本节探讨管理网络事件所需的技术、日志和证据。我们还会检查在事件期间可能需要采取的技术操作和分析类型。
成功的技术响应需要有经验和技能的人员,以及工具、特定的网络设置和数据访问权限。
内容
-
提供重要信息
-
日志管理和证据捕获
-
证据数据捕获
-
技术响应
-
分流
-
遏制
-
分析
-
补救/根除
-
恢复
数据安全向第三方提供数据
如果向供应商提供数据,欧盟有GDPR 要求必须考虑数据控制者的所有权及其能力。我国现已经颁布施行《中华人民共和国数据安全法》,有关数据安全的原则依据相关法律法规执行。
提供重要信息
网络信息
清楚了解网络对于所有响应阶段都很重要。它可以将技术调查的发现阶段从几天缩短到几小时。它还可以确保成功采取遏制和补救措施。
网络图和支持信息应该至少可以显示:
-
互联网网关
-
IP 地址范围和任何单独的 VLAN
-
远程访问
-
关键系统(文件服务器、平台、域控制器、网络服务器)
-
服务器的物理位置
您还应该记录在事件响应过程中可能有用的所有安全设备和软件。
证据和日志可用性
任何事件都至少需要一些基本数据来进行分类和分析。
请记住,证据对于证明某事没有发生与证明它发生过同样重要。
证据和日志的类型
在考虑日志记录的内容和方式时,应该参考良好实践指南并从任何外部安全提供商那里收集输入。还应该探索许多事件场景,以便了解调查此类事件可能需要哪些数据。
典型的日志和证据类别应包括:
-
外网通讯:
-
网络流量——元数据和数据包捕获(防火墙、IDS/IPS、代理、DHCP、DNS)
-
电子邮件 - 电子邮件日志、完整的电子邮件文件、电子邮件系统的审计日志
-
身份验证和访问:
-
账户活动 - 域控制器和活动目录日志
-
远程登录 - 如上所述加上潜在的 RDP、VPN 和类似
-
(其他)内部网络活动:
-
本地系统活动 - 事件日志、防病毒日志、任何其他主机安全软件日志以及系统的完整映像或内存转储
-
面向 Web 的系统:Web 日志和可能与上述类似的主机日志
-
可能还需要考虑其他系统和专业软件:
-
信息存储(文件管理系统和数据库)
-
金融系统
-
操作技术系统——应该考虑这些存在哪些日志和证据
-
云服务特定日志
资产和配置信息
除了这些日志和证据来源之外,您还应该记录您的 IT 资产和配置。
此信息在事件响应期间特别有用,因为它将帮助了解受影响资产的“位置”和“内容”并评估事件的严重性。
日志管理和证据捕获
提供日志可以如何组织和保留更多的细节。但是,我们在下面概述了记录和证据捕获的最低限度和增强方法。
最低:
-
记录可用的日志和数据源,以在事件期间节省宝贵的时间
-
了解如何访问和检索日志以进行分析,以及谁可以执行此操作
-
检查日志是否易于搜索 - 例如,您能否在过去 2 个月的防火墙日志中搜索特定 IP?
