网络安全实战攻防演练应急处置预案
第一章 社会工程攻击
1.1 监测阶段
(1) 蜜罐系统,还用于将检测到的疑似社会工程学攻击事件发送给控制器;控制器,还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统,并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。
(2) 收到钓鱼邮件。
(3) 短网址替换真实网址,欺骗用户访问。
(4) 防恶意软件,防火墙,入侵检测系统告警。
1.2 研判阶段
(1) 看发件地址,若非预期不理。留心利用拼写错误来假冒发件人地址,比如r+n ~ m,v+vw,c+ld…;或私人邮箱号称官方邮件等。
(2) 看邮件标题,警惕诈骗字眼。典型的钓鱼邮件标题常包含(但不限于) “账单、邮件投递失败、包裹投递、执法、扫描文档”等,重大灾害、疾病等热点事件常被用于借机传播。
(3) 看正文内容,辨明语法错误。忽略泛泛问候的邮件,警惕指名道姓的邮件;诈骗相关的热门正文关键字包括“发票、支付、重要更新”等;包含官方LOGO图片不等于就是真邮件。
(4) 看正文目的,保持镇定从容。当心索要登录密码、转账汇款等请求,通过内部电话等其它可信渠道进行核实。对通过“紧急、失效、重要”等词语制造紧急气氛的邮件谨慎辨别,不要忙中犯错。
(5) 看链接网址,注意鼠标悬停。鼠标悬停在邮件所含链接的上方,观看邮件阅读程序下方显示的地址与声称的地址是否一致。
(6) 看内嵌附件,当心木马易容。恶意电子邮件会采取通过超长文件名隐藏附件真实类型,起迷惑性附件名称诱使用户下载带毒邮件。一定要用虚拟机中打开,在下载邮件附件之前,应仔细检查附件文件名和格式,不要因好奇而下载可疑附件。打开前用杀毒软件进行扫描。常见的带毒邮件附件为:.zip,.rar等压缩文件格式。.doc,.pdf等文档中也可带有恶意代码。
(7) 有网站可以把短网址还原还可以把压缩的网址还原成原来的网址,把真实的网址无所遁形,一般短网址组成:短网址网站的域名+“/”+短码。
1.3 处置阶段
(1) 如果溯源到ip,上报指挥小组,上报封禁。
(2) 拒绝外部短网址的请求。
(3) 对网站的安全性进行分级并且初始安全评估报告。
第二章 发现隐蔽攻击隧道
2.1 监测阶段
(1)当出现有未知软件告警时,判断软件是否为常用隧道软件,如为搭建隧道软件,立即清除。
(2)记录软件名称,软件路径,文件传输文件交研判组。
2.2 研判阶段
(1)借助网络安全分析设备对用户和(或)系统行为进 行分析。
(2)分析未知软件和传输软件。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
2.3 处置阶段
(1)如确认为隧道进行攻击,应该立即上报指挥小组,协助指挥小组分析攻击事件
(2)对有关出站或入站DNS查询的长度、类型或大小等建立规则。
(3)定期采用主流杀毒软件进行查杀,对出现的未知软件及时进行清除。
(4)处于生产区的服务器主机在必要时禁止ICMP协议。
第三章 发现重要敏感数据窃取
3.1 监测阶段
(1)收集窃取行为信息:敏感文件读取行为例如(linux系统下:passwd文件、web中间件配置文件等)、数据库敏感信息窃取等行为,提取在排查范围内的服务器、终端、应用系统等的告警日志,并进行分析,发现可能窃取数据的攻击行为。重点排查和分析SQL注入、Webshell等 可获取数据的攻击日志。
(2)整理采集到的数据窃取信息,向研判小组递交监测单。
3.2 研判阶段
(1)研判失窃信息的敏感等级。
(2)高敏感等级应立即向处置小组进行上报,再进行后续研判以及信息收集工作。
(3)组织技术研判组对失窃数据内容及范围进行研判,根据研判结果向相关业务主管部门进行通报。
