HW值守体系框架丨安华版《应急响应指导手册》介绍

admin 2022年6月28日09:59:24HW&HVV 应急响应评论41 views3014字阅读10分2秒阅读模式

HW值守体系框架丨安华版《应急响应指导手册》介绍

在“HW专题系列”上篇文章中,安华君介绍了安全服务部最新HW值守体系框架和内容,想必大家从宏观层面已经有了一定了解和认识。本篇将从HW值守体系框架中——“应急响应”部分,进行专项讲解和介绍。

HW值守体系框架丨安华版《应急响应指导手册》介绍
上篇提到,编制HW值守《应急响应指导手册》(以下简称《应急手册》)的目的和意义在于打通HW值守内、外风险控制的“毛细血管”(信息传递及响应通路),做好实施工作“最后一公里”保障。HW值守过程中任何环节发生突发事件或问题都会产生传导效应,影响更多环节和要素。


作为一项“系统性工程”,网络安全应急响应不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术,对安全管理也提出更高的要求。根据应急事件处理的“PDCERF”方法学,应急响应分为“准备、检测、抑制、根除、恢复、总结”6个阶段的工作。


HW值守体系框架丨安华版《应急响应指导手册》介绍


因此,完整详尽并且不断完善的《应急手册》,能够提供标准、可靠、系统、细致的应急操作指导,帮助HW值守团队在任务期间杜绝“历乱无章”、做到“遇事不乱”,严格依据技术操作手册对攻击行为做出快速、有效响应。


下面安华君从300页的安华版《应急手册》中,选取重点内容进行讲解和介绍。


1. 应急响应之——常用工具


HW值守中,执行应急响应工作的基本对象单元就是“网络流量”。而想要捕获网络流量,在传统物理环境中一般可以通过路由器、交换机镜像与分光器获得,或者通过一些硬件防护设备(如防火墙、IPS、UTM等)获取。在虚拟化或者云环境中,则需要使用流量采集工具。


在HW值守过程中,监测告警组成员借助安全设备实时监测潜在攻击行为。当安全设备产生告警后,监测告警组人员会对设备告警信息初次人工判断。人工判断最主要的技巧就是流量分析,通过分析请求包和响应包的内容,观察是否符合告警信息反映的攻击特征,从而判断是否属于攻击行为。


HW值守体系框架丨安华版《应急响应指导手册》介绍


比较常用工具包含Wireshark(流量分析工具)、科来网络分析系统(流量分析工具)、BurpSuite(抓包工具)、IDA(静态反编译工具)、360星图流量分析(web日志分析工具)。针对这些常用工具,《应急手册》中有非常详细的工具介绍和操作使用指导,不论是HW值守前的准备阶段,还是HW值守期间,安全服务工程师可以通过翻阅学习手册内容,熟悉掌握工具使用方法、技巧,从而提升HW值守期间安全服务工程师自身的响应效率。


2. 应急响应之——常见网络协议分析


网络协议是网络上所有设备,包括服务器、计算机、交换机、路由器、防火墙等设备之间通信规则的集合,它规定了通信时信息必须采用的格式和这些格式的意义。常见网络协议包括ARP、ICMP、IP、TCP、UDP、FTP、SSH、TELNET、DNS、HTTP、HTTPS等等。


HW值守体系框架丨安华版《应急响应指导手册》介绍


安华版《应急手册》分别对不同协议进行了深入浅出的介绍、分析,包括协议的作用、协议的流程和协议详细数据包字段分析等。在HW值守期间,此部分内容能够提供流量分析技术支撑,从而帮助监测告警组和研判应急组对攻击行为做出快速反应并有效应对。


3. 应急响应之——Windows入侵排查


当Windows发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,需要第一时间进行应对处理,使网络信息系统在最短时间内恢复正常工作状态。


《应急手册》通过讲解Windows的入侵原因分析、入侵过程分析、入侵排查思路方法等,帮助HW值守人员快速借助标准化入侵排查作业方法全方位分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证、提出解决方案和防范措施,从而帮助企业减少因突发安全事件带来的相关损失。


4. 应急响应之——Linux入侵排查


相比于Windows,Linux环境下处理应急响应事件往往会更加棘手,因为Linux在客观上缺少像Autorun、procexp这样的应急响应利器(进程管理工具),也缺少统一的应急响应处理流程。


