[精选]安全事件应急响应及分析教材2881.pptx

《[精选]安全事件应急响应及分析教材2881.pptx》由会员分享，可在线阅读，更多相关《[精选]安全事件应急响应及分析教材2881.pptx（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全事件应急响应及分析目 录1)安全事件响应概述及流程介绍2)网站篡改事件响应与分析3)数据泄露事件响应与分析4)日志安全分析实战（上机实验）5)数据恢复实战（上机实验）1）安全事件响应概述 及流程介绍n 什么是突发事件n 中断正常运作的程序并使系统突然陷入某种级别危机的事件。n 计算机入侵，拒绝服务攻击，信息泄露等。n 什么是应急响应n 信息安全应急响应是对危机信息安全的事件做出及时、准确的响应处理，综合利用检测、抑制、根除、恢复等手段，杜绝危害的进一步蔓延扩大，保证系统能够提供正常服务。应急响应概述n 漏洞发布到攻击出现的时间越来越短n Witty 蠕虫事件、MS08-067n 花样翻新，

2、防不胜防n 尼姆达蠕虫：通过email、共享网络资源、IIS 服务器传播n 变种速度令人惊叹n 黑客：从单打独斗到“精诚”合作n Botnetn 攻击程序日益自动化、并唾手可得为什么需要应急响应n 确认与排除突发事件是否发生n 收集与突发事件有关的信息n 提供有价值的报告和建议n 使损失最小化n 支持民事或刑事诉讼n 保护由法律或者正常规定的隐私权应急响应的目的n 第一阶段：准备让我们严阵以待n 第二阶段：确认对情况综合判断n 第三阶段：封锁制止事态的扩大n 第四阶段：根除彻底的补救措施n 第五阶段：恢复备份，顶上去！n 第六阶段：跟踪还会有第二次吗应急响应的一般阶段Handling the

3、Incident恢复Recovery根除Eradication发现Identification预防Preparation控制Containment跟踪Follow up AnalysisIncident Response Life Cycle Incident Response Life Cyclen 预防为主n 帮助服务对象建立安全政策n 帮助服务对象按照安全政策配置安全设备和软件n 扫描，风险分析，打补丁n 如有条件且得到许可，建立监控设施第一阶段准备建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneEmailWho?Who?What?What?When?When?W

4、here?Where?How?How?Reporting Mechanisms Reporting Mechanismsn 确定事件的责任人n 指定一个责任人全权处理此事件n 给予必要的资源n 确定事件的性质n 误会？玩笑？还是恶意的攻击/入侵？n 影响的严重程度n 预计采用什么样的专用资源来修复？第二阶段确认n 即时采取的行动n 防止进一步的损失，确定后果n 确定适当的封锁方法n 咨询安全策略n 确定进一步操作的风险n 损失最小化n 可列出若干选项，讲明各自的风险，由服务对象选择第三阶段封锁n 长期的补救措施n 确定原因，定义征兆n 分析漏洞n 加强防范n 修复隐患n 修改安全策略第四阶段根

5、除n 被攻击的系统由备份来恢复n 作一个新的备份n 把所有安全上的变更作备份n 服务重新上线n 持续监控第五阶段恢复n 关注系统恢复以后的安全状况，特别是曾经出问题的地方n 建立跟踪文档，规范记录跟踪结果n 追踪来源，建立基线库n 调查取证第六阶段跟踪n 外部原因n 攻击类型n 拒绝服务：SYN-flood、UDP-flood、ccn DNS 欺骗：DNS poisonn ARP 欺骗：arp 病毒n 问题分析n 抓包分析：wiresharkn 简单命令：nslookup、arpn 解决办法n 封攻击者IP原因追查n 内部原因n 攻击类型n 系统被入侵，入侵者已获取部分权限或已完全控制系统。n

6、 问题分析n 系统或应用程序存在漏洞n 解决办法n 恢复系统n 查找原因n 清除后门n 修补漏洞原因追查2）网络流量异常事件 响应与分析网络流量异常事件网络流量异常n 针对协议的攻击n 针对带宽的流量攻击n 其他拒绝服务攻击响应策略n 查看关键网络设备，对网络流量做端口镜像n 查看IDS 等安全设备的事件记录n 对流量镜像进行人工分析，判断异常数据包n 通过网络协议分析设备进行流量分析n 修改安全设备防护策略，对可疑流量包做丢弃处理n 对针对协议的攻击限制其使用带宽n。193）网站篡改事件响应与分析网站页面篡改案例21篡改事件处置流程安全事件发生停止网站服务上报相关领导日志分析可疑文件及可疑用

