书名:网络安全应急响应实战
ISBN:978-7-115-65581-3
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 甄 诚 马东辰 张 晨
责任编辑 吴晋瑜
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书主要介绍网络安全应急响应的法律法规和相关技术,并给出不同场景下的实战案例,旨在帮助读者全面了解网络安全应急响应的措施,掌握实用的应急响应技能和策略。
本书共7章,先从与网络安全应急响应相关的法律法规、事件分级和分类入手,然后介绍日志分析、流量分析、威胁情报分析和溯源分析等基础技术,随后展示常见操作系统下的应急响应技术和应急响应高阶技术(如内存取证技术和样本分析技术),接着针对不同的网络安全事件(例如DDoS攻击、勒索病毒)分享应急响应策略和技巧,之后介绍常见应用组件应急响应实战,最后介绍在企业中如何制定网络安全应急响应预案和如何实施网络安全应急演练等。
本书适用于广大网络安全从业者,包含但不限于大中型互联网公司的员工,以及想要从事网络安全工作的读者。本书也可作为高等院校相关专业的教学用书。
数字化时代,网络已经成为人们生活和工作中密不可分的一部分。然而,随着网络技术的不断进步,网络威胁也呈现出日益严重的态势。作为一名在网络安全领域从业多年的“老兵”,我曾多次参与网络犯罪组织调查、企业安全事件应急响应工作,对各类网络威胁手段和威胁组织有着深入的了解,深知网络安全事件应急响应工作的复杂性和挑战性。
与甄诚和马东辰两位作者的相识大约是在2016年,还记得那时候第一次带他们去客户现场处理应急响应事件时的情景。那是一次难忘的经历,大家在客户紧张、焦灼的状态中,顶着压力完成了一次漂亮的黑客阻击战,成功帮客户止损,使业务恢复正常运行,并溯源到一伙针对教育行业的黑产团伙。一晃数年过去,他们在各自的岗位上通过不断实践,累积了大量的宝贵经验,都已成长为安全领域专家。
在得知他们合作写书,要将这些年的宝贵经验与广大读者分享时,我深深为他们乐于分享的精神而感动,也为身边有他们这样的愿意为网络安全事业的发展与进步添砖加瓦的年轻人而感到欣慰。他们能够在忙碌的工作之余,花费大量时间和精力,把这些宝贵经验整理成书,实属不易。
拿到书稿后,我第一时间进行了阅读。看得出来,本书理论知识扎实、案例详实,提到了不少实用的工具和技术,为读者提供了一份全面、实用、实操性强的网络安全应急响应指南。通过书中的案例分析和实战经验分享,读者能够更好地理解网络安全应急响应工作的流程、技术和技巧。在这里,我极力推荐大家阅读此书,无论你是一名网络安全从业人员,还是企业管理人员,这本书都能为你提供源自作者亲身实践的参考建议,帮助你更好地处理相关业务难题。
最后,衷心希望此书能够成为你工作中的得力助手,助你在网络安全的征途中披荆斩棘,与我们一起守护网络的安全与稳定。愿我们共同努力,共建一个更加安全的网络世界。
腾讯安全云鼎实验室攻防负责人 李鑫
作为网络安全从业者兼东辰的老友,我在第一时间浏览本书的初稿时,内心百感交集。我惊喜于Volatility、macOS的/Library/LaunchAgents……这些让我产生强烈熟悉感的“沧海遗珠”竟还有人躬身拾起并尽数纳入书中,我不禁感叹历经安全领域沉浮的技术人初心不改、内心仍充满激情!
我从大学阶段就开始接触人民邮电出版社的图书,本书的出版再次证明了贵社在出版高质量技术图书方面的卓越能力。得益于贵社的支持,“东半球白帽子”能依托自身在网络安全领域的深厚经验和专业知识,将复杂的网络安全应急响应技术框架和技巧以实战案例的形式展现给读者。
本书的内容全面,覆盖从应急响应基础技术、应急响应高阶技术,到常见应用组件应急响应实战的各个层面,特别对DDoS攻击、勒索病毒、钓鱼邮件、Webshell攻击等常见安全事件的应急响应策略和技巧给出详尽的讲解,而这些也是当下我国网络安全领域中受到持续关注的话题。因此,本书不仅是一本理论指导书,更是一本实战手册,甚至可以作为当下HW值守(即护网行动,网络安全攻防演练中的一个关键环节)的优质工具书。
作为一名在安全领域深耕多年的技术人,我深切体会到本书的实用性和前瞻性。作者不仅展现“东半球白帽子”第一梯队的专业性与专注度,更为业界同人提供宝贵的知识资源和实战经验。我特别欣赏书中展示的真实案例与应急响应过程中的实操策略和方案,这些都是安全领域初学者不可或缺的精神食粮。
毋庸置疑,这是一本好书,值得推荐给所有网络安全从业者以及对这个领域感兴趣的读者。我也期待作者能够再接再厉,继续在网络安全领域精耕细作,为大家提供更多、更深入的实战经验和技术“干货”。行至文末,与诸君共勉,愿我们不惧风雨、砥砺前行,归来仍是少年!
