目录
应急响应常用技术分类
一共五个类别,访问控制、安全评估系统,恢复、安全监测、入侵取证。访问控制,主要是用来进行阻断攻击,网络安全事件的处置。与访问控制相关的设备主要是防火墙,还有一些认证系统,防火墙是防问控制非常重要的设备。
安全评估,我们要去评估网络安全的现状,我们要用漏扫,木马检测或者入侵检测,IDS、IPS去做网络安全评估,也会用到网络安全风险评估。
系统恢复出了问题,要恢复用启动盘或者用灾备系统,我们有些数据可能做了异地容灾备份,系统挂了,用异地的灾备去做恢复,这就是系统恢复
网络安全监测,监测网络和系统状态,可以用网络协议分析器,入侵检测系统,上网行为管理包括日志审计也可以监测
入侵取证,你犯了罪,我要找证据来抓你。追究入侵者的法律责任,用于网络安全事件的处置,常见的我们会网络追踪,通过日志审计系统,上网行为管理、入侵检测这些进行跟踪,或者还有硬盘的克隆,复制你的数据。
信息系统容灾恢复
针对网络信息系统容灾恢复,国家制定和颁布了《信息安全技术信息系统灾难恢复规范(GB/T 20988-2007)》,规范一共定义了六个灾难恢复等级。
第一级叫基本支持,这一级要求至少每周要做一次完整的数据备份,并且我们备份的介质要做场外存放,不能把备份的数据全部放在机房里边,万一机房被淹了,那所有数据就丢失了。做为管理层,不会具体的去调设备,但是对这些规范、要求,你指挥人干活的时候,你要知道去引用什么规则,这很重要。
同时还需要有符合介质存放的场地,备份了之后,你把它拿出来放到一个仓库里边,这个仓库可能距我们的机房有几千公里,将来你的机房挂了,你可以把磁带拉回去,然后再把数据恢复出来。
我们肯定要有存磁带、存备份介质的相应场地,我们做数据备份,很多时候,会做离线备份,这个就是磁带拿出来放专门的场地里面去。离线备份绝大部分用的是磁带备份,当然也可以用光盘,光盘用的比较少一点。企业要制定存储介质、存取验证、转存的管理制度。我要去取这个数据,不是所有人都能取的,你要有相应的一些手续,是开一个批条还是拿什么证件去取,不能是谁去,都能把我的数据给取走了,这些可能就不是网络层面的安全,是管理上面的,有些时候管理比技术更重要。
按照介质的特性,对备份的数据进行定期的有效性验证,介质特性,比如说磁带,它可能容易发霉,要定期去检查一下数据有没有丢,有丢的话我们要及时的去恢复,如果是磁盘,就不能经常的移动或者震动,如果震动里面的机械臂就容易划伤我们的牌面,造成数据的丢失。这就是不同的介质,它有不同的特性,企业需要制定,经过完整性测试和演练的灾备恢复预案
第二级叫备用场地支持,它是在第一级的基础上还要求配备在灾难发生之后,我们能够在预定时间内,比如说三五个小时之内,能够调配来数据处理设备、通行线路,还有相应的网络设备。比如说,灾难发生三个小时之后,你能够把相应的服务器,线路和网络设备调配过来。第二级的新增了一个要求,在低一级的存放介质的场地,要求这个场地要满足恢复信息系统或者关键的一些业务功能,这是对场地的一个要求。接着对企业的运维能力也增加了一些要求,要求我们制定备用场地的管理制度,同时要与相关的厂商,运营商,要有符合灾难恢复时间要求的紧急供货协议备用的通信线路,紧急供货协议像运营商或者厂商,他们在区域内一般都有一个备件仓库,你给他签订一个紧急备货协议,一般在我们买设备的时候,就会签。比如说a设备挂了之后,我们在12小时或者24小时之内,把设备给拉过来,顶上当备用机,这就是紧急供货协议或者是紧急备用机协议。反正出了问题,能够顶上去,这就是第二级备用场地的支持
第三级叫电子传输和部分设备支持。它比第二级更先进的就是它不仅有紧急供货协议,它的一些主要的数据处理设备就服务器、线路、网络设备要有配置冗余,在机房里面有一部分做备份,同时要求每天多次利用通信网络将关键数据定时批量的传送至备用场地,做数据备份。要做数据备份,还要有专职的运维人员,这是第三级的一个要求,就灾备中心这边有专职的运维人员。
