一、网络安全应急响应概述
- 网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、 分析、响应和恢复等工作
- 网络安全应急响应是网络空间安全保障的重要机制,《中华人民共和国网络安全法》(第五章监测预警与应急处置)中明确地给出了相应的法律要求
二、网络安全应急响应组织建立与工作机制
- 组织建立
网络安全应急响应组织主要由应急领导组和应急技术支撑组构成。网络安全应急响应组织的主要工作主要包括如下几个方面:
- 网络安全威胁情报分析研究
- 网络安全事件的监测与分析
- 网络安全预警信息发布
- 网络安全应急响应预案编写与修订;
- 网络安全应急响应知识库开发与管理
- 网络安全应急响应演练
- 网络安全事件响应和处置
- 网络安全事件分析和总结
- 网络安全教育与培训
- 工作机制
网络安全应急响应组织是对组织机构的网络安全事件进行处理、协调或提供支持的团队,负责协调组织机构的安全紧急事件,为组织机构提供计算机网络安全的监测、预警、响应、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关网络安全的权威性信息,并与国内外计算机网络安全应急响应组织进行合作和交流。
- 组织类型
根据资金的来源、服务的对象等多种因素,应急响应组分成以下几类:公益性应急响应组、内部应急响应组、商业性应急响应组、厂商应急响应组。不同类型的网络安全应急响应组织的关系如图所示。
三、网络安全应急响预案内容与类型
3.1 网络安全事件类型与分级
2017年中央网信办发布《国家网络安全事件应急预案》,其中把网络信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度,可以将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件,如表所示。
3.2 网络安全应急响应预案内容
网络安全应急响应预案是指在突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤。一般来说,网络安全应急响应预案的基本内容如下:
- 详细列出系统紧急情况的类型及处理措施。
- 事件处理基本工作流程。
- 应急处理所要采取的具体步骤及操作顺序。
- 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。
3.3 网络安全应急响应预案类型
按照网络安全应急响应预案覆盖的管理区域,可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案。不同级别的网络安全应急响应预案规定的具体要求不同,管理层级高的预案偏向指导,而层级较低的预案侧重于网络安全事件的处置操作规程。
网络安全应急响应要根据网络信息系统及业务特点,制订更具体化的应急响应预案,一般要求针对特定的网络安全事件给出具体处置操作,如恶意代码应急预案、网络设备故障应急预案、机房电力供应中断应急预案、网站网页篡改应急预案等。
四、常见网络安全应急事件场景与处理流程
4.1 常见网络安全应急处理场景
(1)恶意程序事件:通常会导致计算机系统响应缓慢、网络流量异常,主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。对恶意程序破坏性蔓延的,由应急响应组织进行处置,可以协调外部组织进行技术协助,分析有害程序,保护现场,必要时切断相关网络连接。
(2)网络攻击事件
- 安全扫描器攻击:黑客利用扫描器对目标系统进行漏洞探测。
- 暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限。
- 系统漏洞攻击:利用操作系统/应用系统中存在的漏洞进行攻击。
(3)网站及Web应用安全事件
- 网页篡改:网站页面内容非授权篡改或错误操作。
- 网页挂马:利用网站漏洞,制作网页木马。
- 非法页面:存在赌博、色情、钓鱼等不良网页。
- Web漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种Web漏洞进行攻击。
