ASPIRE

安全事件应急响应处理指南

=Start=

缘由:

study hard, improve every day

正文:

参考解答:
技术•沟通•操作•法律

本应急响应技巧和准备指南用以减少伤害和保证使命达成。

首要原则——不要造成二次伤害

医护的关键原则同样适用于这里的网络安全应急响应——不要造成二次伤害。

大体内容

事前准备(Preparation)

  • Technology·技术
  • Operations·运营
  • Legal·法务
  • Communications·沟通

事中处理(During an Incident)

  • Operations·运营
  • Technology·技术
  • Legal·法务
  • Communications·沟通

核心/要点

  • Preparation pays off – Preparing for a major incident can reduce damage to the organization, as well as reduce incident cost and management difficulty.(提前准备:对重大事件的准备可以有效减少对公司的损害,以及降低事故成本和管理难度。)
  • Operationalize your incident management processes – Managing major cybersecurity incidents must be part of standard business risk management processes.(事件处理流程化:处理主要的网络安全事件必须是标准业务风险管理流程的一部分。)
  • Coordination is critical – Effective cybersecurity incident management requires collaboration and coordination of technical, operations, communications, legal, and governance functions.(协调至关重要:有效的网络安全事件处理需要技术,运营,沟通,法律和治理功能的协作和协调。)
  • Stay calm and do no harm in an incident – Overreacting can be as damaging as underreacting.(保持冷静,在处理过程中不要造成额外伤害:反应过度可能和反应不足一样有害。)
具体内容

事前准备

  • Technology·技术
    • protect
    • detect
    • respond
      • general preparations(大体准备)
      • investigation preparations(调查准备)
      • recovery preparations(恢复准备)
  • Operations·运营
    • critical preparations(关键准备)
    • hallmarks of a strong response program(强反应计划的标记)
    • key lessons learned(关键经验教训)
    • organizational preparedness self-assessment(组织准备自我评估)
    • core strategy and alignment(核心战略和调整)
    • security operations(安全操作)
  • Legal·法务
    • 指定法律上的网络领导;
    • 审查政策和公共声明;
    • 制定安全事故响应计划;
    • 在法律指导下进行网络安全评估和测试;
    • 定期召开董事会简报会;
    • 管理第三方供应商;
  • Communications·沟通
  • 在与处理安全事件相关的所有主要成本和风险中,对品牌和声誉的潜在打击以及客户信任的丧失可能是最具破坏性的。除了影响声誉,管理不善和安全事件传达不当可能会影响员工的士气,并导致监管压力和诉讼。
  • 明确沟通负责人,并确保他了解响应过程和网络安全;
  • 制定安全事故响应计划的沟通部分,包括明确的责任人和批准程序;
  • 映射可能需要接收关于事件的通信的利益相关者,包括客户,媒体,合作伙伴,监管机构,员工和供应商;
  • 为公司最关心的主要类型的事件撰写一些媒体材料;
  • 对所有应急响应事故处理的相关人员进行一次实战演练,以测试他们将会在事件发生时做出的反应。

事中处理

核心/关键

    • 保持镇定(专注于优先考虑最有效的行动)
    • 不要产生二次伤害(确认你的操作是事先设计好的,不会导致数据丢失、业务关键功能丢失、证据丢失等更严重的问题)
    • 准确(确认你向公众和客户分享的任何内容是正确和真实的)
    • 在必要时申请帮助
  • Operations·运营
    • 调查阶段
      • 成功的关键因素
      • 提示/技巧
    • 恢复阶段
      • 成功的关键因素
      • 提示/技巧
  • Technology·技术
    • 调查阶段
      • 成功的关键因素
      • 提示/技巧
    • 恢复阶段
      • 成功的关键因素
      • 提示/技巧
  • Legal·法务
    • 网络安全事件在法规遵从性,法定和合同通知义务以及管理随后的诉讼和监管执法程序和调查的风险方面存在各种挑战。因此,法律顾问在事件响应,以及主动的网络安全程序开发,部署和执行方面越来越重要。早期聘请法律顾问指导调查可以大大帮助确定这些义务和管理监管机构,原告,股东和行业团体的法律风险。
    • Maintain Confidentiality and Protect Privilege.
    • Identify Legal Statutory, Contractual, and Other Obligations.
    • Take Care Regarding Post-Breach Actions/Statements.
    • Engage Law Enforcement.
    • Keep Executives/Board Members Adequately Informed.
  • Communications·沟通
    • 成功的关键因素
    • 其它的沟通行为
参考链接:

=END=

Docker

,
, ,

《 “安全事件应急响应处理指南” 》 有 25 条评论

  1. 【应急响应】Linux应急响应中的姿势
    http://vinc.top/2016/08/22/linux%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E4%B8%AD%E7%9A%84%E5%A7%BF%E5%8A%BF/
    `
    需要先确认开放的端口和对外提供的服务,与运维或业务方确认出现的异常情况。
    1、首先通过网络层防火墙或者iptables封禁一切不需要的端口。
    2、分析入侵的可能方式
    3、查看进程
    4、查看网络连接
    5、几个经常被放置病毒的目录,/tmp, /var/tmp, /dev/shm,所有用户都可读,可写,可执行
    6、history查看历史操作记录,这里有几点建议
    7、对于2进制的病毒文件,可以通过file判断文件类型,然后使用strings查看一些特征

    8、那么确认被拿了Root后,又该怎么办,检查哪些内容。
    1)查看开机启动项
    2)查看定时任务
    3)检查被替换的命令
    `

    回复

  4. psutil是一个用Python写的跨平台的用于获取正在运行中的进程和系统信息的库(psutil (process and system utilities) is a cross-platform library for retrieving information on running processes and system utilization (CPU, memory, disks, networkm sensors) in Python.)
    https://github.com/giampaolo/psutil#projects-using-psutil
    `
    osquery / grr / glances / psdash
    `

    回复

  8. 标准化建设之网络安全应急响应浅析
    https://secvul.com/topics/707.html
    `
    CERT01-网络安全应急预案
    CERT02-安全事件申请处理流程
    CERT03-安全事件信息确认
    CERT04-安全事件处理进度阶段报告
    CERT05-安全事件处理结果汇总报告
    CERT06-安全事件处理结果跟踪
    CERT07-常见安全漏洞攻击方法参考手册
    CERT08-常见安全事件处理方法参考手册
    CERT09-常见安全加固方法参考手册
    CERT10-安全事件信息统计
    CERT11-安全培训
    CERT12-内部的安全事件整体案例/安全知识wiki
    `

    回复

  11. 卡巴斯基事件响应指南读后感
    https://mp.weixin.qq.com/s/ciaEeH0jxoStHiTeWB51tg
    `
    1、术语和定义。文档涉及到的多个基本概念的解释,并不学术化,易懂。
    2、洛克希德马丁的Kill Chain介绍。未知攻,焉知防,对攻击者的基本套路有个了解。
    3、推荐的事件响应基本步骤:准备、识别、隔离、清除、恢复、反思。
    4、基于一个虚构事件的响应处理案例细节演示。
    5、推荐相关的工具:IOC收集、取证处理、分析、清除。
    `
    https://en.wikipedia.org/wiki/Indicator_of_compromise
    https://www.darkreading.com/attacks-breaches/top-15-indicators-of-compromise/d/d-id/1140647
    https://digitalguardian.com/blog/what-are-indicators-compromise

    回复

  19. 服务器入侵溯源小技巧整理
    https://paper.tuisec.win/detail/bd988f97f12c7b0
    http://www.freebuf.com/articles/rookie/179638.html
    `
    溯源的思路:
    看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。

    下手的几个点:
    一、网站源码分析
    1. 查杀后门
    2. diff 源码,查找被修改的地方,记录被修改代码的信息
    3. 查看指定目录下文件时间的排序
    4. 使用 find 指令查找限定时间范围的文件
    5. 查看文件详细信息

    二、日志分析
    web日志分析:
    1. 根据时间筛选
    2. 根据特殊文件名筛选
    3. 根据 ip 筛选
    4. 对访问服务器的 IP 进行统计排序

    系统日志分析:
    /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录
    /var/run/utmp 有关当前登录用户的信息记录
    /var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。
    /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。
    /var/log/cron 与定时任务相关的日志信息
    /var/log/message 系统启动后的信息和错误日志

    三、系统存储的信息分析
    1. history
    2. /etc/passwd
    3. 分析服务器的开机自启程序,分析是否存在后门木马程序
    4. 查看登录信息
    5. 查看 ssh 相关目录

    四、分析进程/端口
    1. 查看端口占用情况
    2. 根据上一步得出的可疑端口的 pid 分析进程
    3. 结束进程
    `

    回复

  21. 应急响应的整体思路和基本流程
    https://mp.weixin.qq.com/s/s0Rvlzrwx6uW_Po5AcusnQ
    `
    我们大致从八个方面阐述,分别是:应急响应的整体思路、应急响应的基本流程、应急工具集简介、系统日志及日志分析、威胁情报的作用、常见病毒及分类、理解漏洞和补丁、技能提升建议。

    一、应急响应的整体思路
    应急响应的整体思路,就是上层有指导性原则和思想,下层有技能、知识点与工具,共同推进和保障应急响应流程的全生命周期。

    二、应急响应的基本流程
    应急响应大致可以分为五个部分,其基本流程包括收集信息、判断类型、深入分析、清理处置、产出报告。

    三、应急工具集简介
    流量分析工具:常用的流量分析工具是Wireshark、TCPView,也可以使用科来网络分析工具,Linux下对tcpdump比较熟悉的,也可以使用tcpdump。
    进程分析工具:能对进程相关联信息进行分析的工具,主要是ProcessHacker和PC Hunter等。
    启动项分析工具:主要是AutoRuns工具,便于定位病毒启动项。
    专杀工具:有些流行病毒家族,通常对杀软有抑制性,或者本身有感染性,需要专杀工具去查杀和修复正常文件。
    辅助工具:WinHex、文件Hash工具、Everything搜索工具、Unlocker文件解锁工具等。
    内存扫描工具:主要是MemScanner。

    四、系统日志及日志分析
    Windows系统日志:Windows系统自带的审计日志、操作日志、故障日志。
    Linux系统日志:Linux系统自带的审计日志、操作日志、故障日志。
    应用日志:包括但不限于Web应用等众多繁杂的日志。

    五、威胁情报的作用
    威胁情报的元素,包括但不限于域名、URL、IP、文件Hash、文件路径、文件名、数字签名、备案信息、排名信息。
    威胁情报中,域名扮演着极为基础和关键的角色,URL也是以域名为基础的。这里列举若干类域名,是属于黑客常用(偏爱)的域名,取证过程中需要重点关注这类域名的信息。
    随机域名(DGA)
    动态域名
    近期域名
    暗网代理域名
    顶级域名

    六、常见病毒及分类
    勒索病毒:能对用户文件进行加密的病毒。
    挖矿病毒:消耗用户CPU、GPU资源,进行大量运算,获取加密货币的病毒。
    蠕虫:自动复制自身的副本到其它主机的病毒。
    木马:隐蔽性强,多用于监控用户行为或盗取用户数据的病毒。
    感染型病毒:能将自身恶意代码插入正常文件的病毒。
    脚本病毒:使用脚本编写的病毒。
    宏病毒:宏是微软公司为其Office软件包设计的一个特殊功能,由于其功能强大,使得黑客可以通过精心构造的宏代码来实现恶意操作,这些代码就叫做宏病毒。宏病毒常以垃圾邮件的方式对用户进行攻击,因为伪造的Office文档不容易引起用户的怀疑,所以当用户毫无防备的打开Office文档并启用宏之后,宏病毒便开始了运行,对用户主机进行恶意操作。
    僵尸网络病毒:能形成大型的一对多,多对多控制的远程控制病毒。
    后门:在主机上开放端口允许远程非授权访问。

    七、理解漏洞和补丁
    漏洞是什么:漏洞是指一个系统存在的弱点或缺陷。
    怎么来的:系统设计时的缺陷或编码时产生的错误。
    有什么后果:黑客的侵入及病毒的驻留,数据丢失和篡改、隐私泄露,系统被控制并作为入侵其他主机系统的跳板,等等。
    解决方法:打补丁。

    八、技能提升建议
    多关注安全信息:多关注安全公司发布的一些安全信息,多关注,多学习。
    多研读安全书籍:多研读安全书籍,推荐《恶意代码分析实战》等。
    多逛安全论坛:推荐多看看Freebuf、看雪学院等。
    多在安全沟通群里问:不懂就问。
    多实践:多实践,出了安全问题,多尝试自己动手解决。
    `

    回复

  23. GitHub – ReAbout/datacon: datacon比赛方向三-攻击源与攻击者分析writeup
    https://paper.tuisec.win/detail/3b9c871f16618a3
    https://github.com/ReAbout/datacon
    `
    本题设置了多个维度的网络行为数据,涉及到不同类不同维度的数据源,包含web告警信息,ip基础信息,域名信息,whois信息,日常访问行为信息,终端行为信息等。考察选手如何通过多维度的数据源体系化的描绘一个攻击者,设计并建立一套分析方法,综合各维度数据对攻击者进行分析,描绘出可能对大会威胁最大的攻击者。

    1、识别出攻击IP
    2、建立一种分析方法与系统大致确定IP与人的关系。 提交分析方法设计文档(pdf),需包含完整的处理流程图和描述。并提交实现的系统源码,要求可复现。以复现计算生成的结果为准。
    3、建立一套分析方法与系统,从攻击目的和攻击能力层面对攻击者进行分析。 提交分析方法设计文档(pdf),算法设计原理,模型构建。并提交实现的系统源码,要求可复现。以复现计算生成的结果为准
    `

    回复

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注