字节跳动终端安全能力负责人 李月锋
随着互联网应用的广泛普及,网络安全风险无处不在,网络安全问题也日益引起人们的关注。目前,网络安全已经上升为国家战略,它事关国家长治久安、社会经济稳定、信息基础设施的安全保障、公民的个人隐私以及财产安全等重大战略和民生问题。筑牢网络安全防线,有效应对网络攻击是一个系统性、专业性的任务。网络安全公司在应对各种网络攻击事件时积累了大量的实践经验和典型案例,制定了最佳的应急响应方案,并形成了评估网络安全的相关标准。《网络安全应急响应实战》这本书合理地组织和诠释相关素材,以便网络安全从业人员能够有效地处理网络安全事件。本书的3位作者都是来自360公司的技术骨干,具有多年的网络安全从业经验,在处理大量应急响应事件的过程中积累了非常宝贵的管理经验和实战技巧。3位作者本着认真负责、求真务实和精益求精的工匠精神,将自己从业多年的宝贵经验融入本书当中,旨在帮助一线安全人员更加高效、高质量地处理网络安全应急响应事件。
本书的两位作者甄诚和马东辰曾是我的学生。我作为一名高校教师亲眼见证了两位的成长历程。时光荏苒,岁月如梭,他们在大学课堂上对知识充满无限渴望与惊喜的眼神,至今令我记忆犹新。4 年大学生涯当中,他们也曾徘徊和迷茫过,期间,两人不期而遇,同时迈进了网络安全领域的大门。两人互相勉励、并肩作战、共同成长,最终通过自己的刻苦钻研和不懈努力,毕业之后如愿以偿成为一线安全公司的技术人员。
本书作者马东辰从0到1成立应急响应团队,对他而言既是挑战,也是对其工作能力的认可。为了回馈社会、回馈国家,作者期望将团队多年的实战经验精练成一本高效的应急指南,旨在帮助广大网络安全从业人员共同构建网络安全防线,提高相关单位的网络安全保障水平。看到自己昔日的学生从一线安全技术人员茁壮成长为一线安全公司的高管,我感到无比欣慰,同时也为这些优秀的学生们感到自豪。在他们身上,我看到了一种社会担当和砥砺前行的拼搏精神,而这种责任担当与不懈追求正是网络安全从业人员必备的基本素养。
我应作者之邀撰写本书推荐序,内心燃起强烈的责任感与使命感,同时也非常感谢作者的信任与支持。本着实事求是、求真务实的态度,我郑重向广大读者推荐这本书。本书作者结合大量的实践案例,将自己多年丰富的网络安全从业经验融入此书,以图文并茂的方式进行叙述,语言通俗易懂,技术新颖,涉及的内容具有一定的理论深度。
本书适合安全“小白”以及企业安全负责人等相关技术人员阅读,既可作为指导安全工程师解决各类常见安全问题的工具手册,也可作为高校信息安全本科专业的生产实习、课程设计等实践环节的指导教材。
太原理工大学计算机科学与技术学院 兰方鹏
非常感谢360公司的领导和同事们,感谢所有在本书的写作过程中给予指导和鼎力支持的伙伴们,他们是曹隆翔、段锐、李恩臻、马俊杰、庞俊超、钱晓威、屈锐杰、张梦影、朱学勇(按姓名首字母排序)。
诚挚感谢在看过本书初稿后,给我们提出宝贵建议的朋友!他们是李鑫、李月峰、兰方鹏、周群和王宇。
还要感谢人民邮电出版社的编辑老师们,感谢他们在本书的写作过程中多次提出宝贵的反馈意见,帮助我们更好地完成内容的撰写工作。
大学毕业后,我便投身网络安全领域,起初在知道创宇公司(北京知道创宇信息技术股份有限公司)担任安服工程师,深入参与众多应急响应任务,积累了宝贵的实战经验和丰富的技术资料。2020年年初,我加入了360公司(北京奇虎科技有限公司),彼时正值公司相关部门重组,我便承接了安服应急响应团队建设的任务。本书的另外两位作者,正是我所在团队的两位核心骨干。
在安服应急响应团队建设及发展的过程中,我们逐渐构建了完整的应急响应体系。我们的团队平均每年处理网络安全事件100余起,积累了大量的案例素材,在内部形成了针对不同事件、不同场景的标准化处理手册。
我们曾成功处理了一起深夜网络安全事件,我们的工程师在很短的时间里就发现并解决了问题,这让客户非常满意,同时提到他们也想学习这方面的技术,希望我们能推荐一些介绍相关内容的图书。为此,我特意在互联网上搜索与网络安全应急响应相关的图书,但遗憾的是并未找到符合其“贴合实战,可作为工具书让工程师直接参考书中内容进行操作”这类要求的图书。这时我突然想到,如果将这些年团队内部积累的案例素材加以整理和优化,进而集结成册,不正是一本符合上述要求的图书吗?经过公司内部沟通,大家一致同意将自身积累的案例素材进行整理和输出,为网络安全领域的行业和技术发展贡献一份自己的绵薄之力。
想法一经确定,我们就开始寻找合作的出版社,幸得K0r4dji(小K)的推荐,我们联系到了人民邮电出版社的编辑老师,经过双方的共同努力,本书得以顺利完稿,进而有机会呈现给广大读者。
(1)内容贴近实战。本书内容来源于应急响应团队内部的网络安全事件处置手册,其中所介绍的技术和方法都是经过实战考验的,总结的思路和策略具备较强的可实操性,可供工程师在遇到实际网络安全事件时参考,进而实施排查、处置。