7、户分析漏洞扫描与安全测试安全整改上线前测试22篡改事件分析过程n 日志分析（系统日志、中间件日志、应用系统日志）n 可疑文件分析、清除（木马文件、后门程序、攻击测试文件）n 可疑用户清除（操作系统用户、应用系统用户）n 安全事件整体分析（攻击来源、造成危害、攻击途径）23n 审核日志：n 系统日志n 应用日志n 安全性日志 n Web 日志 n FTP 日志 n 数据库日志n 查看攻击者遗留痕迹n 分析入侵原因并弥补漏洞日志审核分析网站系统日志，一般IIS 日志和Apache 日志等均有web 访问详细记录，若日志在系统中已被删除，应通过日志服务器或者日志审计系统查看日志。日志分析有以下方式：

8、1.分析安全事件发生时间段内的日志信息，查看是否有异常访问（如网站扫描日志、上传页面日志、管理员登陆页面访问日志等）2.以遭篡改或者挂暗链的页面名称为关键字，搜索日志内容，判断是否存在管理员IP 之外的访问地址。若存在，则应以此地址为关键字做进一步分析，判断攻击者的攻击方式和路径。3.若网站已被上传木马，则查看日志中对该木马的访问记录，进而根据此木马来源IP 地址为关键字做进一步分析。25n WEB 日志n IIS 日志在%systemroot%system32logfiles 下相应子目录中日志分析n WEB 日志格式n 日期和时间n 默认采用格林威治时间，比北京时间晚8 小时n 客户端地址

9、n 服务器地址n 服务器端口n 方法（GET、POST、PUT、DELETE 等）nURI 资源n 协议状态n 请求成功，200-299n 临时资源，300-307n 请求错误，400-499n 服务器端内部错误，500-599日志分析n WEB 日志(SQL 注入示例)2009-10-13 15:16:42 10.10.10.227 GET/list.asp id=19%20and%20user0|13|80040e07|MicrosoftODBC_SQL_Server_DriverSQL_Server 将_nvarchar_ 值_article_user_ 转换为数据类型为_int_ 的列

10、时发生语法错误。80-10.10.10.34 Mozilla/4.0+日志分析n WEB 日志(路径扫描示例)2009-10-13 15:20:44 10.10.10.227 GET/admin_main.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/admintab.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/count.asp-80-10.10.10.34 Mozilla/4.0 4

11、04 0 22009-10-13 15:20:44 10.10.10.227 GET/root.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/htdocs.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/login/login.asp-80-10.10.10.34 Mozilla/4.0 404 0 32009-10-13 15:20:44 10.10.10.227 GET/dvbbs/po

12、st_upload.asp-80-10.10.10.34 Mozilla/4.0 404 0 32009-10-13 15:20:44 10.10.10.227 GET/del.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/ok_pass.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/user/logout.asp-80-10.10.10.34 Mozilla/4.0 404 0 3200

13、9-10-13 15:20:44 10.10.10.227 GET/update.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/admindel.asp-80-10.10.10.34 Mozilla/4.0 404 0 22009-10-13 15:20:44 10.10.10.227 GET/admin_delete.asp-80-10.10.10.34 Mozilla/4.0 404 0 日志分析n 可疑账号n 使用net user 查看可疑账户分析n 较低级后门：添加系统帐号；添加其他

14、服务帐号（FTP，数据库）；n 二进制后门：反向连接型普通后门；动态链接库后门；n 配置型后门：隐藏账号和克隆帐号n 网页型后门：webshell可疑文件分析n 隐藏账号n 形如hack$的隐藏账号，不能使用net user 查看账户后门可疑进程二进制后门可疑端口和服务二进制后门n 启动项n HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunn HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncen HKEY_LOCAL_MACHINESOFTWAREM

15、icrosoftWindowsCurrentVersionRunOnceExn HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicieesRunn 回收站n 根目录下隐藏的Recycler 目录n 用户删除的文件在以其自身SID 为基础命名的子目录中 临时文件夹C:Documents and SettingsDefault UserLocal Settingstemp 计划任务n 使用at 命令查看文件后门 曾经存在的帐户 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurre

16、ntVersionProfileList 曾经安装过的软件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall操作记录分析4）数据泄露事件响应与分析信息泄露安全事件382011 年北京市7 万高考生个人信息网上被叫卖，考生以及家长电话、住址、姓名等隐私信息被网上售卖。市教委工作人员表示，曾多次要求学校保护学生及家长的隐私，不排除是黑客窃取了考生信息。数据泄露事件分析过程分析过程，类似篡改事件n 日志分析n 可疑账户分析n 可疑文件分析判断攻击者获取数据的攻击来源、尝试方法等还需要什么?漏洞检测39漏洞检测 11）弱