- 网站域:名服务劫持:网站域名服务信息遭受破坏,使得网站域名服务解析指向恶意的网站。
(4)拒绝服务事件
- DDoS:攻击者利用TCP/IP协议漏洞及服务器网络带宽资源的有限性,发起分布式拒绝服务攻击。
- DoS:DoS:服务器存在安全漏洞,导致网站和服务器无法访问,业务中断,用户无法访问。
4.2 网络安全应急处理流程
应急事件处理一般包括安全事件报警、 安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结等步骤。
- 第一步,安全事件报警。发生紧急情况时,由值班工作人员及时报告。报警人员要准确描述安全事件,并做书面记录。根据安全事件的类型,各安全事件按呈报条例依次报告1-值班人员、2-应急工作组长、3-应急领导小组。
- 第二步,安全事件确认。应急工作组长和应急领导小组接到安全报警之后,首先应当判断安全事件的类型,然后确定是否启动应急预案。
- 第三步,启动应急预案。应急预案是充分考虑各种安全事件后,制定的应急处理措施,以便在紧急情况下,及时有效地应付各类安全事件。必须避免在紧急情况下,找不到应急预案,或无法启动应急预案的情况。
- 第四步,安全事件处理。安全事件处理是一件复杂的工作,要求至少两人参加,所处理的工作主要包括如下内容
- 准备工作:通知相关人员,交换必要的信息。
- 检测工作:对现场做快照,保护一切可能作为证据的记录(包括系统事件、事故处理者所采取的行动、与外界沟通的情况等)。
- 抑制工作:采取围堵措施,尽量限制攻击涉及的范围。
- 根除工作:解决问题,根除隐患,分析导致事故发生的系统脆弱点,并采取补救措施。需要注意的是,在清理现场时,一定要采集保存所有必要的原始信息,对事故进行存档。
- 恢复工作:恢复系统,使系统正常运行。
- 总结工作:提交事故处理报告,
- 第五步,撰写安全事件报告。根据事件处理工作记录和所搜集到的原始数据,结合专家的安全知识,完成安全事件报告的撰写。
- 第六步,应急工作总结。召开应急工作总结会议,回顾应急工作过程中所遇到的问题,分析问题引起的原因,并找出相应的解决方法。
五、网络安全应急响应技术与常见工具
5.1 网络安全应急响应技术概况
网络安全应急响应是要给复杂的过程,需要综合应用多种技术和安全机制。在网络安全应急响应过程中,常用到的技术,如表所示。
- 访问控制技术。是网络安全应急响应的重要技术手段,其主要用途是控制网络资源不被非法访问,限制安全事件的影响范围。根据访问控制的对象的不同,访问控制的技术手段主要有网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制等。这些访问控制手段可以通过防火墙、代理服务器、路由器、VLAN、 用户身份认证授权等来实现。
- 网站安全评估。是指对受害系统进行分析,获取受害系统的危害状况。目前网络安全评估的方法主要有以下几种:
(1)恶意代码监测:利用恶意代码检测工具分析受害系统是否安装了病毒、木马、蠕虫或间谍软件。常用的恶意代码检测工具主要有D盾_ Web查杀(英文名WebShellKill)、chkrootkit、 rkhunter 以及360杀毒工具等。
(2)漏洞扫描:通过漏洞扫描工具检查受害系统所存在的漏洞,然后分析漏洞的危害性。常用的漏洞扫描工具主要有端口扫描工具Nmap、Nessus 等。
(3)文件完整性检查:文件完整性检查的目的是发现受害系统中被篡改的文件或操作系统的内核是否被替换。
(4)系统配置文件检查:攻击者进入受害系统后,一般会对系统文件进行修改,以利于后续攻击或控制。网络管理员通过对系统配置文件检查分析,可以发现攻击者对受害系统的操作。例如,在UNIX系统中,网络管理员需要进行下列检查
- 检查/etc/passwd文件中是否有可疑的用户。
- 检查/et/inet.conf文件是否被修改过。
- 检查/etc/services文件是否被修改过。
- 检查r命令配置/etc/hosts.equiv或者.rhosts文件。
- 检查新的SUID和SGID文件,使用find命令找出系统中的所有SUID和SGID文件,如下:
#find / (-perm -004000 -o -perm -002000) -type f -print
