版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、安全事件應(yīng)急響應(yīng)及分析目 錄1) 安全事件響應(yīng)概述及流程介紹2) 網(wǎng)站篡改事件響應(yīng)與分析3) 數(shù)據(jù)泄露事件響應(yīng)與分析4) 日志安全分析實(shí)戰(zhàn)(上機(jī)實(shí)驗(yàn))5) 數(shù)據(jù)恢復(fù)實(shí)戰(zhàn)(上機(jī)實(shí)驗(yàn))1)安全事件響應(yīng)概述 及流程介紹什么是突發(fā)事件中斷正常運(yùn)作的程序并使系統(tǒng)突然陷入某種級(jí)別危機(jī)的事件。計(jì)算機(jī)入侵,拒絕服務(wù)攻擊,信息泄露等。什么是應(yīng)急響應(yīng)信息安全應(yīng)急響應(yīng)是對(duì)危機(jī)信息安全的事件做出及時(shí)、準(zhǔn)確的響應(yīng)處理,綜合利用檢測(cè)、抑制、根除、恢復(fù)等手段,杜絕危害的進(jìn)一步蔓延擴(kuò)大,保證系統(tǒng)能夠提供正常服務(wù)。應(yīng)急響應(yīng)概述漏洞發(fā)布到攻擊出現(xiàn)的時(shí)間越來(lái)越短Witty蠕蟲(chóng)事件、MS08-067花樣翻新,防不勝防尼姆達(dá)蠕蟲(chóng):通過(guò)
2、email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播變種速度令人驚嘆黑客:從單打獨(dú)斗到“精誠(chéng)”合作Botnet攻擊程序日益自動(dòng)化、并唾手可得為什么需要應(yīng)急響應(yīng)確認(rèn)與排除突發(fā)事件是否發(fā)生收集與突發(fā)事件有關(guān)的信息提供有價(jià)值的報(bào)告和建議使損失最小化支持民事或刑事訴訟保護(hù)由法律或者正常規(guī)定的隱私權(quán)應(yīng)急響應(yīng)的目的第一階段:準(zhǔn)備讓我們嚴(yán)陣以待第二階段:確認(rèn)對(duì)情況綜合判斷第三階段:封鎖制止事態(tài)的擴(kuò)大第四階段:根除徹底的補(bǔ)救措施第五階段:恢復(fù)備份,頂上去!第六階段:跟蹤還會(huì)有第二次嗎應(yīng)急響應(yīng)的一般階段Handling the Incident恢復(fù)Recovery根除Eradication發(fā)現(xiàn)Identification
3、預(yù)防Preparation控制Containment跟蹤Follow up AnalysisIncident Response Life Cycle預(yù)防為主幫助服務(wù)對(duì)象建立安全政策幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件掃描,風(fēng)險(xiǎn)分析,打補(bǔ)丁如有條件且得到許可,建立監(jiān)控設(shè)施第一階段準(zhǔn)備建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流程和規(guī)范IntranetPhoneEmailWho?What?When?Where?How?Reporting Mechanisms確定事件的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會(huì)?玩笑?還是惡意的攻擊/入侵?影響的嚴(yán)重程度預(yù)計(jì)采用什么樣的專用資
4、源來(lái)修復(fù)?第二階段確認(rèn)即時(shí)采取的行動(dòng)防止進(jìn)一步的損失,確定后果確定適當(dāng)?shù)姆怄i方法咨詢安全策略確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化可列出若干選項(xiàng),講明各自的風(fēng)險(xiǎn),由服務(wù)對(duì)象選擇第三階段封鎖長(zhǎng)期的補(bǔ)救措施確定原因,定義征兆分析漏洞加強(qiáng)防范修復(fù)隱患修改安全策略第四階段根除被攻擊的系統(tǒng)由備份來(lái)恢復(fù)作一個(gè)新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控第五階段恢復(fù)關(guān)注系統(tǒng)恢復(fù)以后的安全狀況,特別是曾經(jīng)出問(wèn)題的地方建立跟蹤文檔,規(guī)范記錄跟蹤結(jié)果追蹤來(lái)源,建立基線庫(kù)調(diào)查取證第六階段跟蹤外部原因攻擊類型拒絕服務(wù):SYN-flood、UDP-flood、ccDNS欺騙:DNS poisonARP欺騙: arp病毒
5、問(wèn)題分析抓包分析:wireshark簡(jiǎn)單命令:nslookup、arp解決辦法封攻擊者IP原因追查內(nèi)部原因攻擊類型系統(tǒng)被入侵,入侵者已獲取部分權(quán)限或已完全控制系統(tǒng)。問(wèn)題分析系統(tǒng)或應(yīng)用程序存在漏洞解決辦法恢復(fù)系統(tǒng)查找原因清除后門修補(bǔ)漏洞原因追查2) 網(wǎng)絡(luò)流量異常事件 響應(yīng)與分析網(wǎng)絡(luò)流量異常事件網(wǎng)絡(luò)流量異常針對(duì)協(xié)議的攻擊針對(duì)帶寬的流量攻擊其他拒絕服務(wù)攻擊響應(yīng)策略查看關(guān)鍵網(wǎng)絡(luò)設(shè)備,對(duì)網(wǎng)絡(luò)流量做端口鏡像查看IDS等安全設(shè)備的事件記錄對(duì)流量鏡像進(jìn)行人工分析,判斷異常數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)協(xié)議分析設(shè)備進(jìn)行流量分析修改安全設(shè)備防護(hù)策略,對(duì)可疑流量包做丟棄處理對(duì)針對(duì)協(xié)議的攻擊限制其使用帶寬。193)網(wǎng)站篡改事件響應(yīng)與
