本帖最后由 深信服认证 于 2022-11-25 15:18 编辑
本期引言:随着网络安全相关法律、法规的不断完善,网络安全防御工作也呈现体系化、全面化、精细化形态,在网络安全建设之后的运营维护阶段,网络安全应急响应是重要的保障力量,什么是网络安全应急响应?应急响应工作需要怎样的组织和流程?我们一起来看看吧。
一、什么是网络安全应急响应 网络安全应急响应是指面对网络安全事件时,组织和协调一系列步骤,采用技术或管理手段快速解决或减轻已报告的事件的措施和活动。
在以上定义中,包含两个重要的子概念:应急响应和应急事件。在国家标准GB/T 28827.3-2012《信息技术服务 运行维护 第3部分:应急响应规范》中,分别给出了这2个子概念的定义。
应急响应:组织为预防、监控、处置和管理应急事件所采取的措施和活动。 应急事件:导致或即将导致运行维护服务对象运行中断、运行质量降低,以及需要实施重点时段保障的事件。
二、网络安全应急响应组织和流程 网络安全应急响应是体系化、多部门、多人员协作的事项,组织应结合本单位的具体情况,组建应急响应团队。常见的组织架构如下图所示。
![]()
领导小组,主要牵头建立组织架构,制定应急响应的制度和措施,并对应急响应结果负责。主要职责包括:设立岗位、明确职责、设定团队目标、建立应急预案和流程,组织应急演练和安全事件处置、资源协调等。 技术保障小组,主要负责事件与技术对应、岗位与职责分工、协调调度方案、考察和管理技术基础等。 专家小组,主要负责对事件进行评估、建议,研究趋势、分析事件原因等。 实施小组,主要负责分析需求、确定策略与等级判定、实施计划、组织演练等。 日常运行小组,主要负责协助灾难恢复、日常备份、监控运维、损害评估等。
在应急响应组织的统筹协调下,为了更加高效地处置安全事件,一般会采用一套行之有效的协作流程。 在NIST SP800-61中,将应急响应流程划分为4个阶段: 准备阶段。该阶段主要围绕应急响应的目标,需完成以下工作:建立组织、制定制度、风险评估与改进、事件分级标准、应急预案、应急演练方案。
检测和分析。该阶段属于持续性工作,需完成:检测目标的梳理、检测对象、分析潜在关联线索、确定事件原因和性质、启动应急预案、记录操作内容、确定事件等级、损害评估、上报沟通等。
限制、消除和恢复。该阶段中根据事件的具体情况,使用先前预先制定的安全策略,对安全事件进行限制,降低损害程度。然后再采用技术和管理手段消除影响网络、系统的恶意内容,比如病毒、木马、攻击连接等,并在处置和加固的情况下,提高了系统“免疫力”后,按照业务重要性和优先级,逐步恢复业务功能。
跟踪总结。安全事件处置完毕后,需对事件进行复盘总结,避免此类事件再次发生的同时,优化团队协作流程,弥补原有缺失环节和内容。
三、实例 网络安全应急响应过程中,对团队人员的技术能力要求较高。接下来以“windows隐藏用户的处理过程”实验为例,模拟“限制、消除和恢复”阶段的部分处置场景,由技术专家小组、实施小组共同完成。
实验环境中的服务器为windows server 2012 R2,拓扑图如下所示。 ![]() 阶段一、使用命令行创建用户 1、打开命令行。 ![]() 2、新建test$用户。 net user test$ sxf!7890 /add net localgroup administrators test$ /add
阶段二、观察test$用户 1、使用系统计算机管理工具。 ![]() ![]() 此时,在本地用户和组的用户中,可以看到test$用户。
2、使用命令行查看用户 在命令行输入以下命令。 net user 无法看到test$用户。 ![]()
阶段三、导出test$和administrator用户注册表信息 1、打开注册表。 命令行中输入以下命令。 regedit ![]() 2、获取SAM项权限。 ![]() ![]() 点击查看下的刷新按钮,刷新权限。 ![]() 3、导出test$用户信息。 按照下图的示范,导出下面键的值,文件名设为“test.reg”。 这里0X3EA为随机值,每台主机都会不一样。 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\test$ ![]() ![]() 4、导出test$的UID值。 ![]() ![]() ![]() 5、导出administrator的UID项。 在windows下,administrator的UID固定为1F4。 ![]()
阶段四、修改导出的注册表信息 1、将admin_id中的F值,复制到uid中的F值。 首先,编辑admin_id。 ![]() 然后,复制F的值。 ![]() 接下来编辑uid。 ![]() 再粘贴F值。 ![]() 最后保存文件即可。 ![]() 阶段五、删除test$用户,导入注册表 1、删除test$用户。 使用下面命令: net user test$ /del ![]() 2、导入桌面上的 test 和 uid注册表文件。 导入test。 ![]() ![]() ![]() 导入uid。 ![]() ![]() ![]()
阶段六、查看隐藏账户 1、使用计算机管理,查看用户,并未发现test$。 ![]() 2、修改组策略,允许自定义用户登录。 在命令提示符中输入以下内容。 gpedit.msc ![]() 定位到安全选项,不显示最后的用户名。 ![]() 选择已启用,点击确定退出。 ![]() 注销administrator用户。 ![]() 使用test$用户登录。 输入用户名 test$和密码。 ![]() 登录成功,并使用任务管理器,查看当前用户。 ![]() ![]() 总结 本文从概念出发介绍了什么是网络安全应急响应,以及为了保障应急响应工作的有效性,应根据单位的情况组建应急响应团队,然后根据应急响应的阶段流程,开展岗位职责范围内的工作,最后以windows隐藏用户处置的实例展现应急处置的过程和技术内容。
练习题 自行搭建windows服务器的实验环境,在安全受控的本地网络中,实现windows隐藏用户处置实验。
本期作者:严波,深信服教学教研中心主任,深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,网络安全等级保护体系专家,网络安全高级咨询顾问,中国网络空间安全协会会员,中国计算机学会会员,担任中国计算机行业协会数据安全专业委员会委员,数字政府网络安全产业联盟人才培养发展委员会副主任,中国软件测评中心数据安全产业专家委员会委员,暨南大学网络空间学院校外实践指导老师,深圳大学专业学位研究生校外导师,深圳信息职业技术学院产业学院副教授等职务,持有CISAW、CISP、CCNP等行业证书;负责过省级重大网络安全项目的策划、设计、建设,具备丰富的网络安全体系建设和安全服务的实战经验。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-11-30 09:02