(5)网卡混杂模式检查:网卡混杂模式检查的目的是确认受害系统中是否安装了网络嗅探器。由于网络嗅探器可以监视和记录网络信息,入侵者通常会使用网络嗅探器获得网络上传输的用户名和密码。目前,已有软件工具可以检测系统内的网络嗅探器,例如UNIX平台下的CPM (Check Promiscuous Mode)、ifstatus 等。
(6)文件系统检查:文件系统检查的目的是确认受害系统中是否有入侵者创建的文件。一般来说,入侵者会在受害系统中建立隐藏目录或隐藏文件,以利于后续入侵。例如,入侵者把特洛伊木马文件放在/dev目录中,因为系统管理员通常不去查看该目录,从而可以避免木马被发现。
(7)日志文件审查:审查受害系统的日志文件,可以让应急响应人员掌握入侵者的系统侵入途径、入侵者的执行操作。
- 网络安全监测。目的是对受害系统的网络活动或内部活动进行分析,获取受害系统的当前状态信息。目前网络安全监测的方法主要有以下几种:
(1)网络流量监测。通过利用网络监测工具,获取受害系统的网络流量数据,挖掘分析受害系统在网络上的通信信息,以发现受害系统的网,上异常行为,特别是一些隐蔽的网络攻击,如远控木马、窃密木马、网络蠕虫、勒索病毒等。
(2)系统自身监测。系统自身监测的目的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。
- 受害系统的网络通信状态监测
- 受害系统的操作系统进程活动状态监测
- 受害系统的活动状况监测
- 受害系统的地址解析状况监测
- 受害系统的进程资源使用状态监测
- 系统恢复。系统恢复技术用于将受害系统进行安全处理后,使其重新正常运行,尽量降低攻击造成的损失。系统恢复技术的方法主要由以下几方面:
(1)系统应急启动:当计算机系统因口令遗忘、系统文件丢失等导致系统无法正常使用的时候,利用系统紧急启动盘可以恢复受损的系统,重新获取受损的系统访问权限。系统紧急启动盘主要的作用是实现计算设备的操作系统引导恢复,主要类型有光盘、U盘。系统紧急启动盘保存操作系统最小化启动相关文件,能够独立完成对相关设备的启动。
(2)恶意代码清除:系统遭受恶意代码攻击后无法正常使用,通过使用安全专用工具,对受害系统的恶意代码进行清除。
(3)系统漏洞修补:针对受害系统,通过安全工具检查相应的安全漏洞,然后安装补丁软件。
(4)文件删除恢复:操作系统删除文件时,只是在该文件的文件目录项上做一个删除标记,把FAT表中所占用的簇标记为空簇,而DATA区域中的簇仍旧保存着原文件的内容。因此,计算机普通文件删除只是逻辑做标记,而不是物理上清除,此时通过安全恢复工具,可以把已删除的文件找回来。
(5)系统备份容灾:常见的备份容灾技术主要有磁盘阵列、双机热备系统、容灾中心等。当运行系统受到攻击瘫瘓后,启用备份容灾系统,以保持业务连续运行和数据安全。
- 入侵取证。指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。依据证据信息变化的特点,可以将证据信息分成两大类:第一 类是实时信息或易失信息,例如内存和网络连接;第二类是非易失信息,不会随设备断电而丢失。
通常,可以作为证据或证据关联的信息有以下几种:
- 日志,如操作系统日志、网络访问日志等;
- 文件,如操作系统文件大小、文件内容、文件创建日期、交换文件等;
- 系统进程,如进程名、进程访问文件等;
- 用户,特别是在线用户的服务时间、使用方式等:以
- 系统状态,如系统开放的服务及网络运行的模式等;
- 网络通信连接记录,如网络路由器的运行日志等;
- 磁盘介质,包括硬盘、光盘、USB等,特别是磁盘隐藏空间。
网络安全取证一般包含如下 6个步骤:
- 第一步,取证现场保护。保护受害系统或设备的完整性,防止证据信息丢失。
- 第二步,识别证据。识别可获取的证据信息类型,应用适当的获取技术与工具。
- 第三步,传输证据。将获取的信息安全地传送到取证设备。
- 第四步,保存证据。存储证据,并确保存储的数据与原始数据- -致。
- 第五步,分析证据。将有关证据进行关联分析,构造证据链,重现攻击过程。
- 第六步,提交证据。向管理者、律师或者法院提交证据。