17、口令检测n 网站系统、操作系统、数据库系统是否存在弱口令或者可进行口令暴力破解2）网站系统漏洞检测n 网站系统是否存在SQL 注入漏洞n 数据库文件是否可绕过验证通过网站访问获取n 网站系统是否存在命令执行、任意文件遍历、文件上传等漏洞40漏洞检测 23）主机漏洞检测n 操作系统是否存在严重漏洞n 主机是否与其他系统有网络隔离，是否可通过网络嗅探的方式获得数据n 数据库系统是否存在严重漏洞n 数据库系统是否可由任意地址远程连接415）日志安全分析实战上机实验-日志安全分析实战43实验目标：v 了解对网站攻击安全事件进行日志分析的方法v 获取攻击者的攻击路径、利用方式、上传木马等信息实验环境：v

18、 客户端主机：Windows Xp v 服务端主机：windows server 2003/2008vWEB 中间件：IIS工具：v 无实验步骤n 查看IIS 属性，打开IIS 日志文件夹n 打开最近日期的IIS 日志n 查找被攻击页面关键字n 找到对应来源IPn 分析该IP 所访问的地址页面，判断攻击行为及路径、利用方法、上传木马等内容上机实验-日志安全分析实战6）数据恢复实战数据恢复技术及工具数据恢复技术 系统中已删除的数据并没有真正的“清除”，通过数据恢复工具仍能够找回数据或者文件。数据恢复工具n Data recoveryn Winhex上机实验-数据恢复实战47实验目标：v 了解数据

19、恢复方法实验环境：v 客户端主机：Windows Xp v 服务端主机：windows server 2003/2008工具：vwinhex上机实验-数据恢复实战n 实验步骤1）查看IIS 日志，发现日志已被删除2）通过数据恢复工具winhex 查看已删除文件3）查看已删除的日志信息4）查看上传后已删除的木马文件教育信息安全等级保护测评中心电话：010-66097376 66092043网址：http:/邮箱：n 9、静夜四无邻，荒居旧业贫。5 月-235 月-23Tuesday,May 16,2023n 10、雨中黄叶树，灯下白头人。10:02:5910:02:5910:025/16/202

20、3 10:02:59 AMn 11、以我独沈久，愧君相见频。5 月-2310:02:5910:02May-2316-May-23n 12、故人江海别，几度隔山川。10:02:5910:02:5910:02Tuesday,May 16,2023n 13、乍见翻疑梦，相悲各问年。5 月-235 月-2310:02:5910:02:59May 16,2023n 14、他乡生白发，旧国见青山。16 五月 202310:02:59 上午10:02:595 月-23n 15、比不了得就不比，得不到的就不要。五月 2310:02 上午5 月-2310:02May 16,2023n 16、行动出成果，工作出财

21、富。2023/5/16 10:02:5910:02:5916 May 2023n 17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。10:02:59 上午10:02 上午10:02:595 月-23n 9、没有失败，只有暂时停止成功！。5 月-235 月-23Tuesday,May 16,2023n 10、很多事情努力了未必有结果，但是不努力却什么改变也没有。10:02:5910:02:5910:025/16/2023 10:02:59 AMn 11、成功就是日复一日那一点点小小努力的积累。5 月-2310:02:5910:02May-2316-May-23n 12、世间

22、成事，不求其绝对圆满，留一份不足，可得无限完美。10:02:5910:02:5910:02Tuesday,May 16,2023n 13、不知香积寺，数里入云峰。5 月-235 月-2310:02:5910:02:59May 16,2023n 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 202310:03:00 上午10:03:005 月-23n 15、楚塞三湘接，荆门九派通。五月 2310:03 上午5 月-2310:03May 16,2023n 16、少年十五二十时，步行夺得胡马骑。2023/5/16 10:03:0010:03:0016 May 2023n 17、空

23、山新雨后，天气晚来秋。10:03:00 上午10:03 上午10:03:005 月-23n 9、杨柳散和风，青山澹吾虑。5 月-235 月-23Tuesday,May 16,2023n 10、阅读一切好书如同和过去最杰出的人谈话。10:03:0010:03:0010:035/16/2023 10:03:00 AMn 11、越是没有本领的就越加自命不凡。5 月-2310:03:0010:03May-2316-May-23n 12、越是无能的人，越喜欢挑剔别人的错儿。10:03:0010:03:0010:03Tuesday,May 16,2023n 13、知人者智，自知者明。胜人者有力，自胜者强。

24、5 月-235 月-2310:03:0010:03:00May 16,2023n 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 202310:03:00 上午10:03:005 月-23n 15、最具挑战性的挑战莫过于提升自我。五月 2310:03 上午5 月-2310:03May 16,2023n 16、业余生活要有意义，不要越轨。2023/5/16 10:03:0010:03:0016 May 2023n 17、一个人即使已登上顶峰，也仍要自强不息。10:03:00 上午10:03 上午10:03:005 月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