安全事件应急处理措施-实用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3、断网隔离被控主机。
4、调整防火墙或网络设备访问控制ACL策略,严格限制该机器的对外继续发包。
抑制处理:
1、检查并确认被控主机上的恶意进程或恶意程序。
2、关闭恶意进程,清除恶意程序。
根除:
1、必要情况下重新安装系统,对系统进行安全加固
2、重新恢复业务系统
3、上线运行
恶意代码(包括蠕虫、病毒、后门、恶意软件)
3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;
4、在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。
抑制处理:
1、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息;
2、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序;
外部
根据代码网络数据包特征,在防火墙或网络设备设置访问控制列表,过滤相关的IP地址和端口,阻断恶意代码的继续感染。
网站仿冒
是一种旨在窃取用户身份或个人信息的电子邮件欺骗方法
内部
1、浏览仿冒的站点,通过域名解析等方式定位网站仿冒的服务器的地址等信息。
2、将该服务器进行临时断网分析,确认仿冒的行为原因。
5、恢复业务数据;
6、进行业务测试,确定系统完全恢复;
7、系统上网运行。
网络设备
1、如果系统服务无法正常响应,迅速切换到备用系统;
2、利用防火墙或网络设备配置ACL,过滤DoS发起源的连接
3、确认当前IOS版本
4、到cve漏洞发布组织查看此版本应用是否存在DoS的漏洞
5、根据漏洞信息和相应安全建议采取相应的控制措施
6、安装相应的补丁修复程序
7、切换到主系统
网络协议漏洞
1、通过网络流量分析软件,确定数据包类型特征
4、必要情况下通过协调相关机构可对控制源进行进一步检查处理。
DNS劫持
DNS服务器被控制或者记录别修改造成的破坏。
内部
紧急措施:
1、根据具体情况,先切换到备份机上,保证服务的运行。
抑制处理:
1、隔离发现问题主机
2、对问题主机进行进程、日志、端口、服务等分析,确认问题
3、清除恶意程序
根除:
1、必要情况下,重新安装系统;
2、通过防火墙或网络设备配置访问控制列表,过滤DoS发起源的连接
3、确认造成系统cpu、内存占用高的进程或者应用;
4、确认系统存在的漏洞(cve漏洞发布组织查看此版本应用是否存在DoS的漏洞);
5、根据漏洞信息和相应安全建议采取相应的控制措施;
6、安装相应的补丁修复程序,修复漏洞后切换到原运行系统。
抑制处理:
1、分析业务应用日志,确认有无恶意应用用户登录或者异常登录情况;
2、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息;
3、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序;
4、分析系统服务、进程、端口等,确认有无可疑项;
5、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等.
根ቤተ መጻሕፍቲ ባይዱ:
1、通过防火墙策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求,关闭不必要的端口访问;
2、如果漏洞是发生在软件方面,则对应用软件或者数据库进行相关安全配置;
3、如果由于系统漏洞导致,需要打补丁解决,则需要上报上级进行测试后方可进行补丁装载;
4、必要情况下进行主机系统重新安装,并恢复系统;
外部
1、浏览仿冒的站点,通过域名解析等方式定位网站仿冒的服务器的地址等信息。
2、通过安全处协调相关机构,跟踪、处理网站仿冒的服务器,确认仿冒的行为原因。
3、如果仿冒的服务器同样是被控制所为,可在相关机构协调许可下对该服务器进行安全检查分析,确定被控制的原因,并进一步逐级确定控制源。 (可参考windows、unix入侵检查处理手册)
内、外
紧急措施:
1、通过IDS等安全设备快速定位攻击行为和被攻击主机,进行必要的系统临时性恢复;
2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;
3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;
4、在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。
2、在防火墙或网络设备上配置访问控制策略,限制或过滤来自于攻击源的流量
应用类漏洞
1、通过网络流量分析软件,确定数据包类型特征
2、在防火墙或网络设备上配置访问控制策略,限制或过滤发送源地址的访问
3、可以通过在web服务器限定最大连接数等方式。
内部
紧急措施:
1、通过网络流量分析软件,确认数据包特征
2、确定对外发包的被控主机。
3、分析系统服务、进程、端口等,确认有无可疑项;
4、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等.
