第十七章 网络安全应急响应技术原理与应用
17.1 网络安全应急响应概述
网络安全应急响应是指为应对网络安全事件,进行监测、预警、分析、响应和恢复等工作。
·1988年,美国发生了“小莫里斯网络蠕虫”安全事件,导致上千台计算机受到了影响,促使美国政府成立了世界上第一个计算机安全应急组织CERT.
·FIRST国际性网络安全应急响应组织,目标是成为全球公认的应急响应领导者。
·国内计算机网络应急技术处理协调中心,简称“国家互联网应急中心”,英文简称为CNCERT或CNCERT/CC.
职责:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展中国互联网上网络安全事件的预防、发现、预警和协调处置等工作,维护中国公共互联网环境的安全,保障关键信息基础设施的安全运行。
17.2 网络安全应急响应组织建立与工作机制
17.2.1 网络安全应急响应组织建立与工作机制
网络安全应急响应组织建立
主要由应急领导组和应急技术支撑组构成。领导组:应急指挥、协调;技术组:解决技术问题和现场操作处理。
工作包括:网络安全威胁情报分析研究;网络安全事件的监测与分析;网络安全预警信息发布;网络安全应急响应预案编写与修订;网络安全应急响应知识库开发与管理;网络安全应急响应演练;网络安全事件响应和处置:网络安全事件分析和总结;网络安全教育与培训。
网络安全应急响应组织类型
公益性应急响应组
内部应急响应组
商业性应急响应组
厂商应急响应组
17.2.2 网络安全事件类型与分级
中央网信办发布《国家网络安全事件应急预案》,把安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度,可以将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。
17.3 网络安全应急响应预案内容与分类
17.3.1 网络安全应急响应预案内容与分类
应急预案基本内容:
详细列出系统紧急情况的类型及处理措施。
事件处理基本工作流程。
应急处理所要采取的具体步骤及操作顺序。
执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。
应急响应预案类型:
按照应急响应预案覆盖的管理区域分为:国家级、区域级、行业级、部门级应急预案。
管理层级高的预案偏向指导,而层级较低的预案侧重于网络安全事件的处置操作规程。
17.3.2 应急预案参考模版-核心业务中断或硬件故障
核心业务系统中断或硬件设备故障时的应急处置程序(Ⅰ级)
·事件触发:当发现核心业务系统中断或硬件设备故障时,启动Ⅰ级处置程序。具体应急操作如下:
·迅速判断故障节点,启用备用设备或线路。
·如防火墙发生故障,将防火墙最近一次配置备份文件导入备用防火墙中,然后将故障设备替换为备用设备,设备替换完成之后,首先检查网络连通性,确认能够正常访问业务系统,然后再检查防火墙的状态及策略是否正常。
·如因交换机发生故障,启用备用设备,将故障交换机的备份配置文件导入备用设备,然后检查各用户的网络访问是否正常。
·如发生属于上级信息网络管理部门的网络故障,立即向上级信息网络管理部门报障,要求尽快恢复网络运行。
17.3.3应急预案参考模版-门户网站被篡改
门户网站及托管系统遭到完整性破坏时的应急处置程序(Ⅰ级)
事件触发:当发现门户网站或本单位在互联网上运行的其他业务网站内容被篡改或遭破坏性攻击包括严重病毒)时,启动Ⅰ级处置程序。具体应急操作如下:
·立即断开网站与互联网的连接,并停止系统运行。
·首先将被攻击(或被病毒感染)的服务器等设备从网络中隔离出来,保护好现场。
·由网站及相关业务系统人员负责恢复与重建被攻击或被破坏的系统,恢复系统数据。
·追查非法信息来源,向上级主管部门或公安部门报警。
17.3.4 应急预案参考模版-外网系统遭黑客入侵
外网系统遭遇黑客入侵攻击时的应急处置程序(Ⅱ级)
事件触发:当发现门户网站、电子邮件系统等遭遇黑客入侵攻击时,启动Ⅱ级处置程序。具体应急操作如下:
立即断开网站和相关系统与互联网的连接。
使用防火墙对攻击来源进行封堵。
记录当前连接情况,保存相关日志。
·向上级主管部门或网监部门报警。
