《应急响应服务方案.docx》由会员分享,可在线阅读,更多相关《应急响应服务方案.docx(22页珍藏版)》请在课桌文档上搜索。
1、XXX应急响应服务方案XXX2023年XX月XX日目录一、 应急响应服务说明11 1月艮7nll11.2服务流程及内“合1二、 应急响应实施方案31 .1准备阶段(Preparation)3211负责人备内z6*32 12贝/Ct内33 13场人贝备内64 .2检测阶段(EXdminatiOn)64.1.1 实施小组人员的确定74.1.2 检测范围及对象的确定74.1.3 检测方案的确定74.1.4 检测方窠的实施74.1.5 检测结果的处理102. 3抑制阶段(Suppresses)115 .31抑制方案的确定125.1.1 抑制方案的认可125.1.2 抑制方案的实施125.1.3 抑制效
2、果的判定136 .4根除阶段(EQdiCateS)1321 根除方窠的确1322 4.2根除方案的认可1423 4.3根除方案的实施1424 4.4根除效果的判定1425 5恢复阶段(Restoration)1426 51恢的15252彳口1527 6总结阶段(SUmmary)16、f,fzE1731LlLx-f-1732fi17四、应急响应服务优势184. 1国内领先的安全服务团队185. 2专业的安全评估工具186. 3丰富的资源和持续强有力的研发团队支持187. 4全球首个基于大数据威胁的威胁感知系统188. 5精细的立体检测综合分析199. 6高效的本地数据检索1910. 7专业的专家
3、运营团队19一、应急响应服务说明1.l服务范围为甲方提供安全事件应急响应和处置服务,在发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件时,提供应急响应专家协助处置。1.2服务流程及内容该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都有着极其重要的作用。现场实施小人员的确定市场人员准备工作回顾并完善整个事件的处 理过程并进行总结启动专项预案二、应急响应实施方案2.1 准备
4、阶段(PreParation)1目标:在事件真正发生前为应急响应做好预备性的工作。工角色:技术人员、市场人员。J内容:根据不同角色准备不同的内容。工输出:准备工具清单、事件初步报告表、实施人员工作清单1 .1.1负责人准备内容工制定工作方案和计划;提供人员和物质保证;工审核并批准经费预算、恢复策略、应急响应计划;J批准并监督应急响应计划的执行;工指导应急响应实施小组的应急处置工作;J启动定期评审、修订应急响应计划以及负责组织的外部协作。2 .1.2技术人员准备内容服务需求界定首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体包含以下内容:1)应急响应小组应了解应急服务对象的各
5、项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求;2)对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;3)应急响应小组采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估;4)应急响应小组协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;5)应急响应小组为服务对象提供相关的培训服务,以提高服务对象的安全意识,便
6、于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。X主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果以后在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常。3 .对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有:/日志及审核策略快照等。/用户账户快照;/进程快照;,服务快照;/自启动快照/关键文件签名快照;,开放端口快照;/系统资源利用率的快照;/注册表快照;/计划任务快照等等;4 .对网络设备做一个标准的安全初始化的状态快照,包括的
