[精选]07安全事件应急响应及分析hqx.pptx

《[精选]07安全事件应急响应及分析hqx.pptx》由会员分享，可在线阅读，更多相关《[精选]07安全事件应急响应及分析hqx.pptx（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全事件应急响应安全事件应急响应及分析及分析目 录1)安全事件响应概述及流程介绍2)网站篡改事件响应与分析3)数据泄露事件响应与分析4)日志安全分析实战（上机实验）5)数据恢复实战（上机实验）1）安全事件响应概述 及流程介绍n什么是突发事件n中断正常运作的程序并使系统突然陷入某种级别危机的事件。n计算机入侵，拒绝服务攻击，信息泄露等。n什么是应急响应n信息安全应急响应是对危机信息安全的事件做出及时、准确的响应处理，综合利用检测、抑制、根除、恢复等手段，杜绝危害的进一步蔓延扩大，保证系统能够提供正常服务。应急响应概述n漏洞发布到攻击出现的时间越来越短nWitty蠕虫事件、MS08-067n花样翻

2、新，防不胜防n尼姆达蠕虫：通过email、共享网络资源、IIS服务器传播n变种速度令人惊叹n黑客：从单打独斗到“精诚”合作nBotnetn攻击程序日益自动化、并唾手可得为什么需要应急响应n确认与排除突发事件是否发生n收集与突发事件有关的信息n提供有价值的报告和建议n使损失最小化n支持民事或刑事诉讼n保护由法律或者正常规定的隐私权应急响应的目的n第一阶段：准备让我们严阵以待n第二阶段：确认对情况综合判断n第三阶段：封锁制止事态的扩大n第四阶段：根除彻底的补救措施n第五阶段：恢复备份，顶上去！n第六阶段：跟踪还会有第二次吗应急响应的一般阶段Handling the Incident恢复恢复Reco

3、veryRecovery根除根除EradicationEradication发现发现IdentificationIdentification预防预防PreparationPreparation控制控制ContainmentContainment跟踪跟踪Follow up Follow up AnalysisAnalysisIncident Response Life CycleIncident Response Life CycleIncident Response Life CycleIncident Response Life Cyclen预防为主n帮助服务对象建立安全政策n帮助服务对象按

4、照安全政策配置安全设备和软件n扫描，风险分析，打补丁n如有条件且得到许可，建立监控设施第一阶段准备建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneEmailWho?Who?Who?Who?What?What?What?What?When?When?When?When?Where?Where?Where?Where?How?How?How?How?Reporting MechanismsReporting MechanismsReporting MechanismsReporting Mechanismsn确定事件的责任人n指定一个责任人全权处理此事件n给予必要的资源n确

5、定事件的性质n误会？玩笑？还是恶意的攻击/入侵？n影响的严重程度n预计采用什么样的专用资源来修复？第二阶段确认n即时采取的行动n防止进一步的损失，确定后果n确定适当的封锁方法n咨询安全策略n确定进一步操作的风险n损失最小化n可列出若干选项，讲明各自的风险，由服务对象选择第三阶段封锁n长期的补救措施n确定原因，定义征兆n分析漏洞n加强防范n修复隐患n修改安全策略第四阶段根除n被攻击的系统由备份来恢复n作一个新的备份n把所有安全上的变更作备份n服务重新上线n持续监控第五阶段恢复n关注系统恢复以后的安全状况，特别是曾经出问题的地方n建立跟踪文档，规范记录跟踪结果n追踪来源，建立基线库n调查取证第六阶

6、段跟踪n外部原因n攻击类型n拒绝服务：SYN-flood、UDP-flood、ccnDNS欺骗：DNS poisonnARP欺骗：arp病毒n问题分析n抓包分析：wiresharkn简单命令：nslookup、arpn解决办法n封攻击者IP原因追查n内部原因n攻击类型n系统被入侵，入侵者已获取部分权限或已完全控制系统。n问题分析n系统或应用程序存在漏洞n解决办法n恢复系统n查找原因n清除后门n修补漏洞原因追查2）网络流量异常事件 响应与分析网络流量异常事件网络流量异常网络流量异常n针对协议的攻击n针对带宽的流量攻击n其他拒绝服务攻击响应策略响应策略n查看关键网络设备，对网络流量做端口镜像n查看

