《安全事件应急响应及分析课件》由会员分享,可在线阅读,更多相关《安全事件应急响应及分析课件(49页珍藏版)》请在金锄头文库上搜索。
1、安全事件应急响应安全事件应急响应及分析及分析安全事件应急响应及分析1目录1)安全事件响应概述及流程介绍2)网站篡改事件响应与分析3)数据泄露事件响应与分析4)日志安全分析实战(上机实验)5)数据恢复实战(上机实验)安全事件应急响应及分析21)安全事件响应概述及流程介绍安全事件应急响应及分析3n什么是突发事件n中断正常运作的程序并使系统突然陷入某种级别危机的事件。n计算机入侵,拒绝服务攻击,信息泄露等。n什么是应急响应n信息安全应急响应是对危机信息安全的事件做出及时、准确的响应处理,综合利用检测、抑制、根除、恢复等手段,杜绝危害的进一步蔓延扩大,保证系统能够提供正常服务。应急响应概述安全事件应急
2、响应及分析4n漏洞发布到攻击出现的时间越来越短nWitty蠕虫事件、MS08-067n花样翻新,防不胜防n尼姆达蠕虫:通过email、共享网络资源、IIS服务器传播n变种速度令人惊叹n黑客:从单打独斗到“精诚”合作nBotnetn攻击程序日益自动化、并唾手可得为什么需要应急响应安全事件应急响应及分析5n确认与排除突发事件是否发生n收集与突发事件有关的信息n提供有价值的报告和建议n使损失最小化n支持民事或刑事诉讼n保护由法律或者正常规定的隐私权应急响应的目的安全事件应急响应及分析6n第一阶段:准备让我们严阵以待n第二阶段:确认对情况综合判断n第三阶段:封锁制止事态的扩大n第四阶段:根除彻底的补救
3、措施n第五阶段:恢复备份,顶上去!n第六阶段:跟踪还会有第二次吗应急响应的一般阶段安全事件应急响应及分析7HandlingtheIncident恢复恢复RecoveryRecovery根除根除EradicationEradication发现发现IdentificationIdentification预防预防PreparationPreparation控制控制ContainmentContainment跟踪跟踪Follow up Follow up AnalysisAnalysisIncident Response Life CycleIncident Response Life CycleIn
4、cident Response Life CycleIncident Response Life Cycle安全事件应急响应及分析8n预防为主n帮助服务对象建立安全政策n帮助服务对象按照安全政策配置安全设备和软件n扫描,风险分析,打补丁n如有条件且得到许可,建立监控设施第一阶段准备安全事件应急响应及分析9建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneEmailWho?Who?Who?Who?What?What?What?What?When?When?When?When?Where?Where?Where?Where?How?How?How?How?R R R Re e
5、 e ep p p po o o or r r rt t t ti i i in n n ng g g g MMMMe e e ec c c ch h h ha a a an n n ni i i is s s smmmms s s s安全事件应急响应及分析10n确定事件的责任人n指定一个责任人全权处理此事件n给予必要的资源n确定事件的性质n误会?玩笑?还是恶意的攻击/入侵?n影响的严重程度n预计采用什么样的专用资源来修复?第二阶段确认安全事件应急响应及分析11n即时采取的行动n防止进一步的损失,确定后果n确定适当的封锁方法n咨询安全策略n确定进一步操作的风险n损失最小化n可列出若干选项,讲明