7、主要内容有:/路由器快照;/防火墙快照;/用户快照;/系统资源利用率等快照。5 .信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。,工具包的准备 应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等; 应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘、加密的U盘等; 应急服务提供者的工具包应定期更新、补充;必要技术的准备
8、上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:1)系统检测技术,包括以下检测技术规范:/Windows系统检测技术规范;/Unix系统检测技术规范;/网络安全事故检测技术规范;/数据库系统检测技术规范;/常见的应用系统检测技术规范;2)攻击检测技术,包括以下技术:/异常行为分析技术;/入侵检测技术;/安全风险评估技术;3)攻击追踪技术;4)现场取样技术;5)系统安全加固技术;6)攻击隔离技术;7)资产备份恢
9、复技术;2.1.3场人员准备内容J和服务对象建立长期友好的业务关系;,和服务对象签订应急服务合同或协议;J建立预防和预警机制,及时上报。1)预防和预警机制,市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络的安全畅通。/将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象,做好防护策略的更新。2)信息系统检测和报告,按照“早发现、早报告、早处置”的原则,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、进行分析判断。,如服务对象发现有异常
10、情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。,要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。2.2检测阶段(EXamination)目标:接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略,并保留证据。工角色:应急服务实施小组成员、应急响应日常运行小组;4内容:(1)检测范围及对象的确定;(2)检测方案的确定;(3)检测方案的实施;(4)检测结果的处理。工输出:检测结果记录2.2.1实施小组人员的确定应急响应负责人根
11、据事件初步报告表的内容,初步分析事故的类型、严重程度等,以此来确定临时应急响应小组的实施人员的名单。2.2.2检测范围及对象的确定A应急服务提供者应对发生异常的系统进行初步分析,判断是否正真发生了安全事件;人应急服务提供者和服务对象共同确定检测对象及范围;工检测对象及范围应得到服务对象的书面授权。2.2.3检测方案的确定J应急服务提供者和服务对象共同确定检测方案;应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;X应急服务提供者制定的检测方案应明确应急服务提供者的检测范围,其检测范围应仅限于服务对象已授权的与安全事件相关的数据,对服务对象的机密性数据信息未经授权的不得访问;-L
12、应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施;应急服务提供者和服务对象充分沟通,并预测应急处理方案可能造成的影响。2.2.4检测方案的实施检测搜集系统信息/记录时使用目录及文件名约定:在受入侵的计算机的D盘根目录下(D:)(如果无D盘则在其他盘根目录下)建立一个qihoo目录,目录中包含以下子目录: artifact:用于存放可疑文件样本 cmdoutput:用于记录命令行输出结果 screenshot:用于存放屏幕持贝文件 log:用于存放各类日志文件文件格式: 命令行输出文件缺省仅使用TXT格式。 日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格
13、式。 屏幕拷贝文件应该使用JPG格式。 可疑文件样本最好加密压缩为ZiP格式,默认密码为:sec666搜集操作系统基本信息1 .右键点击“我的电脑属性”将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝(使用Alt+PrtScr)。并保存到secscreenshot目录下,文件名称应该使用:系统常规-01、自动更新-01、远程-Ol等形式命名。2 .进入CMD状态,开始运行cmdv,进入D盘根目录下的sec目录,执行一下命令:netstat-naonetstat.txt(网络连接信息)tasklisttasklist.txt(当前进程信息)ipconfig/allipconfig,t
