【第17章】网络安全应急响应技术原理与应用
17.1 网络安全应急响应概述
居安思危,思则有备,有备无患。网络安全应急响应是针对潜在发生的网络安全事件而采取的网络安全措施。
17.1.1 网络安全应急响应概念
网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。
17.1.2 网络安全应急响应发展
世界上第一个计算机安全应急组织 CERT(美国)。“国家互联网应急中心”,英文简称为 CNCERT 或 CNCERT/CC (中国),中国信息安全漏洞共享平台 (CNVD) 、中国反网络病毒联盟 CANVA)和中国互联网网络安全威胁治理联盟(CCTGA)
CNCERT 的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展中国互联网上网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公共互联网环境的安全,保障关键信息基础设施的安全运行。
17.1.3 网络安全应急响应相关要求
网络安全应急响应是网络空间安全保障的重要机制,《中华人民共和国网络安全法》(第五章监测预警与应急处置)中明确地给出了相应的法律要求,具体如表 17-1 所示。
-------------
17.2 网络安全应急响应组织建立与工作机制
17.2.1 网络安全应急响应组织建立
一般来说,网络安全应急响应组织主要由应急领导组和应急技术支撑组构成。领导组的主要职责是领导和协调突发事件与自然灾害的应急指挥、协调等工作;技术支撑组的职责主要是解决网络安全事件的技术问题和现场操作处理安全事件。网络安全应急响应组织的成员通常由管理、业务、技术、行政后勤等人员组成,成员按照网络安全应急工作的需要,承担不同的应急响应工作。网络安全应急响应组织的工作主要包括如下几个方面:
•网络安全威胁情报分析研究;•网络安全事件的监测与分析;•网络安全预警信息发布;•网络安全应急响应预案编写与修订;•网络安全应急响应知识库开发与管理;•网络安全应急响应演练;•网络安全事件响应和处置;•网络安全事件分析和总结;•网络安全教育与培训。
17.2.2 网络安全应急响应组织工作机制
网络安全应急响应组织是对组织机构的网络安全事件进行处理、协调或提供支持的团队,负责协调组织机构的安全紧急事件,为组织机构提供计算机网络安全的监测、预警、响应、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关网络安全的权威性信息,并与国内外计算机网络安全应急响应组织进行合作和交流 。
17.2.3 网络安全应急响应组织类型
根据资金的来源、服务的对象等多种因素,应急响应组分成以下几类:公益性应急响应组、内部应急响应组、商业性应急响应组、厂商应急响应组。
1. 公益性应急响应组
这类响应组由政府和公益性机构资助,对社会所有用户提供公共服务。
一般提供如下服务:
• 对计算机系统和网络安全事件的处理提供技术支持和指导;
• 网络安全漏洞或隐患信息的通告、分析;
• 网络安全事件统计分析报告;
• 网络安全事件处理相关的培训。
2. 内部应急响应组
内部应急响应组由一个组织机构创建和资助,服务对象仅限千本组织内部的客户群。内部响应组可以提供现场的事件处理、分发安全软件和漏洞补丁、培训和技术支持等服务,另外还可以参与组织安全政策的制定、审查等。
3. 商业性应急响应组
商业件应急响应组根据客户的需要,为客户提供技术、程序、调查、法律支持等服务。商业服务的特点在于服务质量保障,在突发的安全事件发生时及时响应,应急响应组甚至提供7x24 小时的服务,现场处理事件等。
4. 厂商应急响应组
厂商应急响应组一般只为自己的产品提供应急响应服务,同时也为公司内部成员提供安全事件处理和技术支持。
-------------
17.3 网络安全应急响应预案内容与类型
17.3.1 网络安全事件类型与分级
网络信息安全事件分为:恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
国家网络安全事件等级划分:
1.特别重大网络安全事件
2.重大网络安全事
3.较大网络安全事件
4.一般网络安全事件
17.3.2 网络安全应急响应预案内容
网络安全应急响应预案是指在突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤。一般来说,网络安全应急响应预案的基本内容如下:
1.详细列出系统紧急情况的类型及处理措施。
2.事件处理基本工作流程。
3.应急处理所要采取的具体步骤及操作顺序。
4.执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。
17.3.3 网络安全应急响应预案类型
按照网络安全应急响应预案覆盖的管理区域,可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案。不同级别的网络安全应急响应预案规定的具体要求不同,管理层级高的预案偏向指导,而层级较低的预案侧重千网络安全事件的处置操作规程。
下面给出核心业务系统、门户网站、外部电源中断、黑客入侵等应急处置程序参考模板。
1. 核心业务系统中断或硬件设备故障时的应急处置程序(I级)
2. 门户网站及托管系统遭到完整性破坏时的应急处置程序(I级)
3. 外网系统遭遇黑客入侵攻击时的应急处置程序(II级)
4. 外网系统遭遇拒绝服务攻击时的应急处置程序(II级)
5. 外部电源中断后的应急处置程序(II级)
-------------
17.4 常见网络安全应急事件场景与处理流程
17.4.1 常见网络安全应急处理场景