(4)相关业务主管部门在收到通报后,应在第一时间根据技术研判组研判建议采取相关处置措施,防止事件升级。
3.3 处置阶段
(1)如果是SQL注入进行数据窃取,应及时分析和查找注入点,配合业务方进行临时系统加固,等待指挥小组安排后续上机处置。
(2)提高检测能力,及时更新诸如IDS和其他入侵报告工具等的检测策略,以保证将来对类似的入侵进行检测。
第四章 系统被控制、植入木马等
4.1 监测阶段
(1)当发现系统远程执行命令或者木马相关告警时,应立即判断攻击IP是否为公网外部IP,如为公网外部IP,则应立即向IP封禁组递交IP封禁列表。
(2)记录攻击IP以及受攻击IP,记录攻击命令或者木马类型,向研判组递交监测单。
4.2 研判阶段
(1)根据告警以及日志分析攻击结果。
(2)分析受到影响业务以及主机。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
4.3 处置阶段
(1)务必首先上报指挥小组。
(2)协调业务方进行安全整改以及安全加固。
(3)等待指挥小组安排上机排查。
(4)上机排查务必保留攻击证据,并消除木马以及远控客户端。
第五章 邮件系统被盯控
5.1 监测阶段
(1) 可利用阅读记录去识别,通常黑客盗取邮箱时,会过滤所有你的邮箱,只留下他们感兴趣的信息。
(2) 登录管理后台查看。
(3) 发现已读变成未读。
5.2 研判阶段
(1) 往常用邮箱发送检测文件,若邮箱有多个,请使用群发单显功能。
(2) 邮箱标题要设置吸引人的关键词,如新的银行卡密码,公司通信录,员工信息表等。
(3) 插入:发信时勾选邮箱追踪功能,邮件被阅读触发追踪记录,包含对方ip,设备,阅读时间等信息。
(4) 保持关注该邮件的追踪记录。
5.3 处置阶段
(1) 修改密码,不可为常用密码。
(2) 邮箱有专用的密码或授权码,开启。
(3) 建议登录页面的短信验证开启,收信使用授权码验证。
(4) 把ip,设备拉黑。
第六章 近源攻击突破网络防线
6.1 监测阶段
(1)收集物理设备或智能终端如:网线接口、USB接口、智能设备等业务系统信息。
(2)对无线网络端进行检测,对无线节点混乱、无线网络区域划分不当、无线网络设置为弱口令登录、无线网络密码口令复用、无线设备过于老旧等问题进行排查。
6.2 研判阶段
(1)根据告警以及日志分析攻击结果。
(2)若存在无线网络密码爆破成功、异常IP连接成功等行为,则应立即向处置小组上报,再进行后续攻击证据收集。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
6.3 处置阶段
(1)采取零信任处置措施。
(2)若为无线网络端攻击:则加固无线网络设备,若为弱口令,改变全部可能受到攻击的系统的口令并定期修改;增加网络区域隔离,一般用户无法直连核心网络,定期进行设备升级。
(3)若为终端设备攻击:则加强人员管理,防止终端设备物理接口攻击,应向指挥小组上报,配合业务方进行系统加固或者接口升级。
第七章 供应链打击
7.1 监测阶段
(1)如发现安全设备告警时,设备针对终端/主机的进程创建、文件写入、模块加载、注册表值写入等异常行为进行监控对大多数攻击行为的捕获。
(2)如发现流量侧监控告警,对告警流量包进行记录。
7.2 研判阶段
(1)对攻击行为进行分析,结合日志,计划任务,进程服务等应急操作对攻击行为确认。
(2)对后门文件,样本文件分析,判断是否启动恶意程序。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
7.3 处置阶段
(1) 对攻击入口进行封堵、攻击传播链阻断以及恶意IOC的封禁。