(2)提供真实案例。本书力求还原最真实的场景,案例均来源于实际的应急响应案例,涉及的内容和代码均在保证不泄露客户信息的前提下予以展示。注意,为保护客户隐私,书中部分截图进行了模糊处理,敬请广大读者见谅。
在阅读本书时,读者必须具备一些基本的网络安全知识,并事先掌握基本的Linux知识。除此之外,读者最好对以下知识也有基本的了解。
(1)攻防知识。“未知攻,焉知防”,掌握一定的攻防知识,有助于读者更好地理解攻击手法,识别攻击类型、攻击手段,了解攻击者可能利用的漏洞,进而能够通过采取补救措施降低将来遭到攻击的风险。
(2)逆向知识。应急响应过程中通常会涉及对样本的分析,可以通过逆向工程的方法分析出恶意软件的行为特征、传播方式、攻击手段等信息,帮助确定恶意软件的功能、目的和带来的潜在的损害,以便进行有针对性的处置。
本书提供如下资源:
● 本书思维导图
● 异步社区7天VIP会员
● 配套代码
要获得以上资源,扫描右侧二维码,根据指引领取。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎你将发现的问题反馈给我们,帮助我们提升图书的质量。
当你发现错误时,请登录异步社区(https://www.epubit.com),按书名搜索,进入本书页面,单击“发表勘误”,输入错误信息,单击“提交勘误”按钮即可(见右图)。本书的作者和编辑会对你提交的错误进行审核,确认并接受后,你将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
我们的联系邮箱是wujinyu@ptpress.com.cn。
如果你对本书有任何疑问或建议,请你发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果你有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们。
如果你所在的学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果你在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请你将怀疑有侵权行为的链接发邮件给我们。你的这一举动是对作者权益的保护,也是我们持续为你提供有价值的内容的动力之源。
“异步社区”(www.epubit.com)是由人民邮电出版社创办的IT专业图书社区,于2015年8月上线运营,致力于优质内容的出版和分享,为读者提供高品质的学习内容,为作译者提供专业的出版服务,实现作者与读者在线交流互动,以及传统出版与数字出版的融合发展。
“异步图书”是异步社区策划出版的精品IT图书的品牌,依托于人民邮电出版社在计算机图书领域多年来的发展与积淀。异步图书面向IT行业以及各行业使用IT的用户。
作为全书的第1章,本章先介绍应急响应的目的,以及网络安全应急响应的含义和作用,让读者对网络安全应急响应有基本的了解,接着介绍国内外相关法律法规与要求,这些法律法规与要求为网络安全工作者提供了依据和指导,对于网络安全的保障和维护具有重要意义。除此之外,本章还介绍网络安全应急响应的发展趋势和主流流程,以帮助读者更加高效地响应和处置不同类型的网络安全事件。
应急响应(Incident Response/Emergency Response),通常指一个组织为了应对各种意外事件的发生所做的准备,以及在事件发生后所采取的措施。其目的是减少意外事件造成的损失,包括人民群众的生命、财产损失,国家和企业的经济损失,以及相应的社会不良影响等。
应急响应所处理的意外事件,通常为突发公共事件或突发重大安全事件。组织可以通过执行由政府或组织推出的针对各种意外事件的应急方案,将损失降到最低。应急方案是一套复杂而体系化的意外事件处置方案,包括预案管理、应急行动方案、组织管理和信息管理等内容。其相关执行主体包括应急响应相关责任单位、应急响应指挥人员、应急工作实施组织和事件当事人。
网络安全应急响应是应急响应的一个特定分支,侧重于处理网络安全事件,如数据泄露、系统入侵、恶意软件攻击等。
网络安全是指通过使用各种安全措施和技术手段,保护计算机系统、网络设备和数据等信息资产免受未经授权的访问、修改、窃取或破坏等威胁的过程。它主要涉及信息的机密性、完整性和可用性三方面内容。
(1)信息的机密性:指保护机构的敏感信息不被非授权人员或其他机构访问或泄露。为了保障信息的机密性,需要采取加密通信、访问控制、身份验证和授权等安全措施。
(2)信息的完整性:指确保机构的信息在传输和存储过程中没有被篡改或损坏。为了保障信息的完整性,需要采取数字签名、哈希校验、数据备份和恢复等安全措施。
(3)信息的可用性:指机构的信息资产始终可供合法用户访问和使用。为了保障信息的可用性,需要采取防御性措施,如备份、容错、负载均衡和网络冗余等。