第四级叫电子传输级完整设备支持,要有全套的备份设备。它对于第三级中的配置部分,数据处理设备和网络设备而言,这里面我们需要配置灾难恢复所需要的全部数据处理设备和通信线路以及网络设备处于就绪状态,就主的挂了之后,备的能够马上抵上去用,这叫就绪状态,像网络层面的防火墙、交换机这种,基本上都是处于就绪状态,双击热备,一个挂了之后,另外一个马上顶上去。备用场地也提出了7×24小时运作的要求,同时对技术支持和运维管理的要求也相应的提升了。
第五级,要有实时数据传送和完备的设备支持。其实第四级就有完备的设备支持,这里面新增的实时数据传输,提到是用远程复制技术实现数据备份。远程数据复制技术,存储里面的技术,就是a里面的数据,它可以实时的复制到数据中心b里面去,他们两个的数据是保持高度的实时同步,至于更深层次的,因为这是存储里面的技术
第五级要有远程数据复制技术。我们也叫远程镜像,就是a和b是实时同步的镜像,并且要求备用网络具备自动的或者集中的切换能力,就组织挂了之后马上能切到备的,因为要实时数据同步。
第六级就更高级了,要求数据零丢失和远程集群的支持,这是在第五级的数据复制基础上,它要求要实现实时备份,它里面还强调了一点,就是不能有数据的丢失。第五级有可能,还是会有一些数据流失,但很少,其实第五级已经能做到,基本上数据不丢了,但是第六级它重点强调了一下,就数据零丢失,而且我们所有的应用软件是要做集群的。可以做到无缝切换,就是它相当于两个数据中心,a和b它在数据上是完全同步的,而且应用软件是能够做集群,就是我们用户要访问这两个数据中心的业务,挂了任何一个数据中心,都没影响,因为你不仅数据同步,而且软件是集群,相当于这两个是一个整体,挂一个,对整体是没有影响的,因为这两个运行的是一样的,能够实现业务的无缝切换,并且具备远程集群系统的实时监控,自动切换能力对于备用网络,又有更高的一个要求,要求用户可以通过网络,同时接入主备的数据中心,相当于就是双核数据中心,随便去接哪一个都行,至于接哪一个,一般我们会配负载均衡,这种负载均衡叫全局的负载均衡,就是在不同的数据中心之间做用户的接入。负载均衡有三种,这里面顺便给大家去说一下,第一种叫基于链路的负载均衡,出口,有三条链路,我选一条最合适的出去叫出口链路的负载均衡,一般我们的路由器,还有专业的负载均衡设备,像防火墙这些基本上都能做,链路负载均衡是比较简单的。
第二种叫服务器负载均衡。内部有多台服务器,提供同一个业务,用户来访问的时候,我把用户扔给某一个服务器去处理,这叫基于服务器负载均衡,还有一种就是叫全局负载均衡,多个数据中心共同处理,这叫全局负载均衡,这是三种负载均衡的技术。
一级一级,系统的安全性越来越高,但是实现的成本肯定也是越来越高
入侵取证过程
入侵取证是指通过特定的软件和工具,从计算机及网络系统当中提取证据,提取一些攻击的证据,它主要分两类,第一类是实时信息或意识信息,就断电之后会消失的,比如说像内存、网络连接,还有一个叫非意识性信息,不会随着设备的断电而丢失,比如像硬盘里面的数据。
六个步骤作为一个重点,第一步取证现场的保护。是保护受害系统或者设备的完整性,防止证据信息的丢失。我们做计算机的,取证或叫网络安全取证,如果发现,以前是开着的,你就让它开着,以前是关闭的,你就让它关闭。我们要保护系统或者设备的完整性,不能动它,这叫保护现场,你看各种杀人放火的现场,电视剧里面应该看过吧,警察第一步去保护现场啥都不动,该拍照的拍照,该取DNA,取血样的取,保护现场的完整性,防止证据丢失
第二步叫识别证据,识别可获取的证据信息类型,应用适当的获取工具或者获取技术,常见的就是拍照,做快照,还有复制硬盘,还有系统操作的日志