7、IDS等安全设备的事件记录n对流量镜像进行人工分析，判断异常数据包n通过网络协议分析设备进行流量分析n修改安全设备防护策略，对可疑流量包做丢弃处理n对针对协议的攻击限制其使用带宽n。193）网站篡改事件响应与分析网站页面篡改案例21篡改事件处置流程安全事件发生安全事件发生停止网站服务停止网站服务上报相关领导上报相关领导日志分析日志分析可疑文件及可疑文件及可疑用户分析可疑用户分析漏洞扫描与安全测试漏洞扫描与安全测试安全整改安全整改上线前测试上线前测试22篡改事件分析过程n日志分析（系统日志、中间件日志、应用系统日志）n可疑文件分析、清除（木马文件、后门程序、攻击测试文件）n可疑用户清除（操作系统

8、用户、应用系统用户）n安全事件整体分析（攻击来源、造成危害、攻击途径）23n审核日志：n系统日志n应用日志n安全性日志 n Web日志 nFTP日志 n数据库日志n查看攻击者遗留痕迹n分析入侵原因并弥补漏洞日志审核分析网站系统日志，一般IIS日志和Apache日志等均有web访问详细记录，若日志在系统中已被删除，应通过日志服务器或者日志审计系统查看日志。日志分析有以下方式：1.分析安全事件发生时间段内的日志信息，查看是否有异常访问（如网站扫描日志、上传页面日志、管理员登陆页面访问日志等）2.以遭篡改或者挂暗链的页面名称为关键字，搜索日志内容，判断是否存在管理员IP之外的访问地址。若存在，则应以

9、此地址为关键字做进一步分析，判断攻击者的攻击方式和路径。3.若网站已被上传木马，则查看日志中对该木马的访问记录，进而根据此木马来源IP地址为关键字做进一步分析。25nWEB日志nIIS日志在%systemroot%system32logfiles下相应子目录中日志分析nWEB日志格式n日期和时间n默认采用格林威治时间，比北京时间晚8小时n客户端地址n服务器地址n服务器端口n方法（GET、POST、PUT、DELETE等）nURI资源n协议状态n请求成功，200-299n临时资源，300-307n请求错误，400-499n服务器端内部错误，500-599日志分析nWEB日志(SQL注入示例)20

10、09-10-13 15:16:42 10.10.10.227 GET/list.asp id=19%20and%20user0|13|80040e07|MicrosoftODBC_SQL_Server_DriverSQL_Server将_nvarchar_值_article_user_转换为数据类型为_int_的列时发生语法错误。80-10.10.10.34 Mozilla/4.0+日志分析nWEB日志(路径扫描示例)2009-10-13 15:20:44 10.10.10.227 GET/admin_main.asp-80-10.10.10.34 Mozilla/4.0 404 0 2200

11、9-10-13 15:20:44 10.10.10.227 GET/admintab.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/count.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/root.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/htdocs.asp-80-10.10.1

12、0.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/login/login.asp-80-10.10.10.34 Mozilla/4.0 404 0 32009-10-13 15:20:44 10.10.10.227 GET/dvbbs/post_upload.asp-80-10.10.10.34 Mozilla/4.0 404 0 32009-10-13 15:20:44 10.10.10.227 GET/del.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:

13、44 10.10.10.227 GET/ok_pass.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/user/logout.asp-80-10.10.10.34 Mozilla/4.0 404 0 32009-10-13 15:20:44 10.10.10.227 GET/update.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/admindel.asp-80-10.10.10.34

14、Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/admin_delete.asp-80-10.10.10.34 Mozilla/4.0 404 0 日志分析n可疑账号n使用net user查看可疑账户分析n较低级后门：添加系统帐号；添加其他服务帐号（FTP，数据库）；n二进制后门：反向连接型普通后门；动态链接库后门；n配置型后门：隐藏账号和克隆帐号n网页型后门：webshell可疑文件分析n隐藏账号n形如hack$的隐藏账号，不能使用net user查看账户后门可疑进程二进制后门可疑端口和服务二进制后门n启动项nHKEY_LOCA

15、L_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunnHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncenHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExnHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicieesRunn回收站n根目录下隐藏的Recycler目录n用户删除的文件在以其自身SID为基础命名的子目录中临时文

16、件夹C:Documents and SettingsDefault UserLocal Settingstemp计划任务n使用at命令查看文件后门曾经存在的帐户HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList曾经安装过的软件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall操作记录分析4）数据泄露事件响应与分析信息泄露安全事件382011年北京市7万高考生个人信息网上被叫卖，考生以及家长电话、住址、姓名等隐私信息被网上售卖。

17、市教委工作人员表示，曾多次要求学校保护学生及家长的隐私，不排除是黑客窃取了考生信黑客窃取了考生信息息。数据泄露事件分析过程分析过程，类似篡改事件n日志分析n可疑账户分析n可疑文件分析判断攻击者获取数据的攻击来源、尝试方法等还需要什么?漏洞检测漏洞检测39漏洞检测 11）弱口令检测n网站系统、操作系统、数据库系统是否存在弱口令或者可进行口令暴力破解2）网站系统漏洞检测n网站系统是否存在SQL注入漏洞n数据库文件是否可绕过验证通过网站访问获取n网站系统是否存在命令执行、任意文件遍历、文件上传等漏洞40漏洞检测 23）主机漏洞检测n操作系统是否存在严重漏洞n主机是否与其他系统有网络隔离，是否可通过网

