事件级别
红色 1 特别重大
橙色 2 重大
黄色 3 较大
蓝色 4 一般
事件类型
1、应用安全
Webshell、网页篡改(2001中美黑客大战)、网页挂马
2、系统安全
勒索病毒、挖矿木马、远控后门
批量、0day、1day;漏洞:redis未授权、struts2、ssh爆破
3、网络安全
DDOS攻击、ARP攻击、流量劫持
4、数据安全
数据泄露、损坏、加密
微盟事件:rm -rf
如何做应急响应
1、确定攻击时间
缩小应急响应范围,有助于提高效率
2、查找攻击线索
能够知道攻击者做了什么事情
3、梳理攻击流程
还原整个攻击场景
4、实施解决方案
修复漏洞,切断攻击途径
5、定位攻击者
溯源取证
tg社工库
应急响应模型 (PDCERF)
1 准备 Preparation
应急团队建设
应急方案制订
渗透测试评估
安全基线检查
2 检查 Detection
判断事件类型
判断事件级别
确定应急方案
3 抑制 Containment
限制攻击/破坏波及的范围,同时也是在降低潜在的损失:
阻断:IP地址、网络连接、危险主机
关闭:可疑进程、可疑服务
删除:违规账号、危险文件
4 根除 Eradication
通过事件分析找出根源并彻底删除:
增强:安全策略、全网监控
修复:应用漏洞、系统漏洞、补丁更新
还原:操作系统、业务系统
5 恢复 Recovery
恢复业务系统
恢复用户数据
恢复网络通信
6 总结 Follow-up
事件会议总结
响应报告输出
响应工作优化
应急响应团队组建
内部团队
监控组
利用各类系统监控、查看监控日志、对应用/系统/网络/数据安全检测
响应组
应用组、系统组、设备组
研判组
溯源分析、专家组
文档组
应急响应方案指定、实践报告输出、经验总结输出
外部团队
合作单位
安全厂商、安全服务团队
监管单位
网信办、公安部
安全产品
美国分类9类
鉴别、访问控制、入侵检测、防火墙、公钥基础设施、二姨程序代码防护、漏洞扫描、取证、介质清理或擦除
中国公安部7类
操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别
产品用途分类
安全网关类
防火墙、UTM、网闸、抗DDOS墙、VPN、上网行为管理
评估工具类
漏扫系统、网络分析系统
威胁管理
入侵检测系统(IDS)、入侵防御系统(IPS)、WAF
应用监管类
堡垒机、评审系统、终端安全管理系统、安全运维平台(SOC)
安全加密类
加密机、三合一