提交报告

事件处理完后，根据整个事件情况撰写《阿里云安全事件应急响应报告》，文档中阐述整个安全突发事件的现象、处理过程、处理结果、事件原因分析(针对事件分析版)，并给出相应的安全建议，客户在获取报告后可以再对报告内容进行确认，也可以对服务过程向阿里云提出反馈或投诉

8.结束阶段

在安全事件处理结束后，阿里云将继续跟踪事件处理结果，对服务提供商的服务过程和服务质量进行审查

2.2 IBM产品安全漏洞应急响应

IBM 产品安全应急响应组（简称 IBM PSIRT) 是全球性组织，负责接收、调查、内部协调 IBM 产品的安全漏洞信息

IBM产品安全应急响应主要流程步骤分析如下：

漏洞信息报告接收及登记：当IBM PSIRT收到第三方机构提供的潜在漏洞报告时，IBM PSIRT详细记录漏洞相关信息和问题，并提供跟踪编号给漏洞报告者
漏洞分析：IBM PSIRT把潜在的安全漏洞告知相应的IBM产品组进行分析。IBM产品组证实报告者相关信息及问题，确认漏洞的真实性
漏洞确认和判定：经过初步分析后，产品组判定漏洞利用方法及引发的后果，给出一个修补计划及受影响的产品版本
漏洞补丁开发及安全防护措施研究：相关产品部门开发漏洞补丁及安全保护措施
发布漏洞修补措施：一旦漏洞修补可用，IBM发布公共安全公告通知受影响的客户有关此漏洞的信息。IBM披露的漏洞详细信息包含漏洞CVSS评分、漏洞CVE编号、受影响产品以及相关链接
避免出现类似漏洞：IBM PSIRT漏洞处置的最后工作是，与其他工程团队共享漏洞发现信息，尽可能避免IBM产品中出现类似漏洞

2.3 “永恒之蓝”攻击的紧急处置

“永恒之蓝”网络蠕虫利用Windows系统的SMB漏洞可以获取系统最高权限，进而制作Wannacry勒索程序

本案例参考360发布的《针对“永恒之蓝”攻击紧急处置手册》及应急相关机构提供的资料，给出
“永恒之蓝”网络蠕虫的紧急处理方式，具体如下：

如果主机已被感染，则将主机隔离或断网(拔网线)。若有该主机备份，则启动备份恢复程序
如果主机未被感染，采取以下合适的方式进行防护，避免主机被感染
- 安装免疫工具：如安装和使用360提供的免疫工具0nionWormImmune.exe
- 漏洞修补：针对恶意程序利用的漏洞，安装MS17-010补丁
- 系统安全加固：手工关闭445端口相关服务或启动主机防火墙，封堵445端口
- 阻断445端口网络通信：配置网络设备或安全设备的访问控制策略(ACL)，封堵445端口通信