6、各自的风险,由服务对象选择第三阶段封锁安全事件应急响应及分析12n长期的补救措施n确定原因,定义征兆n分析漏洞n加强防范n修复隐患n修改安全策略第四阶段根除安全事件应急响应及分析13n被攻击的系统由备份来恢复n作一个新的备份n把所有安全上的变更作备份n服务重新上线n持续监控第五阶段恢复安全事件应急响应及分析14n关注系统恢复以后的安全状况,特别是曾经出问题的地方n建立跟踪文档,规范记录跟踪结果n追踪来源,建立基线库n调查取证第六阶段跟踪安全事件应急响应及分析15n外部原因n攻击类型n拒绝服务:SYN-flood、UDP-flood、ccnDNS欺骗:DNSpoisonnARP欺骗:arp病毒n
7、问题分析n抓包分析:wiresharkn简单命令:nslookup、arpn解决办法n封攻击者IP原因追查安全事件应急响应及分析16n内部原因n攻击类型n系统被入侵,入侵者已获取部分权限或已完全控制系统。n问题分析n系统或应用程序存在漏洞n解决办法n恢复系统n查找原因n清除后门n修补漏洞原因追查安全事件应急响应及分析172)网络流量异常事件响应与分析安全事件应急响应及分析18网络流量异常事件网络流量异常n针对协议的攻击n针对带宽的流量攻击n其他拒绝服务攻击响应策略n查看关键网络设备,对网络流量做端口镜像n查看IDS等安全设备的事件记录n对流量镜像进行人工分析,判断异常数据包n通过网络协议分析设
8、备进行流量分析n修改安全设备防护策略,对可疑流量包做丢弃处理n对针对协议的攻击限制其使用带宽n。19安全事件应急响应及分析3)网站篡改事件响应与分析安全事件应急响应及分析20网站页面篡改案例21安全事件应急响应及分析篡改事件处置流程安全事件发生安全事件发生停止网站服务停止网站服务上报相关领导上报相关领导日志分析日志分析可疑文件及可疑文件及可疑用户分析可疑用户分析漏洞扫描与安全测试漏洞扫描与安全测试安全整改安全整改上线前测试上线前测试22安全事件应急响应及分析篡改事件分析过程n日志分析(系统日志、中间件日志、应用系统日志)n可疑文件分析、清除(木马文件、后门程序、攻击测试文件)n可疑用户清除(操
9、作系统用户、应用系统用户)n安全事件整体分析(攻击来源、造成危害、攻击途径)23安全事件应急响应及分析n审核日志:n系统日志n应用日志n安全性日志nWeb日志nFTP日志n数据库日志n查看攻击者遗留痕迹n分析入侵原因并弥补漏洞日志审核安全事件应急响应及分析24分析网站系统日志,一般IIS日志和Apache日志等均有web访问详细记录,若日志在系统中已被删除,应通过日志服务器或者日志审计系统查看日志。日志分析有以下方式:1.分析安全事件发生时间段内的日志信息,查看是否有异常访问(如网站扫描日志、上传页面日志、管理员登陆页面访问日志等)2.以遭篡改或者挂暗链的页面名称为关键字,搜索日志内容,判断是
10、否存在管理员IP之外的访问地址。若存在,则应以此地址为关键字做进一步分析,判断攻击者的攻击方式和路径。3.若网站已被上传木马,则查看日志中对该木马的访问记录,进而根据此木马来源IP地址为关键字做进一步分析。25安全事件应急响应及分析nWEB日志nIIS日志在%systemroot%system32logfiles下相应子目录中日志分析安全事件应急响应及分析26nWEB日志格式n日期和时间n默认采用格林威治时间,比北京时间晚8小时n客户端地址n服务器地址n服务器端口n方法(GET、POST、PUT、DELETE等)nURI资源n协议状态n请求成功,200-299n临时资源,300-307n请求错
11、误,400-499n服务器端内部错误,500-599日志分析安全事件应急响应及分析27nWEB日志(SQL注入示例)2009-10-1315:16:4210.10.10.227GET/list.aspid=19%20and%20user0|13|80040e07|MicrosoftODBC_SQL_Server_DriverSQL_Server将_nvarchar_值_article_user_转换为数据类型为_int_的列时发生语法错误。80-10.10.10.34Mozilla/4.0+日志分析安全事件应急响应及分析28nWEB日志(路径扫描示例)2009-10-1315:20:4410.
