“SCSA-S学习导图+”系列:网络安全应急响应
  

深信服认证 34592人觉得有帮助

{{ttag.title}}
本帖最后由 深信服认证 于 2022-11-25 15:18 编辑

本期引言:随着网络安全相关法律、法规的不断完善,网络安全防御工作也呈现体系化、全面化、精细化形态,在网络安全建设之后的运营维护阶段,网络安全应急响应是重要的保障力量,什么是网络安全应急响应?应急响应工作需要怎样的组织和流程?我们一起来看看吧。

一、什么是网络安全应急响应
网络安全应急响应是指面对网络安全事件时,组织和协调一系列步骤,采用技术或管理手段快速解决或减轻已报告的事件的措施和活动。

在以上定义中,包含两个重要的子概念:应急响应和应急事件。在国家标准GB/T 28827.3-2012《信息技术服务 运行维护 第3部分:应急响应规范》中,分别给出了这2个子概念的定义。

应急响应:组织为预防、监控、处置和管理应急事件所采取的措施和活动。
应急事件:导致或即将导致运行维护服务对象运行中断、运行质量降低,以及需要实施重点时段保障的事件。

二、网络安全应急响应组织和流程
网络安全应急响应是体系化、多部门、多人员协作的事项,组织应结合本单位的具体情况,组建应急响应团队。常见的组织架构如下图所示。


  • 领导小组,主要牵头建立组织架构,制定应急响应的制度和措施,并对应急响应结果负责。主要职责包括:设立岗位、明确职责、设定团队目标、建立应急预案和流程,组织应急演练和安全事件处置、资源协调等。
  • 技术保障小组,主要负责事件与技术对应、岗位与职责分工、协调调度方案、考察和管理技术基础等。
  • 专家小组,主要负责对事件进行评估、建议,研究趋势、分析事件原因等。
  • 实施小组,主要负责分析需求、确定策略与等级判定、实施计划、组织演练等。
  • 日常运行小组,主要负责协助灾难恢复、日常备份、监控运维、损害评估等。


在应急响应组织的统筹协调下,为了更加高效地处置安全事件,一般会采用一套行之有效的协作流程。
在NIST SP800-61中,将应急响应流程划分为4个阶段:
  • 准备
  • 检测和分析
  • 限制、消除和恢复
  • 跟踪总结


准备阶段。该阶段主要围绕应急响应的目标,需完成以下工作:建立组织、制定制度、风险评估与改进、事件分级标准、应急预案、应急演练方案。

检测和分析。该阶段属于持续性工作,需完成:检测目标的梳理、检测对象、分析潜在关联线索、确定事件原因和性质、启动应急预案、记录操作内容、确定事件等级、损害评估、上报沟通等。

限制、消除和恢复。该阶段中根据事件的具体情况,使用先前预先制定的安全策略,对安全事件进行限制,降低损害程度。然后再采用技术和管理手段消除影响网络、系统的恶意内容,比如病毒、木马、攻击连接等,并在处置和加固的情况下,提高了系统“免疫力”后,按照业务重要性和优先级,逐步恢复业务功能。

跟踪总结。安全事件处置完毕后,需对事件进行复盘总结,避免此类事件再次发生的同时,优化团队协作流程,弥补原有缺失环节和内容。

三、实例
网络安全应急响应过程中,对团队人员的技术能力要求较高。接下来以“windows隐藏用户的处理过程”实验为例,模拟“限制、消除和恢复”阶段的部分处置场景,由技术专家小组、实施小组共同完成。

实验环境中的服务器为windows server 2012 R2,拓扑图如下所示。
阶段一、使用命令行创建用户
1、打开命令行。
2、新建test$用户。
net user test$ sxf!7890 /add
net localgroup administrators test$ /add

阶段二、观察test$用户
1、使用系统计算机管理工具。
此时,在本地用户和组的用户中,可以看到test$用户。

2、使用命令行查看用户
在命令行输入以下命令。
net user
无法看到test$用户。

阶段三、导出test$和administrator用户注册表信息
1、打开注册表。
命令行中输入以下命令。
regedit
2、获取SAM项权限。
点击查看下的刷新按钮,刷新权限。
3、导出test$用户信息。
按照下图的示范,导出下面键的值,文件名设为“test.reg”。
这里0X3EA为随机值,每台主机都会不一样。
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\test$
4、导出test$的UID值。
5、导出administrator的UID项。
在windows下,administrator的UID固定为1F4。

阶段四、修改导出的注册表信息
1、将admin_id中的F值,复制到uid中的F值。
首先,编辑admin_id。
然后,复制F的值。
接下来编辑uid。
再粘贴F值。
最后保存文件即可。
阶段五、删除test$用户,导入注册表
1、删除test$用户。
使用下面命令:
net user test$ /del
2、导入桌面上的 test 和 uid注册表文件。
导入test。
导入uid。

阶段六、查看隐藏账户
1、使用计算机管理,查看用户,并未发现test$。
2、修改组策略,允许自定义用户登录。
在命令提示符中输入以下内容。
gpedit.msc
定位到安全选项,不显示最后的用户名。
选择已启用,点击确定退出。
注销administrator用户。
使用test$用户登录。
输入用户名 test$和密码。
登录成功,并使用任务管理器,查看当前用户。
总结
本文从概念出发介绍了什么是网络安全应急响应,以及为了保障应急响应工作的有效性,应根据单位的情况组建应急响应团队,然后根据应急响应的阶段流程,开展岗位职责范围内的工作,最后以windows隐藏用户处置的实例展现应急处置的过程和技术内容。

练习题
自行搭建windows服务器的实验环境,在安全受控的本地网络中,实现windows隐藏用户处置实验。

本期作者:严波,深信服教学教研中心主任,深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,网络安全等级保护体系专家,网络安全高级咨询顾问,中国网络空间安全协会会员,中国计算机学会会员,担任中国计算机行业协会数据安全专业委员会委员,数字政府网络安全产业联盟人才培养发展委员会副主任,中国软件测评中心数据安全产业专家委员会委员,暨南大学网络空间学院校外实践指导老师,深圳大学专业学位研究生校外导师,深圳信息职业技术学院产业学院副教授等职务,持有CISAW、CISP、CCNP等行业证书;负责过省级重大网络安全项目的策划、设计、建设,具备丰富的网络安全体系建设和安全服务的实战经验。

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

新手626351 发表于 2022-11-30 09:02
  

坚持学习,坚持打卡
我是路人甲55 发表于 2022-12-7 19:02
  
感谢楼主分享,每日学习打卡
嘀嘀柠柠 发表于 2022-12-16 11:42
  

楼主的文章图文并茂,清晰易懂
蟲爺 发表于 2022-12-17 23:08
  
感谢分享
嘀嘀柠柠 发表于 2022-12-22 20:29
  
感谢楼主分享,每日学习打卡
小鱼儿 发表于 2023-2-1 09:53
  
感谢楼主分享,每日学习打卡
wshellym 发表于 2023-2-1 09:53
  
感谢楼主分享,学习一下!!!
暴躁的钢索 发表于 2023-2-3 08:46
  
每天学习一点点,每天进步一点点。
向上吧,少年 发表于 2023-2-3 09:05
  
每日一学,坚持打卡。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

81
214
0

发帖

粉丝

关注

本版达人