网络安全应急响应(后文简称“应急响应”,即本书后续内容提到的“应急响应”均指“网络安全应急响应”)是保障计算机系统、网络设备和数据等信息资产的完整性、机密性和可用性的一种重要手段,包括应急预案编制、事件快速响应、情报分析、漏洞管理和恢复重建等环节。这些环节的实施能够帮助组织在承受网络安全威胁时,迅速做出反应并采取应对措施,在最大程度上减少损失。
在发生确切的网络安全事件时,应急响应人员应及时采取行动,限制事件扩散和影响的范围,防范潜在的损失与破坏。应急响应人员应协助用户检查所有受影响的系统,在准确判断安全事件发生原因的基础上,提出基于安全事件的整体解决方案,排除系统的安全风险,并协助追查事件来源,协助后续处置。
国家对网络安全高度重视,且机构、企业面临越来越多、越来越复杂的网络安全事件的威胁,使得应急响应工作变得日益重要。应急响应工作主要包括以下两方面。
● 未雨绸缪,即在事件发生前先做好准备。例如,开展风险评估,制订安全计划,编制应急响应预案,进行加强安全意识的培训,以发布安全通告的方法进行预警,以及采取各种其他防范措施。
● 亡羊补牢,即在事件发生后采取的响应措施,其目的在于把事件造成的损失减到最小。这些响应措施可能来自人,也可能来自系统。例如,在发现事件后,采取紧急措施,进行系统备份、病毒及后门检测、可疑样本隔离、清除病毒或后门、系统恢复、调查与追踪、入侵取证等一系列操作。
以上两方面的工作是互有影响的。首先,事前的计划可为事后的响应措施提供指导框架,否则采取响应措施时很可能陷入混乱,毫无章法的响应措施有可能造成更大的损失;其次,事后的响应措施可能会指出事前计划的不足,从而使我们吸取教训,进一步完善安全计划。因此,这两方面的工作应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
网络安全应急响应需要机构、企业在实践中从技术、管理、法律等多角度考虑,保证针对突发网络安全事件的应急响应能够做到有序、有效、有力,确保将涉事机构、企业的损失减到最小,同时威慑肇事者。网络安全应急响应要求应急响应人员对网络安全有清晰的认识,对其有所预估和准备,从而在突发网络安全事件时,有序应对、妥善处理。
2003年7月,我国首次从国家层面对网络安全应急响应做出指导。国家信息化领导小组根据国家信息化发展的客观需求和网络与信息安全工作的现实需要,制定出台了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号文件),明确了“积极防御、综合防范”的信息安全保障工作方针。该文件指出“国家和社会各方面都要充分重视信息安全应急处理工作。要进一步完善国家信息安全应急处理协调机制,建立健全指挥调度机制和信息安全通报制度,加强信息安全事件的应急处置工作”。
2016年12月,经中央网络安全和信息化领导小组(现“中国共产党中央网络安全和信息化委员会”)批准,中华人民共和国国家互联网信息办公室发布了《国家网络空间安全战略》。该战略指出“坚持技术和管理并重、保护和震慑并举,着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护”,明确了“做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制”的重点任务。
于2017年6月1日开始施行的《中华人民共和国网络安全法》对监测预警与应急处置方面的组织机构、主体责任和工作机制作出了明确的法律规定。中央网络安全和信息化领导小组办公室随即下发了《国家网络安全事件应急预案》,对网络安全应急响应的组织机构与职责、监测与预警、应急处置、调查与评估及预防工作和保障措施均作出了详细的规定。上述法律法规与要求体现了在网络安全应急响应方面的国家意志。
在《中华人民共和国网络安全法》中,“网络安全事件”出现15次,主要与网络安全事件的技术措施,网络安全事件应急预案,网络安全事件的应对和协同配合,网络安全事件发生的可能性、影响范围和危害程度的分析,网络安全事件的调查和评估,网络安全事件的监督管理和整改,网络安全事件的应急处置,网络安全事件分级,网络安全事件的违法处置等有关。
● 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月。
● 制定网络安全事件应急预案,并定期进行演练。
● 定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力。
● 若发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
● 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。
● 因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。
