应急响应过程
目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案
-
保护阶段:直接断网,保护现场,看是否能够恢复数据
-
分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等
-
复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法
-
修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改
-
建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识
从受害方提供的信息预估入侵面以及权限面进行排查,分为有明确信息和无明确信息两种情况:
1、如果有明确信息的情况下,基本上会提出关于时间、操作以及指纹这一类的相关信息
-
基于时间:如果受害方提供了文件被修改日期、异常登录日期,那么我们就可以锁定这一时期的相关日志进行查看,不必去大海捞针一天天地看日志了。从而有针对性地对目标攻击事件进行分析。
-
基于操作:如果受害方提供了被删除、被加密的数据、文件位置,如数据库、磁盘等,那么我们可以根据攻击者的操作判断它入侵了哪些地方并可能分析出攻击过程。
-
基于指纹:如果受害方只说是网页被修改、网站被上马,那么我们可以根据攻击工具的指纹、木马的指纹、病毒的指纹、修改的内容等判断攻击者使用了何种工具、处于何种技术水平。
2、如果无明确信息的情况下,那么就需要排查全部可能入侵的手法:
-
web漏洞:检查源码类别和漏洞情况
-
中间件漏洞:检查对应版本和漏洞情况
-
第三方应用漏洞:检查是否存在漏洞应用
-
操作系统漏洞:检查是否存在系统漏洞
-
其他安全问题:检查相关用户口令以及后门扫描