18、络嗅探的方式获得数据n数据库系统是否存在严重漏洞n数据库系统是否可由任意地址远程连接415）日志安全分析实战上机实验-日志安全分析实战43实验目标实验目标：v了解对网站攻击安全事件进行日志分析的方法v获取攻击者的攻击路径、利用方式、上传木马等信息实验环境实验环境：v客户端主机：Windows Xp v服务端主机：windows server 2003/2008vWEB中间件：IIS工具：工具：v无实验步骤实验步骤n查看IIS属性，打开IIS日志文件夹n打开最近日期的IIS日志n查找被攻击页面关键字n找到对应来源IPn分析该IP所访问的地址页面，判断攻击行为及路径、利用方法、上传木马等内容上机实

19、验-日志安全分析实战6）数据恢复实战数据恢复技术及工具数据恢复技术数据恢复技术 系统中已删除的数据并没有真正的“清除”，通过数据恢复工具仍能够找回数据或者文件。数据恢复工具数据恢复工具nData recoverynWinhex上机实验-数据恢复实战47实验目标实验目标：v了解数据恢复方法实验环境实验环境：v客户端主机：Windows Xp v服务端主机：windows server 2003/2008工具：工具：vwinhex上机实验-数据恢复实战n实验步骤1）查看IIS日志，发现日志已被删除2）通过数据恢复工具winhex查看已删除文件3）查看已删除的日志信息4）查看上传后已删除的木马文件教

20、育信息安全等级保护测评中心电话：010-66097376 66092043网址：http:/邮箱：n9、静夜四无邻，荒居旧业贫。5月-235月-23Monday,May 15,2023n10、雨中黄叶树，灯下白头人。09:48:2509:48:2509:485/15/2023 9:48:25 AMn11、以我独沈久，愧君相见频。5月-2309:48:2509:48May-2315-May-23n12、故人江海别，几度隔山川。09:48:2509:48:2509:48Monday,May 15,2023n13、乍见翻疑梦，相悲各问年。5月-235月-2309:48:2509:48:25May 1

21、5,2023n14、他乡生白发，旧国见青山。15 五月 20239:48:25 上午09:48:255月-23n15、比不了得就不比，得不到的就不要。五月 239:48 上午5月-2309:48May 15,2023n16、行动出成果，工作出财富。2023/5/15 9:48:2509:48:2515 May 2023n17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。9:48:25 上午9:48 上午09:48:255月-23n9、没有失败，只有暂时停止成功！。5月-235月-23Monday,May 15,2023n10、很多事情努力了未必有结果，但是不努力却什么改变

22、也没有。09:48:2509:48:2509:485/15/2023 9:48:25 AMn11、成功就是日复一日那一点点小小努力的积累。5月-2309:48:2509:48May-2315-May-23n12、世间成事，不求其绝对圆满，留一份不足，可得无限完美。09:48:2509:48:2509:48Monday,May 15,2023n13、不知香积寺，数里入云峰。5月-235月-2309:48:2509:48:25May 15,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 20239:48:25 上午09:48:255月-23n15、楚塞三湘接，荆门九派通

23、。五月 239:48 上午5月-2309:48May 15,2023n16、少年十五二十时，步行夺得胡马骑。2023/5/15 9:48:2509:48:2515 May 2023n17、空山新雨后，天气晚来秋。9:48:25 上午9:48 上午09:48:255月-23n9、杨柳散和风，青山澹吾虑。5月-235月-23Monday,May 15,2023n10、阅读一切好书如同和过去最杰出的人谈话。09:48:2509:48:2509:485/15/2023 9:48:25 AMn11、越是没有本领的就越加自命不凡。5月-2309:48:2509:48May-2315-May-23n12、越

24、是无能的人，越喜欢挑剔别人的错儿。09:48:2509:48:2509:48Monday,May 15,2023n13、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2309:48:2509:48:25May 15,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 20239:48:25 上午09:48:255月-23n15、最具挑战性的挑战莫过于提升自我。五月 239:48 上午5月-2309:48May 15,2023n16、业余生活要有意义，不要越轨。2023/5/15 9:48:2509:48:2515 May 2023n17、一个人即使已登上顶峰，也仍要自强不息。9:48:25 上午9:48 上午09:48:255月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉演讲完毕，谢谢观看！