Xinan Soft Examination Capítulo 17 Principios y aplicaciones de la tecnología de respuesta a emergencias de seguridad de red

Enterprise 2023-07-01 20:27:52 views: null

1. Descripción general de la respuesta de emergencia de seguridad de la red

  • La respuesta de emergencia de seguridad de la red se refiere al monitoreo, alerta temprana, análisis, respuesta y recuperación de incidentes de seguridad de la red por parte del personal u organizaciones relevantes en respuesta a incidentes de seguridad de la red.
  • La respuesta de emergencia de seguridad de la red es un mecanismo importante para la protección de la seguridad del ciberespacio, y los requisitos legales correspondientes se establecen claramente en la "Ley de seguridad de la red de la República Popular China" (Capítulo 5 Supervisión, alerta temprana y respuesta de emergencia)

imagen

2. Establecimiento y mecanismo de trabajo de la organización de respuesta a emergencias de seguridad de la red

  • establecimiento de la organización

  La organización de respuesta de emergencia de seguridad de la red está compuesta principalmente por un grupo líder de emergencia y un grupo de soporte técnico de emergencia. El trabajo principal de la organización de respuesta a emergencias de seguridad de la red incluye principalmente los siguientes aspectos:

  • Investigación sobre análisis de inteligencia de amenazas de seguridad de red
  • Monitoreo y Análisis de Eventos de Seguridad en la Red
  • Publicación de información de alerta temprana de seguridad de la red
  • Compilar y revisar el plan de respuesta a emergencias de seguridad de la red;
  • Gestión y desarrollo de la base de conocimientos de respuesta a emergencias de seguridad de red
  • Simulacro de respuesta a emergencias de seguridad de red
  • Respuesta y manejo de incidentes de ciberseguridad
  • Análisis y resumen de incidentes de seguridad en la red
  • Educación y Capacitación en Seguridad Cibernética
  • mecanismo de trabajo

  La organización de respuesta a emergencias de seguridad de la red es un equipo que maneja, coordina o brinda apoyo a los incidentes de seguridad de la red de la organización. Es responsable de coordinar las emergencias de seguridad de la organización y proporcionar a las organizaciones servicios de seguridad, como monitoreo de seguridad de la red informática, alerta temprana, respuesta, y prevención y soporte técnico, recopilar, verificar, resumir y publicar información autorizada sobre seguridad de la red de manera oportuna, y cooperar y comunicarse con organizaciones de respuesta a emergencias de seguridad de redes informáticas nacionales y extranjeras.

  • Tipo de organización

  De acuerdo con diversos factores, como las fuentes de fondos y los objetivos del servicio, los equipos de respuesta a emergencias se dividen en las siguientes categorías: equipos de respuesta a emergencias de bienestar público, equipos de respuesta a emergencias internos, equipos de respuesta a emergencias comerciales y equipos de respuesta a emergencias del fabricante . En la figura se muestra la relación entre los diferentes tipos de organizaciones de respuesta a emergencias de seguridad de red.

imagen

3. Contenido y tipo de plan de respuesta a emergencias de ciberseguridad

3.1 Tipos y clasificaciones de incidentes de seguridad en la red

  En 2017, la Oficina Central de Información de la Red emitió el "Plan de Emergencia para Incidentes de Seguridad de la Red Nacional", que dividió los incidentes de seguridad de la información de la red en incidentes de programas maliciosos, incidentes de ataque a la red, incidentes de destrucción de información, incidentes de seguridad del contenido de la información, fallas de equipos e instalaciones, incidentes catastróficos y otros 7 clasificaciones básicas como incidentes de seguridad de la información.

  De acuerdo con el impacto de los incidentes de seguridad de la red en la seguridad nacional, el orden social, la construcción económica y los intereses públicos, los incidentes de seguridad de la red se pueden dividir en cuatro niveles: incidentes de seguridad de la red particularmente importantes, incidentes de seguridad de la red importantes, incidentes de seguridad de la red relativamente grandes e incidentes de seguridad de la red en general. incidentes de seguridad eventos, como se muestra en la tabla.

imagen

imagen

3.2 Contenido del plan de respuesta a emergencias de seguridad de la red

  El plan de respuesta a emergencias de seguridad de la red se refiere a la formulación de pasos de trabajo para enfrentar los incidentes de seguridad en caso de una emergencia, de acuerdo con los tipos de incidentes de seguridad y situaciones inesperadas preconcebidas. Con carácter general, los contenidos básicos del plan de respuesta a emergencias de seguridad de la red son los siguientes:

  • Enumere los tipos y medidas de manejo de emergencias del sistema en detalle.
  • Flujo de trabajo básico de manejo de eventos.
  • Pasos específicos y secuencia de operaciones a ser tomadas en respuesta a emergencias.
  • Los nombres, direcciones, números de teléfono y métodos de contacto de los departamentos funcionales relevantes del personal involucrado en la implementación del plan de emergencia.