根除:
1、通过防火墙策略的配置严格限制恶意地址对该服务器的远程登录及访问请求;
2、对web服务软件和数据库进行安全配置;
3、必要情况下进行主机系统重新安装,并恢复数据库系统;
包括常见的病毒、蠕虫、恶意软件、后门等。
内部
紧急措施:
1、确定恶意代码源头
2、必要情况下切换备机,断网隔离。
3、通过在防火墙或网络设备设置访问控制策略,限制外部的访问。
抑制处理:
1、确定恶意代码特征:进程、端口等
2、清除恶意代码
根除:
1、重新安装操作系统
2、对操作系统进行安全加固
3、恢复应用系统
4、系统上线
2、对系统进行安全加固;
3、重新恢复业务系统;
4、上线运行。
垃圾邮件
凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件可称为垃圾邮件。垃圾邮件一般具有批量发送的特征。见内容包括赚钱信息、商业信等。
内、外
1、确定垃圾邮件的关键字特征
2、根据关键字,在邮件服务器上 配置垃圾邮件过滤策略
外部攻击
通过渗透等非正常手段,利用信息系统漏洞来进行进行的攻击破坏,统称为外部攻击,或者黑客攻击。
4、恢复业务数据;
5、进行业务测试,确定系统完全恢复;
6、系统上网运行。
拒绝服务攻击
拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
外部
系统漏洞类
主机系统
1、如果系统服务无法正常响应,迅速切换到备用系统;
3、对该服务器进行全面的安全检查,如果是服务器被入侵所致,需要进一步确定控制源。对攻击源进行跟踪处理。(可参考windows、unix入侵检查处理手册)。
4、清除该服务器的仿冒网站内容及恶意程序。
5、检查服务器所被利用的漏洞,并修复漏洞,安全测试后入网运行。
6、必要情况下(发现难以清除的或被植入较多的恶意程序),需要重新安装服务器,并进行安全加固、漏洞修复,安全测试、重新入网,确保设备的安全运行。
攻击类型
简要描述
发起源
类别
措施
信息篡改(含信息窃取)
信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件
外部
紧急措施:
1、进行系统临时性恢复,迅速恢复系统被篡改的内容;
2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;
4、调整防火墙或网络设备访问控制ACL策略,严格限制该机器的对外继续发包。
抑制处理:
1、检查并确认被控主机上的恶意进程或恶意程序。
2、关闭恶意进程,清除恶意程序。
根除:
1、必要情况下重新安装系统,对系统进行安全加固
2、重新恢复业务系统
3、上线运行
恶意代码(包括蠕虫、病毒、后门、恶意软件)
3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;
4、在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。
抑制处理:
1、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息;
2、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序;
外部
根据代码网络数据包特征,在防火墙或网络设备设置访问控制列表,过滤相关的IP地址和端口,阻断恶意代码的继续感染。
网站仿冒
是一种旨在窃取用户身份或个人信息的电子邮件欺骗方法
内部
1、浏览仿冒的站点,通过域名解析等方式定位网站仿冒的服务器的地址等信息。
2、将该服务器进行临时断网分析,确认仿冒的行为原因。
5、恢复业务数据;
6、进行业务测试,确定系统完全恢复;
7、系统上网运行。
网络设备
1、如果系统服务无法正常响应,迅速切换到备用系统;
2、利用防火墙或网络设备配置ACL,过滤DoS发起源的连接
3、确认当前IOS版本
4、到cve漏洞发布组织查看此版本应用是否存在DoS的漏洞
5、根据漏洞信息和相应安全建议采取相应的控制措施
6、安装相应的补丁修复程序
7、切换到主系统
网络协议漏洞
1、通过网络流量分析软件,确定数据包类型特征
4、必要情况下通过协调相关机构可对控制源进行进一步检查处理。
DNS劫持
DNS服务器被控制或者记录别修改造成的破坏。
内部
紧急措施:
1、根据具体情况,先切换到备份机上,保证服务的运行。
抑制处理:
1、隔离发现问题主机
2、对问题主机进行进程、日志、端口、服务等分析,确认问题
3、清除恶意程序
根除:
1、必要情况下,重新安装系统;
2、通过防火墙或网络设备配置访问控制列表,过滤DoS发起源的连接
3、确认造成系统cpu、内存占用高的进程或者应用;
4、确认系统存在的漏洞(cve漏洞发布组织查看此版本应用是否存在DoS的漏洞);
5、根据漏洞信息和相应安全建议采取相应的控制措施;
6、安装相应的补丁修复程序,修复漏洞后切换到原运行系统。
抑制处理:
1、分析业务应用日志,确认有无恶意应用用户登录或者异常登录情况;
2、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息;
3、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序;
4、分析系统服务、进程、端口等,确认有无可疑项;
5、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等.