·在强化安全防范措施的基础上,修复网站或相关系统后,将其重新投入使用。
17.3.5 应急预案参考模版-DOS
外网系统遭遇拒绝服务攻击时的应急处置程序 (II级)
·事件触发:当发现门户网站、电子邮件系统等互联网业务网站遭遇拒绝服务攻击时,启动II级处置程序。具体应急操作如下:
·使用防火墙对攻击来源进行封堵。
·更改DNS解析,将拒绝服务攻击分流。
·记录当前连接情况,保存相关日志。
·通过以上程序仍无法解决时,即断开网站与互联网的连接,并向上级主管部门或公安部门报警。
·在互联网管理部门和公安部门的协助下解决此项应急工作。
17.3.6 应急预案参考模版-停电
外部电源中断后的应急处置程序 (II级)
·事件触发:当发现外部电源中断故障时,启动Ⅱ级处置程序。具体应急操作如下:
·手动切换至备用供电线路。
·立即查明断电原因
·如因局内部线路故障,迅速联系物业管理部门恢复供电。
·预计停电1小时以内,由UPS供电(适用无备用供电线路的情况)。
·停电超过1小时,关闭网络设备、服务器、精密空调、UPS电源和配电柜总开关等设备,关闭机房所有设备。
17.4 常见网络安全应急事件场景与处理流程
17.4.1 常见网络安全应急处理场景
17.4.2 网络安全应急处理流程
应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结等步骤。
·①安全事件报警。发生紧急情况时,由值班工作人员及时报告。报警人员要准确描述安全事件,并做书面记录。根据安全事件的类型,各安全事件按呈报条例依次报告1-值班人员、2-应急工作组长、3-应急领导小组。
·②安全事件确认。应急工作组长和应急领导小组接到安全报警之后,首先应当判断安全事件的类型,然后确定是否启动应急预案。
·③启动应急预案。应急预案是充分考虑各种安全事件后,制定的应急处理措施,以便在紧急情况下,及时有效地应付各类安全事件。必须避免在紧急情况下,找不到应急预案,或无法启动应急预案的情况。
·④安全事件处理。安全事件处理是一件复杂的工作,要求至少两人参加,包括:
·准备工作:通知相关人员,交换必要的信息。
·检测工作:对现场做快照,保护一切可能作为证据的记录(包括系统事件、事故处理者所采取的行动、与外界沟通的情况等)。
·抑制工作:采取围堵措施,尽量限制攻击涉及的范围。
·根除工作:解决问题,根除隐患,分析导致事故发生的系统脆弱点,并采取补救措施。需要注意的是,在清理现场时,一定要采集保存所有必要的原始信息,对事故进行存档。
·恢复工作:恢复系统,使系统正常运行。
·总结工作:提交事故处理报告。
·⑤撰写安全事件报告。根据事件处理工作记录和所搜集到的原始数据,结合专家的安全知识,完成安全事件报告的撰写。安全事件报告包括如下内容:安全事件发生的日期;参加人员;事件发现的途径;事件类型;事件涉及的范围:现场记录;事件导致的损失和影响;事件处理的过程;从本次事故中应该吸取的经验与教训。
·⑥应急工作总结。召开应急工作总结会议,回顾应急工作过程中所遇到的问题,分析问题原因,找出解决方法。
17.4.3 网络安全事件应急演练
网络安全事件应急演练是对假定的网络安全事件出现情况进行模拟响应,以确认应急响应工作机制及网络安全事件预案的有效性。
网络安全事件应急演练流程:制定应急演练工作计划,编写应急演练具体方案,组织实施应急演练方案,最后评估和总结应急演练工作,优化改进应急响应机制及应急预案。
17.4.4 应急响应类型
17.5 网络安全应急响应技术与常见工具
17.5.1 应急响应常用技术分类
17.5.2 信息系统容灾恢复
针对网络信息系统容灾恢复,国家制定和颁布了《信息安全技术信息系统灾难恢复规范 (GB/T 20988-2007)》,定义了六个灾难恢复等级和技术要求:
第1级-基本支持。本级要求至少每周做一次完全数据备份,并且备份介质场外存放;同时还需要有符合介质存放的场地;企业要制定介质存取、验证和转储的管理制度,并按介质特性对备份数据进行定期的有效性验证;企业需要制订经过完整测试和演练的灾难恢复预案。
