0x00 应急响应PDCERF模型。
- P:指preparation准备,之前要做的各种工具,如编译好的Ls,ifconfig,ps这些事先准备好的。
- D:指Detection诊断,诊断初期发生了哪些类型的问题,该环节强化了信息取证和预先通告,以助于后续工作的开展,利于同样是大规模流量,L4DDos和CC,蠕虫爆发,应对的应急手段不一样。
- C:指Containment抑制,容易被忽视,首先应抑制受害范围,隔离区域,切断受害面扩大范围,再追求根治。思路同ITIL。
- E:指Eradication根除,寻找根因,封堵攻击源。
- R: 指Reconvery恢复,恢复业务,增加必要的安全加固措施,这步是大多说人熟悉的一步。
- F:指follow-up跟踪,后续监控有无异常,报告,管理环节的自省和改进,现在一般称为安全运营的持续改进环节。
一般来说,应对当前应急监测体系来说,应急工作流程一般包括PDECRF模型,具体如下:
0X01 准备阶段
该阶段以预防为主。
- 制定应急响应工作流程文档计划,建立一组基于威胁态势的合理防御措施。
- 制定预警与报警的方式流程,建立搞笑事件处理程序;
- 建立备份的体系和流程,按网络安全政策配置安全设备和软件;
- 一个支持事件响应活动的基础设施,获取处理问题的资源和人员,进行安全培训,预演应急事件;
0x02 事件监测与分析阶段(Detection和Analysis)
a.紧急事件监测(如何检测?):
- 防火墙日志
- 系统日志
- Web服务器日志
- IDS日志
- 可疑的用户
- 管理员报告
b.初始响应:
- 初步判定事件类型,定义事件级别,预估事件的范围和影响严重程度(涉及到多少网络,多少主机等)以此决定启动相应的应急响应方案;
- 准备相关资源;
- 为紧急事件的处理取得管理方面的支持(决定是否关闭被破坏系统的业务,是否继续收集入侵者活动数据);
- 组件事件处理小组;
- 制定安全事件响应策略;
c.事件分级:
- 决定什么对自己最重要
- 为紧急事件确定优先级,更有效的利用资源
- 不是紧急事件都需要平等对待;
d.响应后的事件调查
- 事件起因分析
- 事件取证追查
- 系统后门调查,漏洞分析
- 数据收集,数据分析;
应急响应的军事化
0x03 抑制处理阶段(Containment Eradication & Recovery)
在检测到安全事件后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在限制被抑制后,找出事件根源并彻底解决;然后就该着手恢复系统,把所有受侵害的系统,应用数据库恢复到他们的正常业务状态。
收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;
确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;
通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;
清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。
0x04 应急响应场景
网络攻击事件
- 安全扫描攻击:利用扫描器对目标进行扫描探测,发现漏洞后进一步利用漏洞进行攻击。
- 暴力破解攻击:对目标系统账号密码进行暴力破解,获得后台管理员权限。
- 系统漏洞攻击:操作系统,应用系统中存在的漏洞进行攻击。
- WEB漏洞攻击:通过SQL注入,上传,XSS,授权绕过等WEB漏洞进行攻击。
- 拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使服务器无法提供正常服务;
- 其他网络攻击行为。
恶意程序事件:
- 病毒,蠕虫,造成系统缓慢,数据损坏,运行异常;
- 远控木马: 主机被黑客远程控制;
- 僵尸网络程序(肉鸡行为):主机对外发动DDOS攻击,对外发起扫描攻击行为;
- 挖矿程序 :造成系统资源大量消耗;
WEB恶意代码
Webshell后门:黑客通过Webshell控制主机;
网页挂马:页面被植入待病毒内容,影响访问者安全;
网页暗链:网站被植入博彩,游戏等广告内容。
信息破坏事件
- 系统配置遭篡改:系统中出现异常服务,进程,启动项,账号等等;
- 数据库内容篡改:业务数据遭到恶意篡改,引发业务异常和损失;
- 网站内容篡改:网站页面内容被黑客恶意篡改;
- 信息数据泄露事件:服务器数据,会员账号遭到窃取并泄露;
其他安全事件
- 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露;
- 异常网络连接:服务器发起对外的异常访问,连接到木马主控端,矿池,病毒服务器等行为;
0X05 总体思路:
- 统一规范事件报告格式;
- 建立及时准确的安全事件上报体系;
- 分类后,研究针对各类安全事件的响应对策,建立应急决策专家系统,建立网络安全事件数据库。
