网络安全应急响应
建立网络安全体系是为了保障网络运行安全,避免安全事件发生;开展网络安全攻防演练,是为了通过日常演练,保障在发生网络安全事件后能够科学、有效应对事件处置。今天,小编为大家分享常见网络安全事件科普及应急响应流程
网络安全事件分类
网络安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件等。
1.有害程序事件
有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2.网络攻击事件
网络攻击事件分为拒绝服务攻击事件(比如系统被攻击后停止对外服务)、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3.信息破坏事件
信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4.信息内容安全事件
信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5.设备设施故障
设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
6.灾害性事件
灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
应急响应流程
根据应急事件处理的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),可将应急响应包括准备、检测、抑制、根除、恢复、跟踪6个阶段的工作。
01准备阶段
准备阶段是指准备组织应急响应队伍及相关工具。应急响应队伍一般由信息系统运维工程师、网络运维工程师、安全运维工程师、操作系统运维工程师、运行检测工程师,以及单位应急响应总指挥等组成。
常见的用于应急响应的网络安全工具主要包括流量分析工具(如Wireshark、科来网络分析等),进程分析工具(如ProcessHacker、ProcessExplorer等),信息收集工具(如FastIR等),Webshell检测工具等。
02检测阶段
检测阶段的主要任务是通过分析来确定入侵行为的特征,是应急响应执行过程中的关键一环,在这个阶段需要信息系统运维工程使用初级检测技术进行检测,确定系统是否出现异常。
在发现异常情况后,形成安全事件报告,由网络安全运维工程师介入,进行高级检测来查找安全事件的真正原因,明确安全事件的特征、影响范围,标识安全事件对受影响的系统所带来的改变,最终对安全事件进行定性,并向应急响应总指挥请示是否启动网络安全应急响应预案。
03抑制阶段
抑制阶段的主要任务是限制事件扩散及其影响范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。
常见的抑制方式包括:关掉已受害的系统、断开网络、修改防火墙的过滤规则、封锁或删除被攻破的登录账号、关闭可被攻击利用的服务功能等。
04根除阶段
根除阶段的主要任务是通过事件分析,查明事件危害的方式,并给出清除危害的解决方案。
✦攻击链分析:结合态势感知系统对攻击者的攻击路径和攻击类型进行分析和定位。
✦日志审计:日志审计是通过检查系统及其环境的日志信息和告警信息来分析攻击者是否做了违规行为。
✦安全风险评估:通过渗透测试、漏洞扫描、基线核查、病毒查杀等评估攻击行为。
最后,综合所有的分析情况,对查找出来的风险如弱口令、主机漏洞、系统漏洞等问题进行全面加固、打补丁、限制系统(网络隔离、行为管理等)、升级防御设备、完善防御流程等(防御设备的部署、人员的部署、规则库的升级)。
05恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。
06跟踪阶段
跟踪阶段是应急响应的最后一个阶段,主要是对抑制或根除的效果进行审计,确认系统没有被再次入侵。跟进阶段的主要任务是通过对抑制或根除的效果进行审计,确认系统是否有被再入侵。
审计是一个循环进行的过程。通常,第一次审计应该在一定期限之内进行,以后再进行复查,并输出跟进阶段的报告内容,包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等。
同时还需对事件处理情况进行总结,吸取经验教训,对已有安全防护措施和安全事件应急响应预案进行改进。