14、xt(IP属性)verver.txt(操作系统属性)日志信息目标:导出所有日志信息;说明:进入管理工具,将“管理工具事件察看器”中,导出所有事件,分别使用一下文件名保存:application,txtsecurity,txt、system,txt0/帐号信息目标:导出所有帐号信息;说明:使用netuser,netgroup,netlocalgroup命令检查帐号和组的情况,使用计算机管理查看本地用户和组,将导出的信息保存在D:secuser中主机检测/日志检查目标:1、从日志信息中检测出未授权访问或非法登录事件;2、从IIS/FTP日志中检测非正常访问行为或攻击行为;说明:1、检查事件查看器中
15、的系统和安全日志信息,比如:安全日志中异常登录时间,未知用户名登录;2sWinDir%System32LogFiles目录下的WWW日志和FTP日志,比如WwW日志中的对shell.asp文件的成功访问。/帐号检查目标:检查帐号信息中非正常帐号,隐藏帐号;说明:通过询问管理员或负责人,或者和系统的所有的正常帐号列表做对比,判断是否有可疑的陌生的账号出现,利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比。/进程检查目标:检查是否存在未被授权的应用程序或服务说明:使用任务管理器检查或使用进程查看工具进行查看,利用这些获得的信息和前面准备阶段做的进程快照工作进行对比,判断是否有可疑的进程。/
16、服务检查目标:检查系统是否存在非法服务说明:使用“管理工具”中的“服务”查看非法服务或使用360安全卫士、WSyStern察看当前服务情况,利用这些获得的信息和准备阶段做的服务快照工作进行对比。/自启动检查目标:检查未授权自启动程序说明:检查系统各用户“启动”目录下是否存在未授权程序。/网络连接检查目标:检查非正常网络连接和开放的端口说明:关闭所有的网络通讯程序,以免出现干扰,然后使用ipconfig,netstat-an或其它第三方工具查看所有连接,检查服务端口开放情况和异常数据的信息。/共享检查目标:检查非法共享目录。说明:使用netShare或其他第三方的工具检测当前开放的共享,使用$是
17、隐藏目录共享,通过询问负责人看是否有可疑的共享文件。,文件检查目标:检查病毒、木马、蠕虫、后门等可疑文件。说明:使用防病毒软件检查文件,扫描硬盘上所有的文件,将可疑文件进行提取加密压缩成.zip,保存到secartifact目录下的相应子目录中。/查找其他入侵痕迹目标:查找其它系统上的入侵痕迹,寻找攻击途径说明:其它系统包括:同一IP地址段或同一网段的系统、同一域的其他系统、拥有相同操作系统的其他系统。2.2.5检测结果的处理工确定安全事件的类型经过检测,判断出信息安全事件类型。信息安全事件可以有以下7个基本分类:,有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全
18、事件。/网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。/信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。/信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。/设备设施故障:由于信息系统自身故隙或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。/灾害性事件:由于不可抗力对信息系统造成物理破坏而导致的信息安
19、全事件。/其他信息安全事件:不能归为以上6个基本分类的信息安全事件。辿评估突发信息安全事件的影响采用定量和/或定性的方法,对业务中断、系统宕机、网络瘫痪数据丢失等突发信息安全事件造成的影响进行评估:J确定是否存在针对该事件的特定系统预案,如有,则启动相关预案;如果事件涉及多个专项预案,应同时启动所有涉及的专项预案;工如果没有针对该事件的专项预案,应根据事件具体情况,采取抑制措施,抑制事件进一步扩散。2.3抑制阶段(Suppresses)目标:及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。J角色:应急服务实施小组、应急响应日常运行小组。1内