安华版《应急手册》对Linux环境下的入侵排查思路进行了细致的梳理和分析,包括:

1、账号安全排查

2、历史命令排查

3、开机启动项排查

4、计划任务排查

5、服务排查

6、文件痕迹排查

7、端口开放排查

8、密码填充排查

9Linux日志分析

10Web日志分析

11、进程排查

12、Webshell查杀工具


《应急手册》通过对以上12个方面的梳理分析,帮助值守人员快速响应并处置Linux环境下的入侵行为。


5. 应急响应之——Windows、Linux权限维持


HW值守体系框架丨安华版《应急响应指导手册》介绍


红队是进攻方,蓝队是防守方。HW值守团队作为防守方,只有充分了解进攻方的攻击思维,站在攻击者的角度思考防守问题,才能尽可能履行好防守职责。


在HW实战阶段,当红队获取到一台主机权限后,首先要做的就是考虑怎样维持住该权限。将该设备作为一个长期、持久化的“据点”,“种植”一个具备延续性的后门,随时可以连接该被控设备进行深入渗透。


因此,持久性是红队成功运作的关键,这将使团队能够专注于目标,而不会失去与指挥和控制服务器的通信。通俗的说,“抓到一条鱼,就不能轻易放走”。《应急手册》从常见的两种主机——Windows和Linux操作系统入手,详细阐述了Windows和Linux的常用权限维持手法,帮助HW值守团队知己知彼,为防守工作添砖加瓦。


6. 应急响应之——Windows安全加固


在HW实战阶段,为了维持操作系统系统安全,在系统生命周期各个阶段加强和落实安全要求,需要有一种方式进行风险评估、控制和管理的体系。国内最通用的做法是基于Windows操作系统的安全机制,按照规定的安全基线要求进行系统的安全加固。


所谓“安全基线”,即最小的安全标准,借用的是“基线”概念。通过不断加固、检查,才能尽可能防止黑客的入侵。Windows安全加固小节内容从安全配置加固方面给出账号配置安全、文件权限安全等9个加固项,以提高Windows安全性能。同时,Windows安全加固需及时反馈给技术中台及支撑组。


7. 应急响应之——Linux安全加固


Linux作为互联网的主流底层操作系统,安全问题将会愈发严峻。HW行动实战阶段需要对Linux系统进行专门强化并落实安全要求。


《应急手册》通过从防守角度对Linux系统相关安全技术进行介绍和讲解:如账号安全加固、访问权限加固、审计安全加固、入侵防御加固等,使不同阶段层级的网络安全从业者都能够从手册中汲取营养,提升自身对Linux操作系统安全加固工作的理解和认识,从而更好为HW实战阶段服务。同时,Linux安全加固需及时反馈给技术中台及支撑组。


以上是对安华HW值守体系框架《应急响应指导手册》中重点内容的讲解和介绍。手册充分体现了“持续风险监测”理念,为现场值守团队和后台技术支持提供安全事件处置指导,在面对突发事件时做到“稳、准、狠”。协同作战、系统应对,为客户提供优质的HW安全服务。


众志成城  防控疫情


HW值守体系框架丨安华版《应急响应指导手册》介绍


HW值守体系框架丨安华版《应急响应指导手册》介绍


中测安华获CNNVD年度优秀技术支撑单位

2022政府工作报告:关于网络安全的重要表述

三项上榜|中测安华上榜《CCSIP 2021中国网络安全产业全景图》

关于我们 | 持续风险监测倡导者-中测安华
必达实验室|欧盟网络安全应急响应体系介绍 
HW值守体系框架丨安华版《应急响应指导手册》介绍
HW值守体系框架丨安华版《应急响应指导手册》介绍
稿件合作  微信:RememberSmileCX
商务咨询  微信:Fm970314

文章内容版权归属原作者所有,如有侵权、虚假信息、错误信息或任何问题,请及时联系我们,我们将在第一时间删除或更正。

原文始发于微信公众号(中测安华):HW值守体系框架丨安华版《应急响应指导手册》介绍

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月28日09:59:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  HW值守体系框架丨安华版《应急响应指导手册》介绍 http://cn-sec.com/archives/1139779.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: