网络安全应急响应技术常用:
访问控制网络安全评估网络安全监控系统恢复入侵访问控制是网络安全应急响应的重要技术手段,其主要用途是控制网络资源不被非法访问,限制安全事件的影响。
根据访问控制对象的不同,访问控制的技术手段
访问控制数据库访问控制应用程序访问控制等通过以下技术可以实现访问控制手段
防火墙代理服务器路由器VLAN授权用户身份认证网络安全评估恶意代码检测
分析病毒、木马、螨虫或间谍软件是否安装在恶意代码检测工具中。
常用的恶意代码检测工具主要包括D盾_Web查杀(英文名WebShellKill) 、chkrootkit、 rkhunter 360杀毒工具等。
常用的恶意代码检测工具主要包括D盾_Web查杀(英文名WebShellKill) 、chkrootkit、 rkhunter 360杀毒工具等。
漏洞扫描检查受害系统中存在的漏洞,然后分析漏洞的危害性。
常用的漏洞扫描工具主要包括端口扫描工具Nmap、Ness等。
检查文件的完整性检查文件的完整性的目的是发现受害系统中被篡改的文件或操作系统的内核是否被替换。例如,在UNIX在系统上,容易被特洛伊木马取代的二进制文件通常包括: telnet、 intetnetd. login.su、ftp、 ls、ps、 nctstat、 ifconfig、 find、 du、 df、 libe、 sync、inetd 和syslogd. 除此之外,工作人员还需要检查所有被检查的人员einecd.cn参考文件,重要的网络和系统程序,共享库文件。因此,对于UNIX网络管理员可以使用系统cmp命令直接将系统中的二进制文件与原始发布介质上的相应文件进行比较。因此,对于UNIX网络管理员可以使用系统cmp命令直接将系统中的二进制文件与原始发布介质上的相应文件进行比较。
利用MDS工具进行Hash值校验,方法是向供应商获取发布的二进制文件Hash值,然后使用MD5工具检查可疑的二进制文件。
检查系统配置文件攻击者进入受害系统后,通常会修改系统文件,以促进后续攻击或控制。通过对系统配置文件的检查和分析,网络管理员可以发现攻击者对受害系统的操作。例如,在UNIX在系统中,网络管理员需要进行以下检查:检查/etc/passwd文件中是否有可疑用户。检查/etc/inet.conf是否修改了文件。检查/etc/services是否修改了文件。检查r命令配置/etc/hosts .equiv或者.rhosts文件。检查新的SUID和SGID文件,使用find找出系统中的所有命令SUID和SGID文件
检查网卡混合模式检查网卡混合模式的目的是确认受害系统中是否安装了网络嗅探器。入侵者通常使用网络嗅探器获取网络上传输的用户名和密码,因为网络嗅探器可以监控和记录网络信息。
检查文件系统检查文件系统的具的是确认受害系统中是否有入侵者创建的文件。一般来说,入侵者会在受害者系统中建立隐藏目录或文件,以促进后续入侵。
审查日志文件审查受害者系统的日志文件可以使应急响应者掌握入侵者的系统入侵方式和入侵者的执行操作。网络安全监控
网络安全监控的目的是对受害系统的网络活动或内部活动进行分析,获取受害系统的当前状态信息。
网络流量监测利用网络监控工具获取受害者系统的网络流量数据,挖掘和分析受害者系统在网络上的通信信息,发现受害者系统的在线异常行为,特别是一些隐藏的网络攻击,如远程控制木马、秘密木马、网络蠕虫、勒索病毒等。
常用的网络监控工具有TCPDump、TCPView、Snort、WireShark、netstat。
监控系统本身监控系统本身的目的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统本身的监控方法包括以下几个方面。
1) 路由网 受害者系统的网络通信状态监测用netstat命令、TCPView、HTTPNetworkSniffe显示当前受害机器的网络监控程序和网络连接。
2)监测受害系统操作系统的活动状态在Linux/UNIX系统中,用ps命令检查受害机器的活动过程。在Windows可用于系统Autoruns、 Process Explorer、ListDLLs 等待检查系统过程的活动状态。
3)监控受害系统的用户活动用who命令显示受害者系统的在线用户信息
4)监控受害系统的用户活动用amp命令检查受害机器的地址分析缓存表
5)监测受害系统的流程资源使用情况UNIX/Linux系统中可用lsof工具检查过程中使用的文件,tcp/udp端口、用户等相关信息,Windows可在系统下使用fport工具关联相关流程和端口号。系统恢复
安全处理受害系统后,采用系统恢复技术,使其重新正常运行,尽量减少攻击路由网造成的损失。系统恢复
安全处理受害系统后,采用系统恢复技术,使其重新正常运行,尽量减少攻击造成的损失。
1.紧急启动系统当计算机系统因密码遗忘和系统文件丢失而无法正常使用时,系统紧急启动盘可以恢复损坏的系统,并获得损坏的系统访问权限。系统紧急启动盘的主要作用是引导计算设备的操作系统恢复
主要类型有光盘,U盘。系统紧急启动盘保存操作系统最小化启动相关文件,可独立启动相关设备。
2.清除恶意代码
恶意代码攻击后,系统无法正常使用,受害系统的恶意代码通过使用安全专用工具清除。
3.修复系统漏洞
对受害系统,通过安全工具检查相应的安全漏洞,然后安装补丁软件。
4.文件删除恢复
操作系统删除文件时,只需在文件目录项上做一个删除标记FAT表中占用的簇标记为空簇,DATA原文件的内容仍然保存在该地区的簇中。因此,删除普通计算机文件只是逻辑标记,而不是物理清除。此时,删除的文件可以通过安全恢复工具找到。
5.系统备份容灾信息安全技术信 利息系统灾害恢复规范(GB/T 20988- -2007)》 定义了六个灾难恢复等级和技术要求
等级一:基本支持
等级二:备用场地支持
。在满足等级1的基础上,需要配备灾难恢复所需的部分数据处理设备,或在灾难发生后的预定时间内将所需的数据处理设备分配到备用场地;部分通信线路和相应的网络设备,或在灾难发生后的预定时间内将所需的通信线路和网络设备分配到备用场地。
等级:电子传输和设备支持
。要求每天至少备份一次完整的数据,备份介质存储在场外,并使用通信网络定期将关键数据分批传输到备用场地。配备灾难恢复所需的部分数据处理设备、通信线路和相应的网络设备。
等级4:支持电子传输和完整设备
。灾难恢复所需的所有数据处理设备、通信线路处理设备、通信线路和相应的网络设备都需要配置,并处于就绪或运行状态。
。除了每天至少备份一次完整的数据和备份介质外,还需要使用远程数据复制技术实时将关键数据复制到备用场地。从中国存储网转移等级六:数据零丢失和远程集群支持
。要求实现远程实时备份和零数据丢失;备用数据处理系统具有与生产数据处理系统一致的处理能力。应用软件是集群,可以实时切换。
(原链接:《信息系统灾难恢复规范》 - 灾备建设国家标准解读-容灾-中储网
人侵取证
入侵取证是指通过特定的软件和工具从计算机和网络系统中提取攻击证据。
根据证据信息变化的特点,证据信息可分为两类第一类是实时信息或易失信息,如内存和网络连接,第二类是非易失信息,不会随设备断电而丢失。以下信息可作为证据或证据关联:日志,如操作系统日志、网络访问日志等;文件,如操作系统文件大小、文件内容、文件创建日期、交换文件等:系统流程,如流程名称、流程访问文件等;用户,特别是在线用户的服务时间、使用方式等:系统状态,如系统开放服务和网络运行模式;网络通信连接记录,如网络路由器运行日志等;磁盘介质,包括硬盘、光盘、USB 等等,尤其是磁盘隐藏空间。网络安全取证一般包括以下六个步骤:现场保护取证。网络安全取证一般包括以下六个步骤:现场保护取证。保护受害系统或设备的完整性,防止证据信息丢失。识别证据
。应用适当的获取技术和工具来识别可获得的证据信息类型。传输证据。将获得的信息安全传输到取证设备。保存证据
。存储证据,并确保存储的数据与原始数据一致。分析证据
。分析相关证据,构建证据链,重现攻击过程。提交证据。向经理、律师或法院提交证据。在取证过程中,每一步都涉及到相关的技术和工具。
1.证据获取
该技术用于从受害系统获取原始证据数据
常见证据有系统时间、系统配置信息、关键系统文件、系统用户信息、系统日志、垃圾箱文件、网络访问记录、已删除文件恢复、防火墙日志IDS 日志等。
典型工具有ipconfig、ifconfig、 netstat、 fport、 Isof、 date、 time、 who、ps、TCPDump等
2.证据安全保护该技术用于保护受害者系统证据的完整性和保密性,防止证据被破坏或非法访问,如用md5sum、Tripwire 保护相关证据数据的完整性PGP加密电子邮件。常用的技术方法有关键词搜索、可疑文件分析、数据挖掘等。学习参考资料:信息安全工程师教程(第二版)网络培训信息安全工程师视频教程信息安全工程师5天培训