安全事件管理处置指南：DDOS、恶意代码、未授权访问等事件的处理思路

安全事件管理处置指南：DDOS、恶意代码、未授权访问等事件的处理思路

引用

CSDN

1.

https://blog.csdn.net/m0_63636799/article/details/138187943

本文详细介绍了网络安全事件管理处置的相关内容，包括DDOS事件、恶意代码事件、未授权访问事件和复合型安全事件的处理思路和步骤。文章结构清晰，内容详实，涵盖了事件定义、准备工作、预防工作、检测与分析、限制与消除、证据收集和恢复等多个方面，具有较高的实用性和参考价值。

一、处理DDOS事件

• 事件定义：拒绝服务攻击是通过消耗CPU、内存、带宽或磁盘空间阻碍或破坏对网络、系统或应用的合法使用。

• 常见DDOS类型：

• 反射式DDOS

• 应用型DDOS

• SYN FLOOD等

1.准备工作

• 与ISP及相关服务商沟通，在遭受DDOS时，他们能提供什么服务。如流量清洗、封掉目的IP、限制某类流量的上限、提供DDOS流量日志。并确立明确的帮助流程与人员对接、及响应时间等
• 部署IDS来检测DDOS攻击
• 对现有网络资源进行监控，建立利用率基线
• 建立网络性能检查的监控

2.预防工作

• 使用严格的防火墙规则，禁用某些流量，如echo、chargen、ssdp
• 使用源地址过滤设备，过滤伪造源地址流量
• 对某些协议的比例进行限制，如ICMP
• 对关键的应用和设备实现冗余配置，如多ISP、FW
• 使用CDN保护WEB

3.检测与分析

• DDOS 攻击的前兆

• 在DDOS攻击开始前，一般会有小规模的试探型攻击。

• 应对措施：根据试探攻击的特征来进行防护，或者迁移目标主机，加强对目标主机的保护

• 新发布的DDOS利用工具

• 如2018年2月，攻击Github的memcached

• 应对措施：分析新工具的特征，如memcached使用UDP 11211端口，可以联系ISP或在边界上过滤UDP11211的流量

• DDOS 攻击的迹象

• 用户报告系统不可用

• 无故的连接丢失

• 网络入侵检测报警

• 主机入侵检测报警

• 网络带宽利用率提高

• 大量到单台主机的连接

• 不对称的网络流量，进多出少

• 防火墙或路由器日志

• 数据包源地址不正常

4.限制、消除

• 选择限制策略
• 对被利用的弱点或缺陷进行修补
• 根据攻击特征进行过滤
• 借助ISP力量进行过滤
• 重新部署受攻击目标
• 对攻击者进行反攻

5.证据收集

• 通过观察流量来发现攻击源
• 通过ISP进行追踪
• 了解僵尸网络主机是如何被控制
• 检查大量日志记录

二、处理恶意代码事件

• 恶意代码定义：恶意代码指的是一种被隐蔽插入到另一个程序中的程序，其目的是破坏数据、执行破坏性和入侵性程序或破坏受害者数据的安全性和完整性

• 恶意代码类型：

• 病毒

• 木马

• 蠕虫

• 混合型

1.准备

• 提高用户意识，使用户意识到恶意代码
• 获取反病毒厂商关于最新恶意代码的通告
• 对关键主机部署基于主机的IDS
• 在边界上限制知名的木马连接端口

2.预防

• 使用防病毒软件
• 限制特定后缀的文件，如vbs、ps
• 限定一些工具对文件的传输，如即时消息、网盘等
• 教育用户安全的处理邮件
• 关闭windows隐藏共享
• 配置浏览器策略
• 配置邮件客户端

3.检测与分析

• 恶意代码前兆

• 公开了一个对组织所使用软件的恶意代码利用，如2017年office公式编辑器漏洞

• 反病毒软件成功隔离了一个新的文件

• 恶意代码的迹象

• 反病毒服务器报警文件被感染

• 收发邮件数量突然大量增加

• OFFICE经常使用的模板发生了变化

• 屏幕上出现不正常的东西

• 出现不正常的对话框或请求批准

• 计算机或程序启动很慢

• 系统不稳定和崩溃

• 存在未知本机与远程的连接

• 不正常的端口开启

• 一些未知的进程正在运行

• 主机产生大量的对外流量

4.限制

• 限制策略
• 确定并隔离受感染主机
• 发送未知的病毒样本给反病毒厂商
• 配置邮件服务器来限制邮件传播
• 阻挡特定的主机，通常是木马的控制服务器
• 关闭邮件服务器
• 断开局域网与因特网的连接

5.证据收集

• 尽管可以通过主机日志收集到证据，但恶意代码自身是可以互相传播。
• 确定恶意代码的来源是比较困难的
• 分析病毒样本的网络特性可能会更有意义

6.消除与恢复

• 对受感染的文件进行杀毒、隔离、删除、替换
• 修复被恶意代码利用的弱点，如MS17-010
• 使用未受感染的备份进行恢复

三、处理未授权访问事件

• 未经授权访问定义：未经授权访问就是指访问者通过非法手段，在未经允许的情况下获得使用资源的权限。

• 实现未授权访问的方式：

• 利用系统或程序漏洞

• 非法获取用户名和口令

• 社会工程学

• 常见的未授权访问事件：

• 非法获取服务器root权限

• 非法修改网站主页

• 暴力破解口令

• 数据库脱库

• 网络监听获取口令

1.准备

• 配置基于主机的IDS
• 使用集中的日志服务器并设置告警
• 防止暴力破解 （使用验证码、账号锁定、强密码策略等）

2.预防

• 对网络未授权访问的预防：

• 配置默认拒绝的防火墙策略

• 使用合理的VPN身份验证，如双因子验证

• 划分DMZ区域，并做好区域间访问控制

• 对内网服务器使用私有IP地址，通过NAT转换连网

• 对主机未授权访问的预防：

• 定期进行漏洞扫描

• 关闭主机上不必要的服务

• 使用普通用户运行服务，如新建一个apache的账号运行apache服务

• 开启主机自带防火墙，如windows firewall 、 iptables

• 设置自动锁屏和注销会话的策略

• 定期检查权限配置

• 对用户未授权访问的预防：

• 启用复杂的口令策略

• 在关键系统上使用双因素验证

• 使用强加密算法保护口令

• 建立完整的账号生命周期管理流程

3.检测与分析

• 未授权访问的征兆

• 对系统的扫描侦察活动发生了异象，如每天大量的扫描变突然减少

• 一个新的远程利用漏洞公开，如针对IIS的缓冲区溢出

• 用户反馈收到诱骗邮件，需要用户名输入账号密码

• 一些登录失败的日志

• 未授权访问迹象

• 主机上存安全相关利用工具

• 主机上有不正常的流量

• 主机系统配置发生变化，如进程服务增加、端口增加、日志策略更改

• 重要数据、特权发生变化

• 无法解释的账户登录或使用

• 资源利用率发生明显变化

• IDS的报警

• 异常的日志

• 未授权访问事件一般会分步进行

• 进行扫描侦察工作，发现弱点

• 侦察结束后，会利用弱点进行未授权访问

• 获取基本用户权限后，会利用提权漏洞来获取管理员权限

• 获取管理员权限后会使用rootkit技术来隐藏后门

4.限制、消除

• 限制策略
• 隔离受影响的系统
• 禁用受影响的服务
• 消除攻击者进入系统的路径
• 禁用可能被利用的账号
• 加强物理安全保护

5.证据收集

• 如果怀疑系统被未授权访问， 安全处理人员应立即对系统做完整的映像备份。
• 同时要保存主机、应用、IDS、防火墙日志
• 如果发生物理安全问题，则保存门禁系统日志、监控视频等证据

6.恢复

• 对系统的恢复工作可以基于攻击者获取权限的程序
• 如攻击者获取了管理员权限，建议是从备份中恢复系统，而不是修复系统。因为很难保证rootkit的检测完整
• 如果攻击者只获取部分权限，可以依据日志行为分析攻击者文件。进而恢复。

四、处理复合型安全事件

• 复合型安全事件定义：复合型安全事件是指一次安全事件中包含多种安全事件，如

• 某恶意代码通过邮件感染了员工PC

• 攻击者利用被感染PC破坏了其它服务器或PC

• 攻击者利用获取到权限的设备发起DDOS攻击

• 这次安全事件包含：恶意代码事件、多起未授权访问、DDOS事件

• 复合型安全事件特点

• 分析起来往往非常困难

• 安全人员可能只意识到其中一部分，而没有认识到整体的安全事件

• 处理人员可能知道是多起安全事件，但无法分析其联系

• 处理复合型事件需要丰富的安全事件处理经验

• 其准备、预防工作要包含全面，对组织要求较高

• 处理人员应该限制最先发现的安全事件

• 但安全事件的优先级也同样重要

• 正进行DDOS攻击优先级应该高于一个月前暴发病毒

1.建议

• 使用集中式日志系统和事件关联分析软件
• 限制最初的安全事件，然后查找其它部分的征兆
• 单独对安全事件进行优先级排序