Security 10 處理安全事件

2021-10-23 22:37:04 字數 2844 閱讀 6205

10.3 調查安全事件

資料外洩(data exfiltraiton):攻擊者獲取了儲存在私有網路內部的資料並將其移至外部網路的過程。

1. 確保所有敏感資料在閒置時都進行了加密。


2. 為可能成為銷毀或勒索目標的資料建立並維護異地備份。


3. 對儲存或傳輸敏感資料的系統實施訪問控制


4. 檢查訪問控制機制是否授予某些賬戶過多許可權


5. 限制攻擊者將資料從網路傳輸到外部時可利用的網路通道型別。


6. 斷開儲存存檔資料系統的網路連線
事件日誌中的異常

1. 多次連續的認證失敗


2. 系統配置不按計畫的更改


3. 過多或無法解釋的關鍵穖故障或應用程式崩潰


4. 網路裝置日誌中記錄的過量頻寬消耗


5. 事件日誌中的排序錯誤或空白
基線偏差

1. 正常情況下,系統的狀態會隨時間發生一定偏離,但不一定表示發生了攻擊


2. 補丁和其他更新可能會導致基線過期,這時需要更新基線


3. 如果攻擊者進行過偵察並對基線非常熟悉,攻擊導致的基線偏差可能非常小。


4. 只有對基礎配置進行鎖定和訪問控制,在使用者工作站上執行基準才能有效。


5. 產生相同或相似基線偏差的多個關鍵系統需要進行迅速補救
軟體問題:未經授權的軟體、無證書的軟體、過時軟體

人事問題:違反策略、社交**和個人電子郵件的使用、社交工程、內部人員威脅。

訪問控制問題:認證問題、許可權問題、訪問衝突。

加密問題:未加密的證書、證書問題、金鑰管理問題

資產管理問題

1. 所有資產都加入資產跟蹤系統中,如條形碼


2. 部署合適的流程,標記新資產


3. 按流程移除系統中過時的資產


4. 檢查資產id是否衝突


5. 檢查資產是否有不準確的元資料。


6. 確保資產管理軟體能夠正確讀取並理解跟蹤標籤


7. 更新資產管理軟體以修復任何錯誤或安全問題
制定組織策略,定義什麼是安全事件以及事件是否發生。

制定處理事件的響應計畫或策略,如根據影響確定事件優先順序。

制定溝通計畫,讓需要知道事件的相關方了解事件

建立文件要求

組建事件響應小組(irt),並確保irt擁有必要的訪問許可權,許可和工具以便能對事件做出響應。

對相關方進行安全策略的培訓

使用日誌檔案,錯誤訊息,ids警報、防火牆警報等建立基線並識別可能的安全事件引數。

比較與既定指標的偏差,識別事件及其範圍。

通知irt並建立團隊與管理層之間的溝通渠道

選擇至少一名負責評估和證據收集的事件處理人員。

確保事件處理員用文件記錄下檢測和範圍界定過程中的所有方面。

短期遏制:如隔離

系統備份:建立受影響系統的重複映像,以確保證據的儲存。

長期遏制:暫時將受影響的系統下線進行維護,以便徹底恢復。

採取必要步驟將系統恢復到已知的支行狀態

實施能有效遏制事件重演的安全控制措施。

更新事件文件,列舉此階段採取的步驟。

恢復運營的時間範圍

使用測試工具和措施來確保每個系統功能完備眀沒有受到感染

監視系統異常的時間範圍

與irt和管理層開會,完成事件時間線的確定。

確定問題及其範圍,以及為實現遏制,消除和恢復需要採取的措施。

irt和事件響應計畫的有效性,那邊保留,那些需要改進。

完成事件的文件記錄。

建立並維護事件響應小組,也稱網路事件響應小組。

以局面形式列舉了構成安全事件的內容,以及對每類事件型別的定義。

事件發生時就遵循的流程

irt成員的角色和責任。

報告事件的方式,相關方,時間

事件響應何時需要擴大

測試和驗證計畫有效性。如演練

第一響應人(first responder):第一時間到達事故現場的經驗人員


事件報告(incident report):描述了安全事件期間所發生的事件的報告
檢查階段:使用自動或手動方法對收集到的資料進行取證處理,評估和提取證據,維護資料的完整性。

分析階段:使用法律允許的方法和技術分析檢查階段的結果,獲取能證明收集和檢查原因合法的資訊

報告階段:報告取證分析結果

收到訴訟保留通知:包括如何保留資訊的指示。

保息儲存

建立審計跟蹤

取證響應流程:

1. 捕獲取證影象和記憶體:通過逐位對應地將一塊媒介複製為乙個具有高精度的映象檔案來完成


2. 檢查網路流量和日誌


4. 記錄時間偏移量:記錄檔案活動的時間格式為相對gmt的本地時區偏移量


5. 雜湊:對每個電子證據進行雜湊,包括儲存分割槽,軟體和單個檔案


6. 擷取快照


7. 確定證人


8. 跟蹤工時和成本


9. 收集情報
資料易失性順序

1. cpu暫存器,cpu快取和ram


2. 網路快取和虛擬記憶體


3. 硬碟驅動和快閃儲存器驅動器


4. cd-rom,***-rom和列印輸出
監控鏈:收集–>分析和儲存–>呈堂供證–>處理

事件隔離:首要響應措施

制定或採用一致的流程來處理和儲存取證資料

評估損害,並確定受影響系統

確定是否需要外部技術支援

如有需要通知執法部門

保護現場,使其中的硬體受到控制

收集所有必要證據

收集證據過程中,注意易失性順序

與相關人員進行面談,收集有關犯罪的資訊。

將調查結果報告給所需人員。

5 處理安全問題

處理安全問題 除錯常見的安全問題 訪問控制問題 1 認證問題2 許可問題3 訪問衝突 資料外洩 攻擊者獲取了儲存在私有網路內部的資料並將其移動至外部網路的過程。事件日誌中的異常 安全配置問題 訪問點 防火牆 內容過濾器 入侵檢測系統等 基線偏離 基線 安全的最低標準 軟體問題 未授權軟體 無證書軟體...

東莞2023年處理生活汙水首次突破10億噸

中新社東莞1月24日電 李映民 李純 記者24日從廣東東莞市生態環境局獲悉,2018年東莞處理生活汙水首次突破10億噸。隨著東莞截汙管網 汙水處理廠等汙水治理設施不斷建設,東莞水汙染治理改善當地生活環境,帶動鄉村產業新發展,令當地民眾幸福感倍增。東莞市是世界知名的製造業城市,外來人口眾多,生活汙水治...

聯想r480安全模式 聯想r480 處理思路

1 筆記本其實是一種方便移動的pc,它的效能是比不上台式電腦的,所以在平時使用中有什麼使用技巧呢?2 首先來看筆記本最重要的電池,45.73wh的容量是很常見的,說白了開機正常工作的時候 例如做個文件,不聽歌不打遊戲 電池可以用個三個多小時,這個需要注意 3 再來看看硬碟,240g的ssd智慧型說夠...