-
理想情况下,将日志保留至少 3 个月——如果可能的话更长——并确保仍然可以提取归档日志
-
能够提供对物理机的访问。 如果使用全盘加密,请确保可以获取解密密钥并解密数据。
为调查加强证据和记录:
-
确保所有证据或日志源同步到相同的时间服务器和时区(这可以极大地帮助关联事件)
-
如果合适,就捕获内存和磁盘映像的基础知识培训员工
-
确保所有日志都有相关字段,或者相关日志可以关联 - 例如,在某些设置中可能需要将 DHCP 日志与防火墙日志关联
-
如果需要,能够以纯文本格式检索日志以供其他方分析
改进证据捕获和日志可用性的其他措施:
-
将日志流式传输到中央位置和系统,以实现快速关联和分析(例如 SIEM 工具或 SOC)。这也可能包括来自主机的本地事件日志。
-
保留完整的数据包捕获(更短的时间)
云中的系统或数据:
证据数据捕获
日志测试
技术响应
流体过程
您的供应商的能力
为了取得成功,通常需要在整个 IT 资产中同步操作,以便一次性消除感染。
分流
遏制
不要反应过度
分析
为了在内部执行一些基本的分类和分析,以下步骤可能有用:
-
与用户互动以了解他们观察到或做了什么(例如单击链接)
-
分析活动目录、远程访问和电子邮件等日志以了解活动。在某些情况下,这可能涉及对网络流量日志(例如防火墙)的基本搜索
-
使用开源威胁情报(例如博客和开源沙箱)。
许多事件需要更复杂的分析。这将包括以下内容:
-
完整主机(磁盘/移动/服务器)取证
-
网络流量和日志分析(通常非常大,因此可能需要专业工具)
-
高级恶意软件分析
-
许多不同事件、日志和数据源的相关性
补救/根除
遏制和补救虽然不同,但通常需要类似的能力:
-
系统隔离(可以包括关键系统、虚拟机、网站)
-
重置凭据和阻止或锁定远程访问的能力
-
阻止入站/出站流量和电子邮件
-
删除恶意文件(清理或重建机器、清理用户配置文件、使用 AV 扫描、部署脚本)。
修复需要仔细规划。
更高级的功能包括:
-
及时采取行动的能力,包括非工作时间(如果需要,考虑供应商 SLA 和员工可用性/随叫随到)
-
同步整个庄园的一系列行动,包括不同的时区和国家(特别是修复)
-
更复杂的操作,例如:
-
重置域管理员和服务账户,以及范围内的重置
-
远程隔离或隔离机器或部分网络
-
远程阻止或删除恶意文件和/或进程
-
阻止或警告特定模式(例如流量模式)
-
监控网络和主机活动以确认操作是否成功。
确认修复成功
至关重要的是,员工可以授权关键决策,例如使客户数据库或网站脱机。
实际执行操作所需的人员必须知道他们需要联系谁、如何联系他们以及何时联系。这适用于供应商以及内部员工。
作为网络事件和响应的一部分,连续性规划应考虑中断和停机时间。这应该与灾难恢复计划相关联。
在此阶段可能还需要处理非技术性操作。这可能包括媒体处理、客户支持和监管或法律职责等。有关更多详细信息,请参阅流程页面。
必须确认备份是干净的
只有干净的数据才应该被复制回干净的系统和网络。
提示: 仅备份“数据”(即工作文档而不是系统文件)将有助于防止隐藏在备份中的可执行文件(因此感染)。
恢复
在这一点上,攻击者已被移除的可信度很高。此时的主要目标是恢复“一切照旧”。这意味着让网络恢复到干净的状态,并最终确定监管机构、媒体和客户处理等事项。
随着干净的系统重新上线,临时块和其他措施可以被删除, 除非认为将它们保持在更永久的基础上是有价值的。
技术恢复的注意事项
在最坏的情况下,当数据或系统被损坏(例如被勒索软件加密)或丢失时,备份应该可用于恢复和/或可用的备用设备和系统。
为了帮助恢复过程,应该:
-
对数据进行离线/隔离备份,因为在线备份可能会受到影响。
-
将备份保留一段时间,而不是只有一个滚动备份,因为如果在覆盖备份之前没有注意到感染/损坏,这不会提供太多保护。
-
考虑在检测到某些内容之前可能需要多长时间,并确保您的备份保留更长时间 - 至少一个月。
-
考虑备份系统配置(例如专业系统)
-
查看备用设备的可用性。如果感染未知和/或难以清除,您可能需要更换或完全重建设备。
网络安全等级保护:网络安全等级保护和信息安全技术国家标准列表
原文始发于微信公众号(河南等级保护测评):事件管理-开发:技术响应能力
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论