第2级-备用场地支持。第2级在第1级基础上,还要求配备灾难发生后能在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备;并且对于第1级中存放介质的场地,需要其能满足信息系统和关键业务功能恢复运作的要求;对于企业的运维能力,也增加了相应的要求,即要制定备用场地管理制度,同时要与相关厂商、运营商有符合灾难恢复时间要求的紧急供货协议、备用通信线路协议。
第3级-电子传输和部分设备支持。第3级不同于第2级的调配数据处理设备和具备网络系统紧急供货协议,其要求配置部分数据处理设备和部分通信线路及相应的网络设备;同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地,并在灾难备份中心配置专职的运行管理人员;对于运行维护来说,要求制定电子传输数据备份系统运行管理制度。
·第4级-电子传输及完整设备支持。第4级相对于第3级中的配备部分数据处理设备和网络设备而言,须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备,并处于就绪状态;备用场地也提出了支持7×24小时运作的更高的要求,同时对技术支持和运维管理的要求也有相应的提高。
·第5级-实时数据传输及完整设备支持。第5级相对于第4级的数据电子传输而言,要求实现远程数据复制技术,并利用通信网络将关键数据实时复制到备用场地;同时要求备用网络具备自动或集中切换能力。
·第6级-数据零丢失和远程集群支持。第6级相对于第5级的实时数据复制而言,要求数据远程实时备份,实现数据零丢失;同时要求应用软件是集群的,可以实现实时无缝切换,并具备远程集群系统的实时监控和自动切换能力;对于备用网络的要求也有所加强,要求用户可通过网络同时接入主、备中心。
17.5.3 入侵取证过程
入侵取证是指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。分成两大类:
①实时信息或易失信息,例如内存和网络连接
②非易失信息,不会随设备断电而丢失
网络安全取证6个步骤:
①取证现场保护。保护受害系统或设备的完整性,防止证据信息丢失。
②识别证据。识别可获取的证据信息类型,应用适当的获取技术与工具。
③传输证据。将获取的信息安全地传送到取证设备。
④保存证据。存储证据,并确保存储的数据与原始数据一致。
⑤分析证据。将有关证据进行关联分析,构造证据链,重现攻击过程。
⑥提交证据。向管理者、律师或者法院提交证据。
在取证过程中,每一步的执行都涉及相关的技术与工具。
·①证据获取。用于从受害系统获取原始证据数据,常见证据有系统时间、系统配置信息、关键系统文件、系统用户信息、系统日志、垃圾箱文件、网络访问记录、恢复己删除的文件、防火墙日志、IDS日志等。
·②证据安全保护。用于保护受害系统的证据的完整性及保密性,防止证据受到破坏或非法访问。
·③证据分析。用于分析受害系统的证据数据,常见的技术方法有关键词搜索、可疑文件分析、数据挖掘等。
17.6 网络安全应急响应参考案例
17.6.1 网络安全应急响应参考案例-阿里云安全应急响应服务
阿里云安全应急响应服务参照国家信息安全事件响应处理相关标准,帮助云上用户业务在发生安全事件后,按照预防、情报信息收集遏制、根除、恢复流程,提供专业7×24小时远程紧急响应处理服务,使云上用户能够快速响应和处理信息安全事件,保障业务安全运营。阿里云安全应急响响应服务的主要场景如表所示。
17.6.2 网络安全应急响应参考案例-永恒之蓝Wannacry
“永恒之蓝”网络蠕虫利用Windows SMB漏洞获取系统最高权限,进而传播Wannacry勒索程序。
本案例参考360发布的《针对“永恒之蓝”攻击紧急处置手册》及应急相关机构提供的资料,给出“永恒之蓝”网络蠕虫的紧急处理方式,具体如下:
(1)如果主机已被感染,则将主机隔离或断网(拔网线)。若有该主机备份,则启动备份恢复程序。
(2)如果主机未被感染,采取以下合适的方式进行防护,避免主机被感染。
·安装免疫工具。如安装和使用360提供的免疫工具OnionWormImmune.exe.
·漏洞修补。针对恶意程序利用的漏洞,安装MS17-010补丁。
·系统安全加固。手工关闭445端口相关服务或启动主机防火墙,封堵445端口。
·阻断445端口网络通信。配置网络设备或安全设备的访问控制策略(ACL),封堵445端口通信。