20、容:(1)抑制方案的确定;(2)抑制方案的认可;(3)抑制方案的实施;(4)抑制效果的判定;工输出:抑制处理记录表2. 3.1抑制方案的确定X应急服务提供者应在检测分析的基础上,初步确定与安全事件相对应的抑制方法,如有多项,可由服务对象考虑后自己选择;上在确定抑制方法时应该考虑:/全面评估入侵范围、入侵带来的影响和损失;/通过分析得到的其他结论,如入侵者的来源;/服务对象的业务和重点决策过程;/服务对象的业务连续性。2.3.2抑制方案的认可工应急服务提供者应告知服务对象所面临的首要问题;JU应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可;工在采取抑制措施之前,应急服务提供者要和
21、服务对象充分沟通,告知可能存在的风险,制定应变和回退措施,并与其达成协议。2.3.3抑制方案的实施应急服务提供者要严格按照相关约定实施抑制,不得随意更改抑制的措施的范围,如有必要更改,需获得服务对象的授权;工抑制措施包含但不仅限于以下几方面:/确定受害系统的范围后,将被害系统和正常的系统进行隔离,断开或暂时关闭被攻击的系统,使攻击先彻底停止;/持续监视系统和网络活动,记录异常流量的远程IP、域名、端口;/停止或删除系统非正常帐号,隐藏帐号,更改口令,加强口令的安全级别;/挂起或结束未被授权的、可疑的应用程序和进程;/关闭存在的非法服务和不必要的服务;/删除系统各用户“启动”目录下未授权自启动程
22、序;,使用netshare或其他第三方的工具停止所有开放的共享;/使用反病毒软件或其他安全工具检查文件,扫描硬盘上所有的文件,隔离或清除病毒、木马、蠕虫、后门等可疑文件;/设置陷阱,如蜜罐系统;或者反击攻击者的系统。2. 3.4抑制效果的判定J防止事件继续扩散,限制了潜在的损失和破坏,使目前损失最小化;人对其它相关业务的影响是否控制在最小。2.4根除阶段(EradiCateS)工目标:对事件进行抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。Ju角色:应急服务实施小组、应急响应日常运行小组。内容:(1)根除方案的确定;(2)根除方案的认可;(3)根除方案的
23、实施;(4)根除效果的判定;手输出:根除处理记录表2. 4.1根除方案的确定J应急服务提供者应协助服务对象检查所有受影响的系统,在准确判断安全事件原因的基础上,提出方案建议;工由于入侵者一般会安装后门或使用其他的方法以便于在将来有机会侵入该被攻陷的系统,因此在确定根除方法时,需要了解攻击者时如何入侵的,以及与这种入侵方法相同和相似的各种方法。3. 4.2根除方案的认可J应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险,制定应变和回退措施,并得到服务对象的书面授权;1应急服务提供者应协助服务对象进行根除方法的实施。4. 4.3根除方案的实施X应急服务提供者应使用可信的工具进行安全事
24、件的根除处理,不得使用受害系统已有的不可信的文件和工具;J根除措施易包含但不仅限与以下几个方面:/改变全部可能受到攻击的系统帐号和口令,并增加口令的安全级别;/修补系统、网络和其他软件漏洞;/增强防护功能:复查所有防护措施的配置,安装最新的防火墙和杀毒软件,并及时更新,对未受保护或者保护不够的系统增加新的防护措施;/提高其监视保护级别,以保证将来对类似的入侵进行检测;2.4.4根除效果的判定X找出造成事件的原因,备份与造成事件的相关文件和数据;J对系统中的文件进行清理,根除;1使系统能够正常工作。2.5恢复阶段(ReStoratiOn)工目标:恢复安全事件所涉及到得系统,并还原到正常状态,使业
25、务能够正常进行,恢复工作应避免出现误操作导致数据的丢失。J角色:应急服务实施小组、应急响应日常运行小组。4.内容:(1)恢复方案的确定;(2)恢复信息系统;)输出:恢复处理记录表2. 5.1恢复方案的确定工应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法,及他们可能存在的风险;工应急服务提供者应和服务对象共同确定系统恢复方案,根据抑制和根除的情况,协助服务对象选择合适的系统恢复的方案,恢复方案涉及到以下几方面:,如何获得访问受损设施或地理区域的授权;,如何通知相关系统的内部和外部业务伙伴;/如何获得安装所需的硬件部件;,如何获得装教备份介质;如何恢复关键操作系统和应用软件;/
26、如何恢复系统数据;/如何成功运行备用设备1如果涉及到涉密数据,确定恢复方法时应遵循相应的保密要求。2.5.2恢复信息系统1.应急响应实施小组应按照系统的初始化安全策略恢复系统;4恢复系统时,应根据系统中个子系统的重要性,确定系统恢复的顺序;工恢复系统过程宜包含但不限于以下方面:,利用正确的备份恢复用户数据和配置信息;/开启系统和应用服务,将受到入侵或者怀疑存在漏洞而关闭的服务,修改后重新开放;/连接网络,服务重新上线,并持续监控持续汇总分析,了解各网的运行情况;A对于不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统在根除处理后是否已恢复正常时,应选择彻底重建系统;J应急服务实施小组应协助