6、分析網(wǎng)站頁(yè)面篡改案例21篡改事件處置流程安全事件發(fā)生停止網(wǎng)站服務(wù)上報(bào)相關(guān)領(lǐng)導(dǎo)日志分析可疑文件及可疑用戶分析漏洞掃描與安全測(cè)試安全整改上線前測(cè)試22篡改事件分析過(guò)程日志分析(系統(tǒng)日志、中間件日志、應(yīng)用系統(tǒng)日志)可疑文件分析、清除(木馬文件、后門程序、攻擊測(cè)試文件)可疑用戶清除(操作系統(tǒng)用戶、應(yīng)用系統(tǒng)用戶)安全事件整體分析(攻擊來(lái)源、造成危害、攻擊途徑)23審核日志:系統(tǒng)日志應(yīng)用日志安全性日志 Web日志 FTP日志 數(shù)據(jù)庫(kù)日志查看攻擊者遺留痕跡分析入侵原因并彌補(bǔ)漏洞日志審核分析網(wǎng)站系統(tǒng)日志,一般IIS日志和Apache日志等均有web訪問(wèn)詳細(xì)記錄,若日志在系統(tǒng)中已被刪除,應(yīng)通過(guò)日志服務(wù)器或者日志
7、審計(jì)系統(tǒng)查看日志。日志分析有以下方式:分析安全事件發(fā)生時(shí)間段內(nèi)的日志信息,查看是否有異常訪問(wèn)(如網(wǎng)站掃描日志、上傳頁(yè)面日志、管理員登陸頁(yè)面訪問(wèn)日志等)以遭篡改或者掛暗鏈的頁(yè)面名稱為關(guān)鍵字,搜索日志內(nèi)容,判斷是否存在管理員IP之外的訪問(wèn)地址。若存在,則應(yīng)以此地址為關(guān)鍵字做進(jìn)一步分析,判斷攻擊者的攻擊方式和路徑。若網(wǎng)站已被上傳木馬,則查看日志中對(duì)該木馬的訪問(wèn)記錄,進(jìn)而根據(jù)此木馬來(lái)源IP地址為關(guān)鍵字做進(jìn)一步分析。25WEB日志IIS日志在%systemroot%system32logfiles下相應(yīng)子目錄中日志分析WEB日志格式日期和時(shí)間默認(rèn)采用格林威治時(shí)間,比北京時(shí)間晚8小時(shí)客戶端地址服務(wù)器地址服
8、務(wù)器端口方法(GET、POST、PUT、DELETE等)URI資源協(xié)議狀態(tài)請(qǐng)求成功,200-299臨時(shí)資源,300-307請(qǐng)求錯(cuò)誤,400-499服務(wù)器端內(nèi)部錯(cuò)誤,500-599日志分析WEB日志(SQL注入示例)2009-10-13 15:16:42 27 GET /list.asp id=19%20and%20user0|13|80040e07|MicrosoftODBC_SQL_Server_DriverSQL_Server將_nvarchar_值_article_user_轉(zhuǎn)換為數(shù)據(jù)類型為_(kāi)int_的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤。 80 - 4 Mozilla/4.0+日志分析WEB日志(路徑掃描
9、示例)2009-10-13 15:20:44 27 GET /admin_main.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /admintab.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /count.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /root.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET
10、 /htdocs.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /login/login.asp - 80 - 4 Mozilla/4.0 404 0 32009-10-13 15:20:44 27 GET /dvbbs/post_upload.asp - 80 - 4 Mozilla/4.0 404 0 32009-10-13 15:20:44 27 GET /del.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /ok_pass.asp - 80
11、- 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /user/logout.asp - 80 - 4 Mozilla/4.0 404 0 32009-10-13 15:20:44 27 GET /update.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /admindel.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /admin_delete.asp - 80 - 4 Mozilla/4.0 404
12、 0 日志分析可疑賬號(hào)使用net user查看可疑賬戶分析較低級(jí)后門:添加系統(tǒng)帳號(hào);添加其他服務(wù)帳號(hào)(FTP,數(shù)據(jù)庫(kù));二進(jìn)制后門:反向連接型普通后門;動(dòng)態(tài)鏈接庫(kù)后門;配置型后門:隱藏賬號(hào)和克隆帳號(hào)網(wǎng)頁(yè)型后門:webshell可疑文件分析隱藏賬號(hào)形如hack$的隱藏賬號(hào),不能使用net user查看賬戶后門可疑進(jìn)程二進(jìn)制后門可疑端口和服務(wù)二進(jìn)制后門啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
13、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicieesRun回收站根目錄下隱藏的Recycler目錄用戶刪除的文件在以其自身SID為基礎(chǔ)命名的子目錄中臨時(shí)文件夾C:Documents and SettingsDefault UserLocal Settingstemp計(jì)劃任務(wù)使用at命令查看文件后門曾經(jīng)存在的帳戶HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo
14、ws NTCurrentVersionProfileList曾經(jīng)安裝過(guò)的軟件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall操作記錄分析4)數(shù)據(jù)泄露事件響應(yīng)與分析信息泄露安全事件2011年北京市7萬(wàn)高考生個(gè)人信息網(wǎng)上被叫賣,考生以及家長(zhǎng)電話、住址、姓名等隱私信息被網(wǎng)上售賣。市教委工作人員表示,曾多次要求學(xué)校保護(hù)學(xué)生及家長(zhǎng)的隱私,不排除是黑客竊取了考生信息。38數(shù)據(jù)泄露事件分析過(guò)程分析過(guò)程,類似篡改事件日志分析可疑賬戶分析可疑文件分析判斷攻擊者獲取數(shù)據(jù)的攻擊來(lái)源、嘗試方法等還需要什么? 漏洞檢測(cè)39漏洞檢測(cè) 11)
15、 弱口令檢測(cè)網(wǎng)站系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)是否存在弱口令或者可進(jìn)行口令暴力破解2) 網(wǎng)站系統(tǒng)漏洞檢測(cè)網(wǎng)站系統(tǒng)是否存在SQL注入漏洞數(shù)據(jù)庫(kù)文件是否可繞過(guò)驗(yàn)證通過(guò)網(wǎng)站訪問(wèn)獲取網(wǎng)站系統(tǒng)是否存在命令執(zhí)行、任意文件遍歷、文件上傳等漏洞40漏洞檢測(cè) 23) 主機(jī)漏洞檢測(cè)操作系統(tǒng)是否存在嚴(yán)重漏洞主機(jī)是否與其他系統(tǒng)有網(wǎng)絡(luò)隔離,是否可通過(guò)網(wǎng)絡(luò)嗅探的方式獲得數(shù)據(jù)數(shù)據(jù)庫(kù)系統(tǒng)是否存在嚴(yán)重漏洞數(shù)據(jù)庫(kù)系統(tǒng)是否可由任意地址遠(yuǎn)程連接415)日志安全分析實(shí)戰(zhàn)上機(jī)實(shí)驗(yàn)-日志安全分析實(shí)戰(zhàn)實(shí)驗(yàn)?zāi)繕?biāo):了解對(duì)網(wǎng)站攻擊安全事件進(jìn)行日志分析的方法獲取攻擊者的攻擊路徑、利用方式、上傳木馬等信息實(shí)驗(yàn)環(huán)境:客戶端主機(jī):Windows Xp 服務(wù)端主機(jī):windows server 2003/2008WEB中間件:IIS工具:無(wú)43實(shí)驗(yàn)步驟查看IIS屬性,打開(kāi)IIS日志文件夾打開(kāi)最近日期的IIS日志查找
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 兒童樂(lè)園游戲活動(dòng)方案
- 展覽館屋面保溫節(jié)能施工方案
- 金融機(jī)構(gòu)與高校實(shí)習(xí)協(xié)議書(shū)
- 麻醉前知情同意制度的培訓(xùn)與教育策略
- 培訓(xùn)機(jī)構(gòu)師資管理與考核方案
- 企業(yè)主要負(fù)責(zé)人安全培訓(xùn)試題帶答案(B卷)
- 高壓電纜在隧道施工中的應(yīng)用方案
- 新進(jìn)廠職工安全培訓(xùn)試題及答案考試直接用
- 文化創(chuàng)意產(chǎn)業(yè)管理咨詢服務(wù)協(xié)議書(shū)
- 地下室智能家居安裝方案
- 癲癇持續(xù)狀態(tài)課件
- 2020 ACLS-PC-SA課前自我測(cè)試試題及答案
- 電梯安裝改造維修程序文件+記錄2020版-電梯資質(zhì)認(rèn)證用資料正規(guī)機(jī)構(gòu)編制符合TSG-2019要求293頁(yè)
- 新課標(biāo)下的讀后續(xù)寫(xiě)試題的命制與思考
- SOP標(biāo)準(zhǔn)作業(yè)指導(dǎo)書(shū)(模版)
- BIM技術(shù)應(yīng)用管理辦法
- 馬原辨析題題庫(kù)
- ev3產(chǎn)品介紹(頸動(dòng)脈)
- 表格式教學(xué)設(shè)計(jì)方案模板舉例
- 盧森寶亞壓縮空氣泡沫系統(tǒng)
- 桶裝水領(lǐng)用登記表
評(píng)論
0/150
提交評(píng)論