(2)根据缓解步骤中提取出的各种IOC信息,全面关联告警查询,在各监控平台内做二次review,结合事前准备阶段的SBOM软件物料清单,全网全终端排查受影响范围。
(3)恢复系统网络连接、恢复系统和应用服务、恢复账号等用户数据,对系统进行全面安全加固。
第八章 通过下属单位、跨网、迂回攻击
8.1 监测阶段
(1)如通过下属单位进行攻击,应立对攻击详情进行收集并向研判小组递交监测单。
(2)如发现跨网、迂回攻击,则应立即向IP封禁小组递交IP封禁列表,对攻击事件进行初判是否为有效攻击,如是有效攻击则向研判小组递交监测单。
8.2 研判阶段
(1)如发现是通过下属单位进行攻击,则应立即向处置小组上报,再进行后续攻击证据收集。
(2)如跨网、迂回攻击,则根据攻击告警以及工具日志进行攻击结果分析,如果攻击成功,则根据日志进行证据采集以及分析攻击广度以及攻击深度,并向处置组递交研判单。
8.3 处置阶段
(1)如是通过下属单位进行的攻击,应立即上报指挥小组,并配合指挥小组进行上机排查攻击事件。
(2)对受影响的系统进行临时安全加固,并且配合业务方进行业务调整以及安全升级。
(3)对于跨网的以及迂回攻击的攻击IP进行封禁。
第九章 内网敏感信息被搜集利用
9.1 监测阶段
(1)收集数据泄露的帐号或者接口信息。
(2)收集数据泄露的业务系统信息。
(3)整理采集到的数据泄露信息,向研判小组递交监测单。
9.2 研判阶段
(1)研判泄漏信息的敏感等级。
(2)高敏感等级应立即向处置小组进行上报,再进行后续研判以及信息收集工作。
(3)如信息泄露点为个人账号导致,则应收集该账号信息,以及分析账号是否应被禁用或者修改密码等,并向处置小组递交研判单。
(4)如泄露点为业务系统或者业务接口,应验证接口的数据权限以及验证接口泄露数据的范围,分析泄露产生的原因编写修复意见,并向处置小组递交研判单。
9.3 处置阶段
(1)如泄漏点为个人账号,则应立即采用禁用策略、修改密码或者权限降级。
(2)如泄露点为信息系统或者系统接口,应向指挥小组上报,配合业务方进行系统加固或者接口升级。
第十章 漏洞利用、口令盗用、权限提升等高危操作
10.1 监测阶段
(1)收集漏洞类型、盗用的口令、以及权限提升命令或者权限提升操作。
(2)对攻击结果进行初次分析,如果分析攻击成功则向研判小组递交研判单。
10.2 研判阶段
(1)研判漏洞利用结果是否成功,如果漏洞利用成功则应立上报处置小组再进行后续研判工作。应研判漏洞影响的范围以及受影响的主机,根据漏洞类型以及影响范围编写修复建议向处置组递交研判单。
(2)如是口令盗用攻击,则应使用该口令进行横向以及纵向分析,分析是否还有其他业务系统受影响以及其他模块受影响,研判口令影响范围,根据口令以及影响范围编写研判单向处置小组递交。
(3)如存在权限提升攻击,应研判是否提权成功,以及提权后的后续操作,如果权限提升成功,则应根据帐号信息以及权限信息编写研判单递交给处置小组。
10.3 处置阶段
(1)如果是漏洞利用,则应立即向指挥小组上报,并进行临时系统加固,等待指挥小组安排后续上机处置。
(2)配合指挥小组以及业务方对系统进行安全加固以及安全升级。
(3)如盗用口令攻击,则应对被盗用口令进行禁用,溯源口令供给链路以及生成口令的帐号。
(4)权限提升攻击应立即对帐号进行权限限制操作,如果已经发生权限蔓延,则需要配合业务方对蔓延的帐号进行权限恢复。
网络安全实战攻防演练应急处置预案相关推荐
- 网络安全实战攻防演练丨防守方案经验分享
2016年<网络安全法>颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应"制定网络安全事件应急预案,并定期进行演练".网络安全实战化攻防演练作为国家层面促进各 ...