第三步传输证据,把你识别出来的,取得一些很重要的证据传输到专用的取证设备上。这取证设备一般是由专业的厂商开发。比如说像网络领域,计算机领域做取证,我们常用的像美亚百科,他们是专门做公安的取证。还有像瑞安等等,这些是公安部下面的,叫三产公司,他们会专门开发这种设备,比如说像读取日志,包括拍照的一些设备都是专业的设备,这种设备跟我们平时的摄像机是不一样的,因为它要经过公安部的认证,要有各种各样的证书,不是在网上随便去买个照相机来,就可以去拍犯罪现场,因为这还牵扯到关于证据的保存。你存储的数据要跟原始数据要一致,不能被篡改。因为特别是一些像什么杀人放火这种牵涉到人命的,你这些证据这些信息被篡改了。可能就会造成较大的社会影响,所以他们采用了一些取证设备,都是专业设备,接着分析证据,最后提交证据,提交主要向管理者、律师或者是法院,检察院提供相应的证据。
在取证的过程当中,它每一步的执行其实也都涉及到一些技术或者工具。第一步,比如说可以从日志系统,垃圾文件,防火墙、入侵检测等等做证据的获取
证据安全保护,主要是保护我们证据的完整性和机密性,完整性一般通过哈希来保护,哈希修改之后,哈希值就会产生巨大的变化,保密性就加密。
证据分析,分析的技术有关键词的搜索、可疑文件的分析,数据挖掘包括大数据分析,大数据关联分析,这些都是分析的一些技术。
网络安全应急响应参考案例------阿里云安全应急响应服务
阿里云,帮助云上的客户在发生安全事件之后按照预防、情报收集、遏制根除、恢复,提供7x24小时的远程紧急响应处理服务,使云上的用户能够快速的响应和处理安全事件。保证安全的稳定运行,整个流程,首先客户分三个层面,阿里云,提供云服务的、第三方的安全公司
客户先购买服务,购买服务之后,由阿里云去分配服务商,服务商就相当于第三方公司,把客户分配给第三方公司,如果出了事之后由第三方公司进行事件的确认,事件的抑制,事件的处理。包括事后分析,生成服务报告,最后提交给客户,中间由阿里云进行全程的审计和监督,相当于客户向阿里云买了云安全的应急响应服务。然后阿里云把这个事情分包给第三方去干,他只负责监督、审计。这就有点像干工地,包给你里面有很多很多活,具体的活,他找第三方去干,在我们云安全这里面也是一样的,不要以为你买了阿里云的云安全服务就是阿里云原厂的人给你处理,真不是,是第三方的公司。其实我们的网络领域,包括安全领域都非常类似,你买了华为的交换机,买了原厂服务,过来调设备,你觉得是华为原厂的人给你来调,90%的,都不是华为原厂的人,一般情况他们不来调。
阿里云应急响应服务
攻击事件,恶意程序,web,还有一些破坏性事件,基本上它都可以提供应急响应服务
网络安全应急响应参考案例---永恒之蓝Wannacry
中了勒索病毒之后,第一步,如果主机已被感染,将主机隔离或者断网,直接拔网线,若主机的一些信息有备份,我们就利用备份来恢复主机里面的程序,或者它相应的文件,如果没备份,后期30其实有提供一个可以让你恢复的小工具,但是它不能够保证所有的加密文件都能够被恢复,只能恢复一部分,如果你想所有的都要被恢复,就交钱,交钱就放人,这就是勒索的本质,就是你给比特币,然后他就给你发解密密钥,你就能解密了,有些时候这个数据真的是特别关键,你还是要交钱去解密,如果数据不是很重要,那就无所谓,重装系统就行了。
第一步针对已被感染的主机,第二步针对未被感染主机,采用如下的防护方式,避免主机被感染。第一,安装免疫工具相当于打疫苗一样,疫苗的本质它是欺骗我们的病毒,让他觉得你已经感染过了,所以他就不会再感染你了,它提供一个免疫工具,就是打疫苗用的
第二步做漏洞的修复,勒索病毒它利用的这个漏洞,打了补丁就利用不了。
第三步,做系统的加固。勒索程序,它传播利用的是smb的漏洞,我们把这个漏洞给它封掉。或者在主机上启用防火墙来封堵我们的445端口,它就没法传了,或者我们在网络层面去阻断445端口。我们在防火墙,交换机或者路由器上写acl封堵445的端口
我们针对未感染的主机过程,这是通用的。在不同厂商设备上用acl,也就是包过滤防火墙,去限制445端口的通信。
华为的配置其实用的是策略路由,策略路由的配置有点复杂