根ቤተ መጻሕፍቲ ባይዱ:
1、通过防火墙策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求,关闭不必要的端口访问;
2、如果漏洞是发生在软件方面,则对应用软件或者数据库进行相关安全配置;
3、如果由于系统漏洞导致,需要打补丁解决,则需要上报上级进行测试后方可进行补丁装载;
4、必要情况下进行主机系统重新安装,并恢复系统;
外部
1、浏览仿冒的站点,通过域名解析等方式定位网站仿冒的服务器的地址等信息。
2、通过安全处协调相关机构,跟踪、处理网站仿冒的服务器,确认仿冒的行为原因。
3、如果仿冒的服务器同样是被控制所为,可在相关机构协调许可下对该服务器进行安全检查分析,确定被控制的原因,并进一步逐级确定控制源。 (可参考windows、unix入侵检查处理手册)
内、外
紧急措施:
1、通过IDS等安全设备快速定位攻击行为和被攻击主机,进行必要的系统临时性恢复;
2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;
3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;
4、在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。
2、在防火墙或网络设备上配置访问控制策略,限制或过滤来自于攻击源的流量
应用类漏洞
1、通过网络流量分析软件,确定数据包类型特征
2、在防火墙或网络设备上配置访问控制策略,限制或过滤发送源地址的访问
3、可以通过在web服务器限定最大连接数等方式。
内部
紧急措施:
1、通过网络流量分析软件,确认数据包特征
2、确定对外发包的被控主机。
3、分析系统服务、进程、端口等,确认有无可疑项;
4、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等.
根除:
1、通过防火墙策略的配置严格限制恶意地址对该服务器的远程登录及访问请求;
2、对web服务软件和数据库进行安全配置;
3、必要情况下进行主机系统重新安装,并恢复数据库系统;
包括常见的病毒、蠕虫、恶意软件、后门等。
内部
紧急措施:
1、确定恶意代码源头
2、必要情况下切换备机,断网隔离。
3、通过在防火墙或网络设备设置访问控制策略,限制外部的访问。
抑制处理:
1、确定恶意代码特征:进程、端口等
2、清除恶意代码
根除:
1、重新安装操作系统
2、对操作系统进行安全加固
3、恢复应用系统
4、系统上线
2、对系统进行安全加固;
3、重新恢复业务系统;
4、上线运行。
垃圾邮件
凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件可称为垃圾邮件。垃圾邮件一般具有批量发送的特征。见内容包括赚钱信息、商业信等。
内、外
1、确定垃圾邮件的关键字特征
2、根据关键字,在邮件服务器上 配置垃圾邮件过滤策略
外部攻击
通过渗透等非正常手段,利用信息系统漏洞来进行进行的攻击破坏,统称为外部攻击,或者黑客攻击。
4、恢复业务数据;
5、进行业务测试,确定系统完全恢复;
6、系统上网运行。
拒绝服务攻击
拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
外部
系统漏洞类
主机系统
1、如果系统服务无法正常响应,迅速切换到备用系统;
3、对该服务器进行全面的安全检查,如果是服务器被入侵所致,需要进一步确定控制源。对攻击源进行跟踪处理。(可参考windows、unix入侵检查处理手册)。
4、清除该服务器的仿冒网站内容及恶意程序。
5、检查服务器所被利用的漏洞,并修复漏洞,安全测试后入网运行。
6、必要情况下(发现难以清除的或被植入较多的恶意程序),需要重新安装服务器,并进行安全加固、漏洞修复,安全测试、重新入网,确保设备的安全运行。
攻击类型
简要描述
发起源
类别
措施
信息篡改(含信息窃取)
信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件
外部
紧急措施:
1、进行系统临时性恢复,迅速恢复系统被篡改的内容;
2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;