事件应急响应专家

  • 应急响应的定义、范围
  • 应急响应的流程
  • 课程范围
  • 应急响应处理表格

应急响应的定义

应急响应是一种行动,当计算机或者网络安全事件出问题了。

网络安全事件包括系统崩溃、未授权访问、dos、恶意软件执行

NIST是美国国家标准与技术研究院(National Institute of Standards and Technology)的缩写。它是美国联邦政府的一个机构,隶属于美国商务部下属的技术和工业部门。NIST的任务包括推动科学和技术创新、提高工业竞争力、促进公众安全和健康,以及支持政府的核心职能。NIST负责制定、推广和维护各种标准、度量和技术,以支持美国的科学、技术和经济发展。在信息安全领域,NIST提供了许多标准和指南,如NIST特别出名的是其《安全性和隐私性控制框架》(Security and Privacy Controls Framework)以及其他一系列指南,这些指南对组织管理信息安全方面提供了有用的指导。

SOCs团队(Security Operations Center teams)是指安全运营中心团队,负责监视、检测和响应网络安全事件和威胁。他们使用安全信息和事件管理系统(SIEM)等工具来收集、分析和解释安全事件日志和数据,以及实施相应的安全措施来保护组织的信息资产。

CSIRT团队(Computer Security Incident Response Team)是指计算机安全事件响应团队,也称为安全事件响应团队。这些团队负责处理和响应组织内部或外部发生的安全事件和攻击,以确保网络和信息系统的安全性和可用性。CSIRT团队的职责包括调查安全事件、识别受影响的系统、收集证据、应对攻击、修复漏洞和提供安全意见。他们通常与SOC团队合作,以有效地检测、分析和响应安全事件。

应急响应的范围

应急响应不仅仅包含入侵,恶意内部人员、可用性问题和知识产权丧失都属于事件处理的范畴。

应急响应的流程

作为一个应急响应人员,你的每日工作包括讨论攻击者尝试入侵系统,并且预防、检测和响应这种尝试。
你应该完全认识到攻击者的技术、战术和过程,特别是,你应该完全了解攻击者的安全kill chain全过程。

所有的应急响应指南都是帮助组织准备、防御和响应安全杀伤链的所有阶段,以及有效的应对入侵者。

4个阶段

准备
检测和分析
遏制、根除、恢复
事后活动

这四个阶段就是应急响应生命周期。

第一阶段-准备

  • 员工
  • 文档
  • 防御方法

确定最小响应时间
事件处理人员应该拥有无限制的、随需访问系统的权限

multi-disciplinary team - 多学科团队
incident handlers - 事件处理人员
forensic analysts - 取证分析人员
malware analysts - 恶意软件分析人员
support from NOC - 网络运维中心(NOC)的支持
legal, PR depts - 法律、公关部门

建立spoc
“SPOC” 是 “Single Point of Contact” 的缩写,意为“单一联系点”。在组织或项目中,SPOC通常是指一个特定的个人或团队,负责与其他部门、团队或利益相关者沟通和协调。SPOC的作用是简化沟通流程,确保信息传递的准确性和及时性,以及统一协调决策和行动。

事件处理入门工具包
data acquisition software:数据采集软件
read-only diagnostic software:只读诊断软件
bootable Linux environment:可启动的Linux环境
HDS:硬盘驱动器(HDS缩写常用于指代硬盘)
ethernet tap:以太网监听器
cables:数据线缆
laptop:笔记本电脑

员工

应急响应团队
IT安全训练
安全意识、社会工程学练习

文档

定义好的各种政策
预先定义好的响应程序
数据泄露/安全事件沟通计划
保持行动责任链

防御方法

安全设备

第二阶段-检测和分析

  • 检测的方法
  • 分享信息和知识
  • 上下文感知威胁情报
  • 对于你的网络的正确认识

检测和分析的要点

指定主要事件处理人员
建立信任和有效的信息共享
保障信息共享
基于你的网络建立多个层次的检测
建立基线,扩展可见性,了解你的不足

不同层次的分析

网络探针
主机感知
主机层
应用层

检测案例

网络层面的检测,需要NIDS, IPS, DMZ系统等检测设备
使用wireshark可以对网络进行分析

主机层面的探测,可以使用防火墙和HIPS系统
使用netstat -naob
可以检测网络活动

假设你要检测一个linux系统上使用22端口通信的一个恶意软件,可以使用
lsof -i :22

也可以使用 netstat -anp | grep :22

lsof扫描进程列表,所以可能会遗失隐藏进程和其他打开的sockets
netstat专注于打开的socket列表,使用-p选项,无论有没有找到有关的进程,都会输出到打开sockets