Xinan Soft試験第17章ネットワークセキュリティ緊急対応技術の原理と応用

開発 2023-07-01 20:27:42 訪問数: null

1. ネットワークセキュリティ緊急時対応の概要

  • ネットワーク セキュリティ緊急対応とは、ネットワーク セキュリティ インシデントに対応して、関係者または組織がネットワーク セキュリティ インシデントを監視、早期警告、分析、対応、回復することを指します。
  • ネットワークセキュリティ緊急対応は、サイバースペースセキュリティ保護のための重要なメカニズムであり、対応する法的要件は「中華人民共和国ネットワークセキュリティ法」に明確に規定されています(第5章監視、早期警告および緊急対応)

画像

2. ネットワークセキュリティ緊急時対応組織の設立と運営体制

  • 組織設立

  ネットワークセキュリティ緊急対応組織は、主に緊急主導グループと緊急技術サポートグループで構成されます。ネットワーク セキュリティ緊急対応組織の主な業務には、主に次の側面が含まれます。

  • ネットワークセキュリティ脅威インテリジェンス分析に関する研究
  • ネットワークセキュリティイベントの監視と分析
  • ネットワークセキュリティ早期警戒情報の公開
  • ネットワークセキュリティ緊急対応計画の作成および改訂。
  • ネットワークセキュリティ緊急対応ナレッジベースの開発と管理
  • ネットワークセキュリティ緊急時対応訓練
  • サイバーセキュリティインシデントの対応と処理
  • ネットワークセキュリティインシデントの分析と概要
  • サイバーセキュリティの教育と訓練
  • 動作メカニズム

  ネットワーク セキュリティ緊急対応組織は、組織のネットワーク セキュリティ インシデントを処理、調整、またはサポートを提供するチームです。組織のセキュリティ緊急事態を調整し、コンピュータ ネットワーク セキュリティの監視、早期警告、対応、セキュリティ サービスなどのセキュリティ サービスを組織に提供する責任があります。ネットワーク セキュリティに関する信頼できる情報をタイムリーに収集、検証、要約、公開し、国内外のコンピュータ ネットワーク セキュリティ緊急対応機関と協力および連絡します。

  • 組織の種類

  資金源やサービス対象などのさまざまな要因に応じて、緊急対応チームは次のカテゴリに分類されます:公共の緊急対応チーム、社内の緊急対応チーム、商業用の緊急対応チーム、メーカーの緊急対応チームさまざまな種類のネットワーク セキュリティ緊急対応組織間の関係を図に示します。

画像

3. サイバーセキュリティ緊急対応計画の内容と種類

3.1 ネットワークセキュリティインシデントの種類と分類

  2017年、中央ネットワーク情報局は「国家ネットワークセキュリティインシデント緊急計画」を発行し、ネットワーク情報セキュリティインシデントを悪意のあるプログラムインシデント、ネットワーク攻撃インシデント、情報破壊インシデント、情報コンテンツセキュリティインシデント、機器および設備の故障、壊滅的インシデントに分類した。情報セキュリティインシデントなどの基本的な7分類。

  ネットワーク セキュリティ インシデントが国家安全保障、社会秩序、経済建設、公共の利益に及ぼす影響に応じて、ネットワーク セキュリティ インシデントは、特に重大なネットワーク セキュリティ インシデント、重大なネットワーク セキュリティ インシデント、比較的大規模なネットワーク セキュリティ インシデント、一般的なネットワークの 4 つのレベルに分類できます。表に示すように、セキュリティ インシデント イベント。

画像

画像

3.2 ネットワークセキュリティ緊急時対応計画の内容

  ネットワークセキュリティ緊急時対応計画とは、セキュリティインシデントの種類や事前に想定される想定外の事態に応じて、緊急時のセキュリティインシデントに対処するための作業手順を策定することを指します。一般的に、ネットワークセキュリティ緊急時対応計画の基本的な内容は次のとおりです。

  • システムの緊急事態の種類と対処方法を詳しく列挙します。
  • イベント処理の基本的なワークフロー。
  • 緊急対応で取るべき具体的な手順と一連の操作。
  • 緊急計画の実施に関与する担当者の氏名、住所、電話番号、関連部門の連絡方法。

3.3 ネットワークセキュリティ緊急対応計画の種類

  ネットワークセキュリティ緊急対応計画がカバーする管理領域に応じて、国家レベル、地域レベル、業界レベル、部門レベルおよびその他のネットワークセキュリティインシデント緊急対応計画に分けることができます。ネットワーク セキュリティ緊急対応計画のレベルが異なると、具体的な要件も異なります。上位レベルの計画はガイダンスに偏り、下位レベルの計画はネットワーク セキュリティ インシデントの処理手順に重点を置いています。

  ネットワーク セキュリティの緊急時対応では、ネットワーク情報システムとビジネスの特性に基づいて、より具体的な緊急時対応計画を策定する必要があります。一般に、悪意のあるコードの緊急時計画、ネットワーク機器障害の緊急時計画、コンピュータ ルームの電源異常時など、特定のネットワーク セキュリティ イベントに対しては、特定の処理操作が必要です。供給停止の計画、ウェブページの改ざんに対する緊急時対応計画など。

4. 一般的なネットワークセキュリティ緊急インシデントのシナリオと処理手順

4.1 一般的なネットワーク セキュリティ緊急事態対応シナリオ

  (1) 悪意のあるプログラム イベント: 通常、コンピュータ システムの応答の低下や、主にコンピュータ ウイルス、ネットワーク ワーム、トロイの木馬、ボットネットなどの異常なネットワーク トラフィックを引き起こします。悪意のあるプログラムの破壊的な拡散には、緊急対応組織が対処するものとします。緊急対応組織は、外部組織を調整して、技術支援を提供し、有害なプログラムを分析し、サイトを保護し、必要に応じて関連するネットワーク接続を遮断します。

(2) サイバー攻撃事件

  • セキュリティ スキャナ攻撃: ハッカーはスキャナを使用してターゲット システムの脆弱性を検出します。
  • ブルート フォース クラッキング攻撃: バックグラウンド管理者権限を取得するために、ターゲット システムのアカウント パスワードをブルート フォース クラッキングします。
  • システム脆弱性攻撃:オペレーティングシステムやアプリケーションシステムに存在する脆弱性を悪用した攻撃。

(3) Web サイトおよび Web アプリケーションのセキュリティインシデント

  • Web ページの改ざん: Web ページのコンテンツを不正に改ざんしたり、誤った操作をしたりすること。
  • Web ページの吊り下げ馬: Web サイトの抜け穴を利用して、Web ページのトロイの木馬を作成します。
  • 違法なページ: ギャンブル、ポルノ、釣り、その他の悪質なページがあります。
  • Web 脆弱性攻撃: SQL インジェクション脆弱性、アップロード脆弱性、XSS 脆弱性、不正アクセス脆弱性など、さまざまな Web 脆弱性を介した攻撃。
  • Web サイトのドメイン ネーム サービスのハイジャック: Web サイトのドメイン ネーム サービス情報が破損しているため、Web サイトのドメイン ネーム サービス解決が悪意のある Web サイトを示しています。

(4) サービス拒否イベント

  • DDoS: 攻撃者は、TCP/IP プロトコルの脆弱性と限られたサーバー ネットワーク帯域幅リソースを利用して、分散型サービス拒否攻撃を開始します。
  • DoS: DoS: サーバーにセキュリティ ホールがあり、Web サイトとサーバーにアクセスできなくなり、業務が中断され、ユーザーがアクセスできなくなります。

4.2 ネットワークセキュリティ緊急事態対応プロセス

  緊急イベントの処理には、通常、安全イベントのアラーム、安全イベントの確認、緊急対応計画の起動、安全イベントの処理、安全イベントのレポート作成、緊急作業の概要などの手順が含まれます。