12、10.10.227GET/admin_main.asp-80-10.10.10.34Mozilla/4.0404022009-10-1315:20:4410.10.10.227GET/admintab.asp-80-10.10.10.34Mozilla/4.0404022009-10-1315:20:4410.10.10.227GET/count.asp-80-10.10.10.34Mozilla/4.0404022009-10-1315:20:4410.10.10.227GET/root.asp-80-10.10.10.34Mozilla/4.0404022009-10-1315:20:44
13、10.10.10.227GET/htdocs.asp-80-10.10.10.34Mozilla/4.0404022009-10-1315:20:4410.10.10.227GET/login/login.asp-80-10.10.10.34Mozilla/4.0404032009-10-1315:20:4410.10.10.227GET/dvbbs/post_upload.asp-80-10.10.10.34Mozilla/4.0404032009-10-1315:20:4410.10.10.227GET/del.asp-80-10.10.10.34Mozilla/4.0404022009-
14、10-1315:20:4410.10.10.227GET/ok_pass.asp-80-10.10.10.34Mozilla/4.0404022009-10-1315:20:4410.10.10.227GET/user/logout.asp-80-10.10.10.34Mozilla/4.0404032009-10-1315:20:4410.10.10.227GET/update.asp-80-10.10.10.34Mozilla/4.0404022009-10-1315:20:4410.10.10.227GET/admindel.asp-80-10.10.10.34Mozilla/4.040
15、4022009-10-1315:20:4410.10.10.227GET/admin_delete.asp-80-10.10.10.34Mozilla/4.04040日志分析安全事件应急响应及分析29n可疑账号n使用netuser查看可疑账户分析安全事件应急响应及分析30n较低级后门:添加系统帐号;添加其他服务帐号(FTP,数据库);n二进制后门:反向连接型普通后门;动态链接库后门;n配置型后门:隐藏账号和克隆帐号n网页型后门:webshell可疑文件分析安全事件应急响应及分析31n隐藏账号n形如hack$的隐藏账号,不能使用netuser查看账户后门安全事件应急响应及分析32可疑进程二进制后
16、门安全事件应急响应及分析33可疑端口和服务二进制后门安全事件应急响应及分析34n启动项nHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunnHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncenHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExnHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicieesR
17、unn回收站n根目录下隐藏的Recycler目录n用户删除的文件在以其自身SID为基础命名的子目录中临时文件夹C:DocumentsandSettingsDefaultUserLocalSettingstemp计划任务n使用at命令查看文件后门安全事件应急响应及分析35曾经存在的帐户HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList曾经安装过的软件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall操作记录分析安全事件应急响应及
18、分析364)数据泄露事件响应与分析安全事件应急响应及分析37信息泄露安全事件2011年北京市7万高考生个人信息网上被叫卖,考生以及家长电话、住址、姓名等隐私信息被网上售卖。市教委工作人员表示,曾多次要求学校保护学生及家长的隐私,不排除是黑客窃取了考生信黑客窃取了考生信息息。38安全事件应急响应及分析数据泄露事件分析过程分析过程,类似篡改事件n日志分析n可疑账户分析n可疑文件分析判断攻击者获取数据的攻击来源、尝试方法等还需要什么?漏洞检测39安全事件应急响应及分析漏洞检测11)弱口令检测n网站系统、操作系统、数据库系统是否存在弱口令或者可进行口令暴力破解2)网站系统漏洞检测n网站系统是否存在SQ
19、L注入漏洞n数据库文件是否可绕过验证通过网站访问获取n网站系统是否存在命令执行、任意文件遍历、文件上传等漏洞40安全事件应急响应及分析漏洞检测23)主机漏洞检测n操作系统是否存在严重漏洞n主机是否与其他系统有网络隔离,是否可通过网络嗅探的方式获得数据n数据库系统是否存在严重漏洞n数据库系统是否可由任意地址远程连接41安全事件应急响应及分析5)日志安全分析实战安全事件应急响应及分析42上机实验-日志安全分析实战实验目标实验目标:v了解对网站攻击安全事件进行日志分析的方法v获取攻击者的攻击路径、利用方式、上传木马等信息实验环境实验环境:v客户端主机:WindowsXpv服务端主机:windowss
20、erver2003/2008vWEB中间件:IIS工具:工具:v无43安全事件应急响应及分析实验步骤n查看IIS属性,打开IIS日志文件夹n打开最近日期的IIS日志n查找被攻击页面关键字n找到对应来源IPn分析该IP所访问的地址页面,判断攻击行为及路径、利用方法、上传木马等内容上机实验-日志安全分析实战安全事件应急响应及分析446)数据恢复实战安全事件应急响应及分析45数据恢复技术及工具数据恢复技术系统中已删除的数据并没有真正的“清除”,通过数据恢复工具仍能够找回数据或者文件。数据恢复工具nDatarecoverynWinhex安全事件应急响应及分析46上机实验-数据恢复实战实验目标实验目标:v了解数据恢复方法实验环境实验环境:v客户端主机:WindowsXpv服务端主机:windowsserver2003/2008工具:工具:vwinhex47安全事件应急响应及分析上机实验-数据恢复实战n实验步骤1)查看IIS日志,发现日志已被删除2)通过数据恢复工具winhex查看已删除文件3)查看已删除的日志信息4)查看上传后已删除的木马文件安全事件应急响应及分析48谢谢谢谢谢谢观赏谢谢观赏教育信息安全等级保护测评中心电话:010-6609737666092043网址:http:/邮箱:安全事件应急响应及分析49