3.3 Tipos de Planes de Respuesta a Emergencias de Seguridad de la Red

  De acuerdo con el área de gestión cubierta por el plan de respuesta a emergencias de seguridad de la red, se puede dividir en planes de emergencia a nivel nacional, regional, industrial, departamental y otros incidentes de seguridad de la red. Los diferentes niveles de planes de respuesta a emergencias de seguridad de la red tienen diferentes requisitos específicos. Los planes de alto nivel están sesgados hacia la orientación, mientras que los planes de bajo nivel se enfocan en los procedimientos de manejo de incidentes de seguridad de la red.

  La respuesta de emergencia de seguridad de la red debe formular planes de respuesta de emergencia más específicos basados ​​en los sistemas de información de la red y las características comerciales. Generalmente, se requieren operaciones de eliminación específicas para eventos específicos de seguridad de la red, como planes de emergencia de código malicioso, planes de emergencia de falla de equipo de red, energía de la sala de computadoras. planes de interrupción del suministro, planes de contingencia por manipulación de páginas web, etc.

4. Escenarios de incidentes de emergencia de seguridad de red comunes y procedimientos de procesamiento

4.1 Escenarios comunes de manejo de emergencias de seguridad de red

  (1) Eventos de programas maliciosos : generalmente conducen a una respuesta lenta del sistema informático y un tráfico de red anormal, que incluye principalmente virus informáticos, gusanos de red, caballos de Troya y botnets. La organización de respuesta a emergencias se ocupará de la propagación destructiva de programas maliciosos, que puede coordinar organizaciones externas para brindar asistencia técnica, analizar programas dañinos, proteger el sitio y cortar las conexiones de red relevantes si es necesario.

(2) Incidentes de ciberataques

  • Ataque de escáner de seguridad: los piratas informáticos utilizan escáneres para detectar vulnerabilidades en el sistema de destino.
  • Ataque de descifrado de fuerza bruta: descifrado de fuerza bruta de la contraseña de la cuenta del sistema de destino para obtener privilegios de administrador en segundo plano.
  • Ataque de vulnerabilidad del sistema: ataque mediante la explotación de las vulnerabilidades existentes en el sistema operativo/sistema de aplicación.

(3) Incidentes de seguridad de sitios web y aplicaciones web

  • Manipulación de páginas web: manipulación no autorizada u operación incorrecta del contenido de la página web.
  • Caballo colgante de la página web: aproveche las lagunas del sitio web para crear un caballo de Troya de la página web.
  • Páginas ilegales: Hay juegos de azar, pornografía, pesca y otras páginas malas.
  • Ataque de vulnerabilidad web: ataque a través de varias vulnerabilidades web, como vulnerabilidades de inyección SQL, vulnerabilidades de carga, vulnerabilidades XSS y vulnerabilidades de acceso no autorizado.
  • Secuestro del servicio de nombres de dominio del sitio web: la información del servicio de nombres de dominio del sitio web está dañada, por lo que la resolución del servicio de nombres de dominio del sitio web apunta a un sitio web malicioso.

(4) Evento de denegación de servicio

  • DDoS: los atacantes utilizan las vulnerabilidades del protocolo TCP/IP y los recursos limitados de ancho de banda de la red del servidor para lanzar ataques distribuidos de denegación de servicio.
  • DoS: DoS: hay un agujero de seguridad en el servidor, lo que hace que el sitio web y el servidor sean inaccesibles, la interrupción del negocio y los usuarios no pueden acceder.

4.2 Proceso de manejo de emergencias de seguridad de la red

  El manejo de eventos de emergencia generalmente incluye pasos como alarma de eventos de seguridad, confirmación de eventos de seguridad, activación del plan de respuesta de emergencia, manejo de eventos de seguridad, redacción de informes de eventos de seguridad y resumen de trabajo de emergencia.

  • El primer paso es llamar a la policía por incidentes de seguridad. Cuando ocurra una emergencia, el personal de turno deberá informarla a tiempo. El personal de alarma debe describir con precisión el incidente de seguridad y hacer un registro por escrito. De acuerdo con el tipo de incidentes de seguridad, cada incidente de seguridad se informará secuencialmente de acuerdo con las normas de notificación 1-la persona de turno, 2-líder del grupo de trabajo de emergencia, 3-grupo líder de emergencia.
  • El segundo paso es confirmar el incidente de seguridad. Después de recibir la alarma de seguridad, el líder del grupo de trabajo de emergencia y el grupo líder de emergencia primero deben juzgar el tipo de evento de seguridad y luego determinar si activar el plan de emergencia.
  • El tercer paso es poner en marcha el plan de emergencia. El plan de emergencia son las medidas de tratamiento de emergencia formuladas después de considerar completamente varios incidentes de seguridad, para tratar varios incidentes de seguridad de manera oportuna y efectiva en situaciones de emergencia. Es necesario evitar la situación de que el plan de emergencia no se pueda encontrar o no se pueda activar en caso de emergencia.
  • El cuarto paso es manejar los incidentes de seguridad. El manejo de incidentes de seguridad es una tarea compleja que requiere la participación de al menos dos personas, las tareas que se manejan incluyen principalmente las siguientes
  • Preparativos: Informe al personal pertinente e intercambie la información necesaria.
  • Trabajo de detección: tome una instantánea de la escena y proteja todos los registros que puedan usarse como evidencia (incluidos los eventos del sistema, las acciones tomadas por los manejadores de accidentes, la comunicación con el mundo exterior, etc.).
  • Trabajo de supresión: Tomar medidas de contención para limitar al máximo el alcance del ataque.
  • Trabajo de erradicación: resuelva problemas, elimine peligros ocultos, analice las vulnerabilidades del sistema que provocan accidentes y tome medidas correctivas. Cabe señalar que al limpiar la escena, se debe recopilar y conservar toda la información original necesaria para archivar el accidente.
  • Reanudar trabajo: restaura el sistema para que funcione normalmente.
  • Resumen de trabajo: Presentar el informe de manejo de accidentes,
  • El quinto paso es escribir un informe de incidente de seguridad. De acuerdo con los registros de trabajo de manejo de incidentes y los datos sin procesar recopilados, combinados con el conocimiento de seguridad de los expertos, complete la redacción del informe de incidente de seguridad.
  • El sexto paso es resumir el trabajo de emergencia. Realice una reunión de resumen del trabajo de emergencia, revise los problemas encontrados en el proceso de trabajo de emergencia, analice las causas de los problemas y encuentre las soluciones correspondientes.

5. Tecnologías de respuesta a emergencias de seguridad de red y herramientas comunes

5.1 Descripción general de la tecnología de respuesta a emergencias de seguridad de red

  La respuesta a emergencias de seguridad de red es un proceso complejo que requiere la aplicación integral de múltiples tecnologías y mecanismos de seguridad. Las tecnologías comúnmente utilizadas en el proceso de respuesta a emergencias de seguridad de la red se muestran en la tabla.

imagen

  • tecnología de control de acceso. Es un medio técnico importante para la respuesta a emergencias de seguridad de la red. Su objetivo principal es controlar los recursos de la red para que no se acceda ilegalmente y limitar el alcance de los incidentes de seguridad. De acuerdo con los diferentes objetos de control de acceso, los medios técnicos de control de acceso incluyen principalmente control de acceso a la red, control de acceso al host, control de acceso a la base de datos, control de acceso al servicio de aplicaciones, etc. Estos métodos de control de acceso se pueden implementar a través de firewalls, servidores proxy, enrutadores, VLAN, autenticación y autorización de identidad de usuario, etc.
  • Evaluación de seguridad del sitio web. Se refiere al análisis del sistema víctima para obtener el estado de peligro del sistema víctima. En la actualidad, existen principalmente los siguientes métodos para la evaluación de la seguridad de la red:

  (1) Supervisión de código malicioso: use herramientas de detección de código malicioso para analizar si el sistema de la víctima ha instalado virus, caballos de Troya, gusanos o spyware. Las herramientas de detección de códigos maliciosos de uso común incluyen principalmente Dshield_Web Kill (nombre en inglés WebShellKill), chkrootkit, rkhunter y las herramientas antivirus 360.

  (2) Escaneo de vulnerabilidades: use la herramienta de escaneo de vulnerabilidades para verificar las vulnerabilidades existentes en el sistema de la víctima y luego analice la nocividad de las vulnerabilidades. Las herramientas de escaneo de vulnerabilidades de uso común incluyen principalmente herramientas de escaneo de puertos como Nmap y Nessus.

  (3) Verificación de integridad de archivos: el propósito de la verificación de integridad de archivos es descubrir si los archivos manipulados en el sistema de la víctima o el kernel del sistema operativo han sido reemplazados.

  (4) Inspección del archivo de configuración del sistema: después de que el atacante ingrese al sistema de la víctima, generalmente modificará los archivos del sistema para facilitar los ataques o el control posteriores. Al verificar y analizar los archivos de configuración del sistema, los administradores de red pueden descubrir las operaciones del atacante en el sistema de la víctima. Por ejemplo, en un sistema UNIX, el administrador de la red debe realizar las siguientes comprobaciones

  • Compruebe el archivo /etc/passwd en busca de usuarios sospechosos.
  • Compruebe si se ha modificado el archivo /et/inet.conf.
  • Compruebe si el archivo /etc/services se ha modificado.
  • Verifique la configuración del comando r /etc/hosts.equiv o el archivo .rhosts.
  • Para verificar los nuevos archivos SUID y SGID, use el comando de búsqueda para encontrar todos los archivos SUID y SGID en el sistema, de la siguiente manera:
#find / (-perm -004000 -o -perm -002000) -type f -print

  (5) Comprobación del modo promiscuo de la tarjeta de red: el objetivo de la comprobación del modo promiscuo de la tarjeta de red es confirmar si hay instalado un rastreador de red en el sistema de la víctima. Debido a que los rastreadores de red pueden monitorear y registrar información de la red, los intrusos a menudo usan rastreadores de red para obtener nombres de usuario y contraseñas transmitidas a través de la red. Actualmente, existen herramientas de software que pueden detectar rastreadores de red en el sistema, como CPM (Check Promiscuous Mode) e ifstatus bajo la plataforma UNIX.

  (6) Verificación del sistema de archivos: El propósito de la verificación del sistema de archivos es confirmar si hay archivos creados por el intruso en el sistema de la víctima. En términos generales, los intrusos crearán directorios ocultos o archivos ocultos en el sistema de la víctima para facilitar las intrusiones posteriores. Por ejemplo, los intrusos colocan archivos de caballos de Troya en el directorio /dev, porque los administradores del sistema generalmente no verifican este directorio, por lo que se puede evitar el caballo de Troya.

  (7) Revisión del archivo de registro: la revisión de los archivos de registro del sistema de la víctima puede permitir que el personal de respuesta de emergencia comprenda la ruta de intrusión del sistema del intruso y las operaciones de ejecución del intruso.

  • Monitoreo de seguridad de red. El propósito es analizar las actividades de red o actividades internas del sistema de la víctima y obtener la información del estado actual del sistema de la víctima. En la actualidad, existen principalmente los siguientes métodos para monitorear la seguridad de la red:

  (1) Monitoreo del tráfico de red. Mediante el uso de herramientas de monitoreo de red, se obtienen los datos de tráfico de red del sistema víctima y se extrae y analiza la información de comunicación del sistema víctima en la red para descubrir el comportamiento anormal del sistema víctima en la red, especialmente algunos Ataques de red ocultos, como troyanos de control remoto, robo de secretos, etc. Caballos de Troya, gusanos de red, ransomware, etc.

  (2) Autocontrol del sistema. El propósito de la autosupervisión del sistema es principalmente comprender el estado de actividad actual del sistema víctima para confirmar la operación del intruso en el sistema víctima. El método de autocontrol del sistema incluye los siguientes aspectos.

  • Supervisión del estado de comunicación de la red del sistema de la víctima
  • Supervisión del estado de actividad del proceso del sistema operativo del sistema víctima
  • Supervisión de la actividad del sistema de la víctima
  • Supervisión del estado de resolución de direcciones del sistema de la víctima
  • Supervisión del estado de uso de los recursos del proceso del sistema víctima
  • recuperación del sistema. La tecnología de recuperación del sistema se utiliza para restaurar el funcionamiento normal del sistema de la víctima después del tratamiento de seguridad y minimizar la pérdida causada por el ataque. El método de la tecnología de recuperación del sistema consta principalmente de los siguientes aspectos:

  (1) Arranque de emergencia del sistema: cuando el sistema informático no se puede usar normalmente debido a contraseñas olvidadas o pérdida de archivos del sistema, el sistema dañado se puede recuperar utilizando el disco de arranque de emergencia del sistema y se pueden recuperar los derechos de acceso al sistema dañado. La función principal del disco de arranque de emergencia del sistema es realizar la recuperación de arranque del sistema operativo del dispositivo informático, y los tipos principales son CD-ROM y disco U. El disco de inicio de emergencia del sistema guarda los archivos relacionados con el inicio mínimo del sistema operativo y puede completar de forma independiente el inicio de los dispositivos relacionados.

  (2) Eliminación de código malicioso: el sistema no se puede usar normalmente después de ser atacado por códigos maliciosos, y los códigos maliciosos del sistema víctima se eliminan mediante el uso de herramientas de seguridad especiales.

  (3) Reparación de vulnerabilidades del sistema: para el sistema víctima, verifique los agujeros de seguridad correspondientes a través de herramientas de seguridad y luego instale el software de parche.

  (4) Recuperación de eliminación de archivos: cuando el sistema operativo elimina un archivo, solo hace una marca de eliminación en la entrada del directorio de archivos del archivo y marca el grupo ocupado en la tabla FAT como un grupo vacío, mientras que el grupo en la tabla DATA el área aún conserva los datos originales el contenido del archivo. Por lo tanto, la eliminación de archivos informáticos ordinarios solo se marca lógicamente, en lugar de borrarse físicamente. En este momento, los archivos eliminados se pueden recuperar a través de la herramienta de recuperación de seguridad.

  (5) Respaldo del sistema y recuperación ante desastres: las tecnologías comunes de respaldo y recuperación ante desastres incluyen principalmente arreglos de discos, sistemas de respaldo en caliente de dos máquinas y centros de recuperación ante desastres. Cuando el sistema operativo es atacado y paralizado, el sistema de recuperación ante desastres de respaldo se habilita para mantener la continuidad del negocio y la seguridad de los datos.

  • Análisis forense de intrusión. Se refiere a la extracción de evidencia de ataque de sistemas informáticos y de red a través de software y herramientas específicas. De acuerdo con las características de los cambios en la información de evidencia, la información de evidencia se puede dividir en dos categorías: la primera categoría es información en tiempo real o información volátil, como memoria y conexión de red; la segunda categoría es información no volátil, que no será se pierde cuando el dispositivo está apagado.

En general, la información que se puede utilizar como evidencia o asociada con la evidencia es la siguiente:

  • Registros, como registros del sistema operativo, registros de acceso a la red, etc.;
  • Archivos, como el tamaño del archivo del sistema operativo, el contenido del archivo, la fecha de creación del archivo, el archivo de intercambio, etc.;
  • Proceso del sistema, como el nombre del proceso, el archivo de acceso al proceso, etc.;
  • Usuarios, especialmente los horarios de atención de los usuarios en línea, métodos de uso, etc.:
  • Estado del sistema, como los servicios abiertos por el sistema y el modo de funcionamiento de la red, etc.;
  • Registros de conexión de comunicación de red, como registros de operación de enrutador de red, etc.;
  • Medios de disco, incluidos disco duro, CD, USB, etc., especialmente espacio oculto en disco.

El análisis forense de seguridad de red generalmente incluye los siguientes seis pasos:

  • El primer paso es la protección in situ de la recogida de pruebas. Proteja la integridad del sistema o dispositivo de la víctima y evite la pérdida de información de evidencia.
  • El segundo paso es identificar la evidencia. Identificar los tipos de información probatoria que se pueden obtener y aplicar técnicas y herramientas de adquisición apropiadas.
  • El tercer paso es transmitir pruebas. Transfiera de forma segura la información capturada al equipo forense.
  • El cuarto paso es guardar la evidencia. Almacene evidencia y asegúrese de que los datos almacenados sean consistentes con los datos originales.
  • El quinto paso es analizar la evidencia. Se lleva a cabo un análisis de correlación sobre la evidencia relevante, se construye la cadena de evidencia y se reproduce el proceso de ataque.
  • El sexto paso es presentar pruebas. Presentar pruebas a los administradores, abogados o al tribunal.

Supongo que te gusta

Origin blog.csdn.net/qq_43632414/article/details/127399037
Recomendado
Clasificación
Diario
Más
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)
2024-04-24(31)
2024-04-23(29)
2024-04-22(5)
2024-04-21(0)

Code World

© 2018 codetd.com