本文主要是介绍应急响应-应急响应流程(各个阶段与实战),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
- 前言
- 准备阶段
- 检测阶段
- 研判分析
- 定损止损(对应遏制、根除阶段)
- 定损
- 止损
- 攻击还原
- 清理恢复
- 总结复盘
- 实战讲解
- 进程
- ssh暴力破解
- 命令混淆
- 派生恶意命令
- 命令注入
- 网络
- 文件
- webshell
- C2脚本
- 木马
- 参考
前言
做入侵检测时会有一些攻击告警,需要做应急响应。本文从流程规范角度来浅谈一下应急响应的步骤,介绍应急需要准备哪些知识,以及常见攻击流程示例。后面几章留坑,持续更新中…
应急响应PDCERF模型:
- P(PreParation准备)
- D(Detection检测)
- C(Containment遏制)
- E(Eradication根除)
R(Recovery恢复)
F(follow-up跟踪总结)
根据PDCERF模型进行优化,分为以下几个阶段。
准备阶段
此阶段预防为主,搜集威胁情报,定期漏洞扫描,内部安全宣讲等。作为应急响应人员,需要
收集日志,熟悉操作系统下的应急相关命令,熟悉应急止损工具。
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
应急响应-主机安全之文件相关命令(Linux操作系统)
应急响应-主机安全之网络相关命令(Linux操作系统)
检测阶段
此阶段进行入侵检测,通过安全设备(IDS、NIDS等)对攻击行为进行告警。
主机安全-开源HIDS字节跳动Elkeid安装使用
研判分析
收到告警时需要进行研判分析,判断是否为真实攻击事件。主要从主机、网络、文件三个方面来判断。
容易判断时记录结论,不易判断时询问机器负责人,避免误判。
定损止损(对应遏制、根除阶段)
定损
时间范围
需要确定攻击者攻击开始时间和结束时间。
资产范围
需要确定影响资产的范围,例如几台主机,在什么网络环境。
止损
止损手段封禁ip,踢出账号,网络隔离,重装操作系统等
攻击还原
此阶段需要找到完整的攻击路径,在测试环境复现攻击。对检测阶段也是一种反馈,协助在攻击路径中的关键点添加检测或拦截。
清理恢复
清理攻击痕迹,例如恶意进程、恶意文件。恢复是止损时的逆操作,如做了网络隔离,需要恢复。
总结复盘
总结复盘时需要包含以下信息:
- 时间范围
- 资产范围
- 攻击路径
- 攻击手法
- 止损情况
- 恢复情况
- 待办
实战讲解
进程
ssh暴力破解
应急响应-爆破漏洞应急响应流程(以SSH爆破为例)
命令混淆
派生恶意命令
命令注入
网络
文件
webshell
C2脚本
木马
参考
《网络安全应急响应技术实战指南》-奇安信安服团队
gitbook-应急响应实战笔记
github-应急响应指南
github-Windows 应急响应手册
PDCERF
这篇关于应急响应-应急响应流程(各个阶段与实战)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
