为采购人提供安全事件应急响应和处理服务,在发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件时,提供应急响应专家协助处置。
该服务流程并非一个固定不变的教条, 需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都有着极其重要的作用。
突发事件应急处理流程包括:
如下图所示:
首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体包含以下内容:
在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果以后在出现事故后对该服务器做安全检测时, 通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常。
工具包的准备:
必要技术的准备:
上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:
(1)系统检测技术,包括以下检测技术规范:
(2)攻击检测技术,包括以下技术:
(3)攻击追踪技术;
(4)现场取样技术;
(5)系统安全加固技术;
(6)攻击隔离技术;
(7)资产备份恢复技术。
应急响应负责人根据《事件初步报告表》的内容,初步分析事故的类型、严重程度等,以此来确定临时应急响应小组的实施人员的名单。
记录时使用目录及文件名约定:
在受入侵的计算机的D盘根目录下(D:\)(如果无D盘则在其他盘根目录下)建立一个qihoo目录,目录中包含以下子目录:
文件格式:
搜集操作系统基本信息
netstat -nao > netstat.txt (网络连接信息)
tasklist > tasklist.txt (当前进程信息)
ipconfig /all > ipconfig.txt(IP 属性)
ver > ver.txt (操作系统属性)
....................................
日志信息:
帐号信息:
日志检查:
帐号检查:
进程检查:
服务检查:
自启动检查:
网络连接检查:
共享检查
文件检查:
查找其他入侵痕迹:
经过检测,判断出信息安全事件类型。
信息安全事件可以有以下 7 个基本分类:
安全事件处置完成,系统得到恢复。找到安全事件发生原因并提供安全解决方案。