  • 最初のステップは、セキュリティ上のインシデントが発生した場合に警察に通報することです。緊急事態が発生した場合、勤務中のスタッフは時間内に報告するものとします。警報担当者はセキュリティインシデントを正確に説明し、書面による記録を作成する必要があります。安全インシデントの種類に応じて、各安全インシデントは報告規則1-当直者、2-緊急作業グループリーダー、3-緊急リーダーグループに従って順次報告されます。
  • 2 番目のステップは、セキュリティ インシデントを確認することです。安全警報を受信した後、緊急作業グループのリーダーと緊急主導グループは、まず安全事象の種類を判断し、次に緊急計画を起動するかどうかを決定する必要があります。
  • 3 番目のステップは、緊急計画を開始することです。緊急計画とは、緊急事態においてさまざまなセキュリティインシデントに適時かつ効果的に対処するために、さまざまなセキュリティインシデントを十分に考慮した上で策定される応急処理策です。緊急時に緊急計画が見つからない、あるいは発動できないという事態は避けなければなりません。
  • 4 番目のステップは、セキュリティ インシデントに対処することです。セキュリティインシデントへの対応は、少なくとも 2 人が参加する必要がある複雑な作業であり、主に次のような作業が行われます。
  • 準備:関係者に連絡し、必要な情報を交換する。
  • 検出作業: 現場のスナップショットを撮り、証拠として使用される可能性のあるすべての記録 (システム イベント、事故処理担当者によるアクション、外部との通信などを含む) を保護します。
  • 鎮圧作業: 攻撃の範囲を可能な限り制限するための封じ込め措置を講じます。
  • 撲滅作業:問題を解決し、隠れた危険を撲滅し、事故につながるシステムの脆弱性を分析し、是正措置を講じます。現場を清掃するときは、事故をアーカイブするために必要なすべての元の情報を収集し、保存する必要があることに注意してください。
  • 作業を再開: システムを復元して正常に機能するようにします。
  • 概要業務:事故処理報告書の提出、
  • 5 番目のステップは、セキュリティ インシデント レポートを作成することです。インシデント処理作業記録と収集された生データに基づいて、専門家のセキュリティ知識を組み合わせて、セキュリティ インシデント レポートの作成を完了します。
  • 6 番目のステップは、緊急作業を要約することです。緊急作業総括会議を開催し、緊急作業プロセスで発生した問題を確認し、問題の原因を分析し、対応する解決策を見つけます。

5. ネットワークセキュリティ緊急時対応技術と共通ツール

5.1 ネットワークセキュリティ緊急時対応技術の概要

  ネットワーク セキュリティの緊急対応は、複数のテクノロジとセキュリティ メカニズムを包括的に適用する必要がある複雑なプロセスです。ネットワークセキュリティの緊急対応プロセスで一般的に使用されるテクノロジーを表に示します。

画像

  • アクセス制御技術これは、ネットワーク セキュリティの緊急事態に対応するための重要な技術手段であり、その主な目的は、ネットワーク リソースへの不正アクセスを制御し、セキュリティ インシデントの範囲を制限することです。アクセス制御のさまざまな目的に応じて、アクセス制御の技術的手段には主にネットワーク アクセス制御、ホスト アクセス制御、データベース アクセス制御、アプリケーション サービス アクセス制御などが含まれます。これらのアクセス制御方法は、ファイアウォール、プロキシ サーバー、ルーター、VLAN、ユーザー ID の認証と認可などを通じて実装できます。
  • ウェブサイトのセキュリティ評価これは、被害者システムを分析して被害者システムの危険状態を取得することを指します。現在、ネットワークのセキュリティ評価には主に以下の方法があります。

  (1) 悪意のあるコードの監視: 悪意のあるコード検出ツールを使用して、被害者のシステムにウイルス、トロイの木馬、ワーム、またはスパイウェアがインストールされているかどうかを分析します。一般的に使用される悪意のあるコード検出ツールには、主に Dshield_Web Kill (英語名 WebShellKill)、chkrootkit、rkhunter、および 360 ウイルス対策ツールが含まれます。

  (2) 脆弱性スキャン: 脆弱性スキャン ツールを使用して、被害者のシステムに存在する脆弱性を確認し、脆弱性の有害性を分析します。一般的に使用される脆弱性スキャン ツールには、主に Nmap や Nessus などのポート スキャン ツールが含まれます。

  (3) ファイル完全性チェック: ファイル完全性チェックの目的は、被害者システムまたはオペレーティング システムのカーネル内の改ざんされたファイルが置き換えられているかどうかを検出することです。

  (4) システム構成ファイルの検査: 攻撃者は被害者のシステムに侵入した後、通常、その後の攻撃や制御を容易にするためにシステム ファイルを変更します。システム構成ファイルをチェックして分析することにより、ネットワーク管理者は被害者のシステム上での攻撃者の操作を発見できます。たとえば、UNIX システムでは、ネットワーク管理者は次のチェックを実行する必要があります。

  • /etc/passwd ファイルに不審なユーザーがいないか確認してください。
  • /et/inet.conf ファイルが変更されているかどうかを確認します。
  • /etc/services ファイルが変更されているかどうかを確認します。
  • r コマンド設定 /etc/hosts.equiv または .rhosts ファイルを確認してください。
  • 新しい SUID および SGID ファイルを確認するには、次のように find コマンドを使用してシステム内のすべての SUID および SGID ファイルを検索します。
#find / (-perm -004000 -o -perm -002000) -type f -print

  (5) ネットワーク カードの無差別モード チェック: ネットワーク カードの無差別モード チェックの目的は、被害システムにネットワーク スニファがインストールされているかどうかを確認することです。ネットワーク スニファーはネットワーク情報を監視および記録できるため、侵入者は多くの場合ネットワーク スニファーを使用して、ネットワーク上で送信されるユーザー名とパスワードを入手します。現在、UNIX プラットフォームでは CPM (Check Promiscuous Mode) や ifstatus など、システム内のネットワーク スニッファを検出できるソフトウェア ツールがあります。

  (6) ファイル システム チェック: ファイル システム チェックの目的は、被害者のシステムに侵入者によって作成されたファイルが存在するかどうかを確認することです。一般に、侵入者は被害者のシステムに隠しディレクトリまたは隠しファイルを作成して、その後の侵入を容易にします。たとえば、侵入者はトロイの木馬ファイルを /dev ディレクトリに置きます。システム管理者は通常このディレクトリをチェックしないため、トロイの木馬を回避できます。

  (7) ログ ファイルのレビュー: 被害者システムのログ ファイルをレビューすることで、緊急対応担当者が侵入者のシステム侵入パスと侵入者の実行操作を把握できるようになります。

  • ネットワークセキュリティ監視その目的は、被害者システムのネットワーク活動または内部活動を分析し、被害者システムの現在の状態情報を取得することです。現在、ネットワークセキュリティ監視には主に以下の方法があります。

  (1) ネットワークトラフィックの監視。ネットワーク監視ツールを使用することにより、被害者システムのネットワークトラフィックデータが取得され、ネットワーク上の被害者システムの通信情報がマイニングおよび分析され、ネットワーク上の被害者システムの異常な動作、特に一部の動作を発見します。リモート コントロール トロイの木馬、秘密の窃取などの隠れたネットワーク攻撃。トロイの木馬、ネットワーク ワーム、ランサムウェアなど。

  (2) システムの自己監視。システム自己監視の主な目的は、被害者システムの現在の活動状況を把握し、被害者システムに対する侵入者の操作を確認することです。システム自己監視の方法には次の側面が含まれます。

  • 被害者システムのネットワーク通信状態監視
  • 被害システムのオペレーティング システム プロセス アクティビティ ステータスの監視
  • 被害者システムのアクティビティ監視
  • 被害者システムのアドレス解決ステータスの監視
  • 対象システムのプロセスリソース使用状況監視
  • システムの回復システム回復テクノロジーは、セキュリティ処理後に被害システムの通常の動作を復元し、攻撃による損失を最小限に抑えるために使用されます。システム回復テクノロジーの方法は、主に次の側面で構成されます。

  (1) システム緊急起動: パスワードを忘れたり、システム ファイルが失われたりしてコンピュータ システムが正常に使用できなくなった場合、システム緊急起動ディスクを使用して損傷したシステムを回復し、損傷したシステム アクセス権を取り戻すことができます。システム緊急ブートディスクの主な機能は、コンピューティングデバイスのオペレーティングシステムのブートリカバリを実現することであり、主なタイプはCD-ROMとUディスクです。システム緊急起動ディスクには、オペレーティング システムの最小起動の関連ファイルが保存され、関連デバイスの起動を独立して完了できます。

  (2) 悪意のあるコードの削除: 悪意のあるコードによる攻撃を受けるとシステムは正常に使用できなくなり、被害を受けたシステムの悪意のあるコードは特別なセキュリティ ツールを使用して削除されます。

  (3) システムの脆弱性修復: 被害を受けたシステムに対して、セキュリティツールを使用して該当するセキュリティホールを確認し、パッチソフトウェアをインストールします。

  (4) ファイル削除の回復: オペレーティング システムがファイルを削除すると、ファイルのファイル ディレクトリ エントリに削除マークが付けられ、FAT テーブルに占有されているクラスタは空のクラスタとしてマークされますが、DATA テーブルにあるクラスタは空のクラスタとしてマークされます。この領域には、ファイルの元のデータがまだ保持されています。したがって、通常のコンピュータ ファイルの削除は、物理的に消去されるのではなく、論理的にマークされるだけであり、この時点では、削除されたファイルはセキュリティ回復ツールを通じて取得できます。

  (5) システム バックアップと災害復旧: 一般的なバックアップと災害復旧テクノロジには、主にディスク アレイ、デュアル マシンのホット バックアップ システム、および災害復旧センターが含まれます。オペレーティング システムが攻撃を受けて麻痺した場合、バックアップ災害復旧システムが有効になり、ビジネス継続性とデータ セキュリティが維持されます。

  • 侵入フォレンジックこれは、特定のソフトウェアやツールを通じてコン​​ピューターやネットワーク システムから攻撃の証拠を抽出することを指します。証拠情報の変化の特徴に応じて、証拠情報は 2 つのカテゴリに分類できます: 1 つ目はリアルタイム情報またはメモリやネットワーク接続などの揮発性情報、2 つ目は変更されない不揮発性情報です。デバイスの電源がオフになると失われます。

一般に、証拠として使用できる、または証拠に関連付けられる情報は次のとおりです。

  • オペレーティング システム ログ、ネットワーク アクセス ログなどのログ。
  • OSファイルサイズ、ファイル内容、ファイル作成日、スワップファイルなどのファイル。
  • プロセス名、プロセスアクセスファイルなどのシステムプロセス。
  • ユーザー、特にオンラインユーザーのサービス時間、利用方法など:
  • システムによって開かれているサービスやネットワーク動作モードなどのシステムステータス。
  • ネットワークルータの動作ログ等のネットワーク通信接続記録
  • ハードディスク、CD、USB などのディスク メディア、特にディスクの隠しスペース。

ネットワーク セキュリティ フォレンジックには通常、次の 6 つの手順が含まれます。

  • 最初のステップは、証拠収集の現場での保護です。被害者のシステムまたはデバイスの完全性を保護し、証拠情報の損失を防ぎます。
  • 2 番目のステップは証拠を特定することです。取得できる証拠情報の種類を特定し、適切な取得技術とツールを適用します。
  • 3 番目のステップは証拠を送信することです。収集した情報をフォレンジック機器に安全に転送します。
  • 4番目のステップは証拠を保存することです。証拠を保存し、保存されたデータが元のデータと一致していることを確認します。
  • 5 番目のステップは証拠を分析することです。関連する証拠に対して相関分析が実行され、証拠チェーンが構築され、攻撃プロセスが再現されます。
  • 6番目のステップは証拠を提出することです。証拠を管理者、弁護士、または裁判所に提出します。

おすすめ

転載: blog.csdn.net/qq_43632414/article/details/127399037
おすすめ
Open Source Daily | Chrome に組み込まれている Gemini の重要性は、中国の AI 追求に関する 5 つの大きな誤解ではありません。ECharts の創設者は魚を育てるために「海に行った」が、何もありません。驚き
中国のAIチームが「米国のために準備を進めている」という噂にマイクロソフトが反応
ランキング
配列内の重複要素を検索し、繰り返し回数の最小値から最大値までの順に並べ替えます es6
【C++学習記】Ten、C++デザインパターン - 抽象ファクトリーパターン
知人:素人の言語ランタイム(A)に
ist „collision.relativeVelocity.magnitude“ in Unity
Linuxダイナミックリンク(3)のPLTとGOTについて話す-パブリックGOTエントリ
leetcode。図L.207カリキュラム-Java
羅区[] P3518 [POI2011] SEJ、金庫
MySQL にクエリを実行するときに使用するインデックスを指定します
現在のユーザー環境変数とシステムのWin10ベースのビュー
十二の仕事 - あなたの誕生日
アーカイブ
もっと
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)

コードワールド

© 2018 codetd.com