- 攻防演练-紫队视角下的实战攻防演练组织
紫队视角下的实战攻防演练组织 紫队作为实战攻防演练的组织方,着眼于演练的整体局势,同时 兼顾着红蓝双方的演练成果与风险.通过制定合理的演练规则与完备 的应急预案,在确保不影响生产的前提下,利用攻防对抗 ...
- 持安科技CEO何艺:零信任在实战攻防演练中的价值
当我们7.8月份在安全圈聊的火热时,我们可能在聊什么?面对这逐渐升温的国家级大事件,零信任如何应对? 2022年7月8日,持安科技创始人&CEO何艺受邀参加网络安全行业门户FreeBuf举办的 ...
- 我国实战攻防演练的发展现状
实战攻防演练的发展现状 实战攻防演练向规模化演变 我国实战攻防演练的发展分为两个阶段:第一阶段是试验阶段, 以学习先进实战经验为主,参演单位少,演练范围小:第二阶段是推 广阶段,实战演练发展飞速,参演 ...
- 感谢信温暖又至,聚铭网络助力网络安全防护攻防演练
近日,南京城建隧桥智慧管理有限公司向聚铭网络发来感谢信,信中对聚铭团队在"隧桥2022网络安全防护攻防演练"活动中的积极配合与专业表现表示由衷感谢. 聚铭网络高度重视此次网络安全防 ...
- TOOM网上舆情应急处置预案,怎么加强网上舆情监控?
网上舆情应急处置预案是一份详细的计划,描述了在互联网危机情况下应采取的步骤.它包括风险评估.应急程序.沟通策略.与相关各方协调.危机管理流程.危机后评估和培训以确保准备.目标是尽量减少影响,尽快恢复正 ...
- 收费站计算机安全应急预案,收费站突发事 件应急处置预案.doc
PAGE PAGE 11 收费站突发事件应急处置预案 第一节 收费站紧急情况处理预案 为保证收费系统在发生盗.抢.火灾等险情时,能够沉着应对,有序采取应急措施,将国家损失降到最小,维护收费站良好的社会 ...
- 计算机信息系统处置预案,计算机信息系统应急处置预案.doc
计算机信息系统应急处置预案 计算机信息系统应急处置预案 1目的 本文件规定了XX农村银行(以下简称"本行")计算机信息系统应急管理的操作规范和风险控制要求,旨在建立健全信息安全应急 ...
- 红蓝攻防演练过程中零失陷经验分享
本文选取了金融单位.集团公司和政府单位三个红队经典防守实 例,从防守思路.重点和职责分工等方面,直观展示了如何实操红队 防守各阶段的工作及防守策略.防护手段,给不同组织和业务场景 下,分阶段.有侧重开 ...
最新文章
- springboot在工具类中添加service的方法,显示为空的解决方案
- JVM:gc什么时候开始?System.gc()能保证gc一定发生吗?
- PPT 下载 | 中商惠民牛燕:渠道数字化运营 行业数据化未来
- 使用System Center Operations Manager监视Exchange 2007客户端连通性(二)
- lamda获取参数集合去空_JAVA集合框架知识
- 大学生经验丨帮助应届生、年轻程序员快速成长的 12 个锦囊妙计!
- springboot整合通用mapper操作数据库
- 《Python入门到精通》Python基础语法
- Android Studio打开React Native创建的项目
- 电子垃圾行业调研报告 - 市场现状分析与发展前景预测(2021-2027年)
- 学堂云3大学计算机基础答案,学堂云3答案查询公众号
- python提取国家名称缩写_如何从python中的国家缩写中获取国家名称,并混合使用alpha_2和alpha_3 ccodes...
- 用python快速导出浏览器的标头(headers)
- Android Property服务
- 整合营销成功案例-卫龙辣条的逆袭路
- Java---XML的解析(1)-DOM解析
- Java实现 LeetCode 134 加油站
- win7上的截图小工具
- jenkins4-jenkins源码管理无法连接仓库:Command git ls-remote -h --
- 【工大SCIR笔记】自然语言处理领域的数据增广方法