27、服务对象验证恢复后的系统是否正常运行;工应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固;上应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份;2.6总结阶段(Summary)工目标:通过以上各个阶段的记录表格,回顾安全事件处理的全过程,整理与事件相关的各种信息,进行总结,并尽可能的把所有信息记录到文档中。工角色:应急服务实施小组、应急响应日常运行小组。4.内容:事故总结:4应急服务提供者应及时检查安全事件处理记录是否齐全,是否具备可塑性,并对事件处理过程进行总结和分析;JU应急处理总结的具体工作包括但不限于以下几项:/事件发生的现象总结;/事件发生的原因分析;/系统的损害
28、程度评估;/事件损失估计;,采取的主要应对措施;相关的工具文档(如专项预案、方案等)归档。事故报告:,应急服务提供者应向服务对象提供完备的网络安全事件处理报告;,应急服务提供者应向服务对象提供网络安全方面的措施和建议;上述总结报告的具体信息参考EXCel表应急响应报告表三、交付及客户责任3.1工作交付安全事件处置完成,系统得到恢复。找到安全事件发生原因并提供安全解决方案。提供交付物:XX系统(事件)应急响应报告得到甲方相关负责人的书面确认。32客户责任应急响应服务现场实施需要客户相关接口人提供现场实施环境,包括:办公环境、网络接入环境、网络/安全设备访问权限等。应急响应部分工作需要相关接口人提
29、供事件相关日志,包括:系统访问日志、系统操作日志、应用日志等。应急响应过程中可能涉及系统配置更改、系统敏感操作,实施工程师会提供操作建议由相关系统负责人确认执行。四、应急响应服务优势4.1 国内领先的安全服务团队国内领先的专业化安全服务团队,具有先进的经验和技术。安全服务团队成员都出自知名专业安全公司、研究机构、知名安全团体,其中不乏许多Oday的首发者和贡献者。4.2 专业的安全评估工具专业的商业安全评估硬件和软件,内部自主开发高度定制化的安全测试及审计工具。4.3丰富的资源和持续强有力的研发团队支持我们内部拥有丰富的安全资源和优秀的研发团队,可以持续的为项目需求提供各种强有力的后台支持。4
30、.4全球首个基于大数据威胁的威胁感知系统安全本是数据,数据驱动安全。我司天眼未知威胁感知系统是全球首个基于大数据威胁分析平台,云端威胁情报的未知威胁感知系统。我司凭借自身在互联网个人端多年的积累,拥有几十亿的恶意样本库,并掌握了国际范围内的DNS访问记录和IP地址分布,再结合部分外购数据库,我司可以将数据覆盖到互联网上的每次访问,每个角落为存储相应的数据,共使用4万余台服务器,总的存储数据量已经到达2000PB规模,真正实现了海量数据的处理。依赖于全面海量的数据,我司可以分析发现恶意威胁在互联网上留下的任何蛛丝马迹,并能够根据任意己知线索发掘大量新攻击,新事件。4. 5精细的立体检测综合分析天
31、擎是天眼威胁感知系统对终端信息的采集器。安装在用户PC机上的天擎客户端会采集终端内运行的进程、终端文件上传下载行为及终端邮件附件的上传下载行为等信息。这些信息会汇总到天擎控制中心,然后发送给天眼本地分析平台。天眼分析平台结合云端威胁情报对本地存储的数据进行自动化匹配后,可将威胁定位到终端内的具体进程,并确定终端内被攻击者窃取的具体文件。天眼发现未知威胁后会通知天擎控制中心,管理员可在天擎控制中心上对终端的威胁进行处置。通过天擎终端信息的抓取,即使攻击者通过加密方式讲内部重要文件外传,天眼依然可以有效地确认具体有哪些文件被攻击者所窃取,对攻击者为用户造成的损失进行精确定位。4.6高效的本地数据检
32、索当企业本地面对大流量数据的采集问题时,天眼系统仍然可以轻松应对,天眼分析平台所使用到的分布式计算和搜索引擎技术可以提供PB级的数据快速搜索能力,对企业本地侧的TB级数据可以做到随时搜索,随时查看,绝对杜绝传统存储和查找技术在应对大数据量时性能不足的问题。充分保证使用者能够享受到大数据带来的便利。4.7专业的专家运营团队为了推进自动化分析技术的发展,并对未知威胁做最终定性和跟踪,我司长时间维持了一个近百人的庞大安全分析团队,该团队技术能力覆盖了操作系统、逆向、漏洞挖掘、渗透等安全的各个技术领域,该团队成员的经验为云端分析系统的运行提供了宝贵输入,并支持了国内多次重大APT事件的深度挖掘和定位。