1. 恶意程序事件
恶意程序事件通常会导致计算机系统响应缓慢、网络流量异常,主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。对恶意程序破坏性蔓延的,由应急响应组织进行处置,可以协调外部组织进行技术协助,分析有害程序,保护现场,必要时切断相关网络连接。
2. 网络攻击事件
a.安全扫描器攻击:黑客利用扫描器对目标系统进行漏洞探测。
b.暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限。
c.系统漏洞攻击:利用操作系统/应用系统中存在的漏洞进行攻击。
3. 网站及 Web 应用安全事件
a.网页篡改:网站页面内容非授权篡改或错误操作。
b.网页挂马:利用网站漏洞,制作网页木马。
c.非法页面:存在赌博、色情、钓鱼等不良网页。
d.Web漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种 Web漏洞进行攻击。
e.网站域名服务劫持 :网站域名服务信息遭受破坏,使得网站域名服务解析指向恶意的网站。
4. 拒绝服务事件
DDoS:攻击者利用 TCP/IP 协议漏洞及服务器网络带宽资源的有限性,发起分布式拒绝服务攻击。
DoS: 服务器存在安全漏洞,导致网站和服务器无法访问,业务中断,用户无法访问。
17.4.2 网络安全应急处理流程
应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结等步骤。
第一步,安全事件报警。
第二步,安全事件确认。
第三步,启动应急预案。
第四步,安全事件处理。
第五步,撰写安全事件报告。
第六步,应急工作总结。
17.4.3 网络安全事件应急演练
网络安全事件应急演练是对假定的网络安全事件出现情况进行模拟响应,以确认应急响应工作机制及网络安全事件预案的有效性。
网络安全事件应急演练的类型:
a.按组织形式划分,可分为桌面应急演练和实战应急演练;
b.按内容划分,可分为单项应急演练和综合应急演练;
c.按目的与作用划分,可分为检验性应急演练、示范性应急演练和研究性应急演练。
网络安全事件应急演练的一般流程是:制定应急演练工作计划,编写应急演练具体方案,组织实施应急演练方案,最后评估和总结应急演练工作,优化改进应急响应机制及应急预案。
-------------
17.5 网络安全应急响应技术与常见工具
17.5.1 网络安全应急响应技术概况
17.5.2 访问控制
访问控制是网络安全应急响应的重要技术手段,其主要用途是控制网络资源不被非法访问,限制安全事件的影响范围。根据访问控制的对象的不同,访问控制的技术手段主要有网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制等。这些访问控制手段可以通过防火墙、代理服务器、路由器、VLAN 、用户身份认证授权等来实现。
17.5.3 网络安全评估
网络安全评估是指对受害系统进行分析,获取受害系统的危害状况。目前,网络安全评估的方法主要有以下几种。
1. 恶意代码检测
2. 漏洞扫描
3. 文件完整性检查
4. 系统配置文件检查
5.网卡混杂模式检查
6. 文件系统检查
7. 日志文件审查
17.5.4 网络安全监测
1. 网络流量监测
Snort 、WireShark 、netstat
2. 系统自身监测
l) 受害系统的网络通信状态监测:netstat
2) 受害系统的操作系统进程活动状态监测:ps
3) 受害系统的用户活动状况监测:who
4) 受害系统的地址解析状况监测:arp
5) 受害系统的进程资源使用状况监测:lsof
17.5.5 系统恢复
系统恢复技术用千将受害系统进行安全处理后,使其重新正常运行,尽量降低攻击造成的损失。系统恢复技术的方法主要有下面几种。
1. 系统紧急启动
2. 恶意代码清除
3. 系统漏洞修补
4. 文件删除恢复
5. 系统备份容灾
17.5.6 入侵取证
入侵取证是指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。依据证据信息变化的特点,可以将证据信息分成两大类:第一类是实时信息或易失信息,例如内存和网络连接;第二类是非易失信息,不会随设备断电而丢失 。
网络安全取证一般包含如下6个步骤:
第 一步,取证现场保护。 保护受害系统或设备的完整性,防止证据信息丢失 。
第 二步,识别证据。 识别可获取的证据信息类型,应用适当的获取技术与工具 。
第 三步,传输证据。 将获取的信息安全地传送到取证设备 。
第四步,保存证据。存储证据,并确保存储的数据与原始数据一致 。
第五步,分析证据。 将有关证据进行关联分析,构造证据链,重现攻击过程。
第六步,提交证据。向管理者、律师或者法院提交证据。
在取证过程中,每一步的执行都涉及相关的技术与工具。
1. 证据获取
典型工具有 ipconfig 、ifconfig 、netstat 、lsof
2. 证据安全保护
md5sum 、 Tripwire
3. 证据分析
grep 、 find
-------------
17.6 网络安全应急响应参考案例
17.6.1 公共互联网网络安全突发事件应急预案
17.6.2 阿里云安全应急响应服务
阿里云安全应急响应服务参照国家信息安全事件响应处理相关标准,帮助云上用户业务在发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的 7X24 小时远程紧急响应处理服务,使云上用户能够快速响应和处理信息安全事件,保障业务安全运营。阿里云安全应急响应服务的主要场景如表 17-5 所示。
阿里云安全应急响应服务的流程如图 17-8 所示。