● 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
● 国家网信部门应当统筹协调有关部门对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
● 网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
在《中华人民共和国网络安全法》的基础上,《关键信息基础设施安全保护条例》已经在2021年4月27日国务院第133次常务会议通过,自2021年9月1日起施行。《关键信息基础设施安全保护条例》指出“国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动”。其中,第十五条第三项、第二十五条具体体现了网络安全应急响应的相关措施。
● 按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件。
● 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
根据以上法律法规与要求的指导,为了构建国家网络安全应急响应体系和指导组织建立和完善网络安全应急响应机制,国家还陆续出台了一系列指南和标准。目前,与网络安全应急响应有直接关联的指南和标准主要如下。
● 《信息安全技术 网络安全事件分类分级指南》(GB/T 20986—2023)。该指南对信息安全事件分类依据和方法、分级依据和具体级别给出了明确的指导。该指南将信息安全事件分成7 类,包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。同时,该指南将信息安全事件划分为4个级别,对信息安全事件的分级主要考虑3个要素,即信息系统的重要程度、系统损失和社会影响,划分的4个级别分别是特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。
● 《信息安全技术 信息系统灾难恢复规范》(GB/T 20988—2007)。该标准对信息系统灾难恢复的策略制定和实现及其相关指示和方案做了具体的描述,是应急响应中的信息系统灾难恢复工作的理论依据。
● 《信息安全技术 信息安全应急响应计划规范》(GB/T 24363—2009)。该标准对信息安全应急响应计划的编制以及计划中涉及的角色及职责、应急响应流程和保障措施提出了明确的要求。
● 《网络安全事件描述和交换格式》(GB/T 28517—2012)。该标准对网络安全事件描述和交换格式及其基础数据类型、扩展和实现指南进行了定义,并给出了具体实例。
● 《信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理》(GB/T 20985.1—2017)。该标准代替了《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985—2007),将指导性技术文件改为推荐性国家标准。该标准提出了信息安全事件管理的基本概念和阶段,并将这些概念与结构化方法的原理相结合用于发现、报告、评估和响应事件,以及进行经验总结。
● 《信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南》(GB/T 20985.2—2020)。该指南基于《信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理》中给出的“信息安全事件管理阶段”模型的“规划和准备”阶段和“经验总结”阶段,给出了规划和准备事件应急响应以及事后经验总结和实施改进的方法。
● 《信息安全技术 网络安全事件应急演练指南》(GB/T 38645—2020)。该标准给出了网络安全事件应急演练的目的、原则、形式及规划,并描述了应急演练的组织架构以及实施过程。该标准对公司开展应急响应体系建设,组织应急演练提供了参考。
由于网络安全保障工作的整体性,其他与网络安全事件相关的标准,如《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022)、《信息安全技术 网络安全漏洞管理规范》(GB/T 30276—2020)和最新发布的《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022)等,也对组织开展网络安全应急响应体系和机制的建设具有参照和指导作用,此外还有国外的《信息技术系统应急响应规划指南》(NIST SP 800-34)、《计算机安全事件处理指南》(NIST SP 800-61)、《网络安全事件应急指南》(NIST SP 800-184)可作为参考。因篇幅有限,这里不对这些标准和指南进行详细介绍,有兴趣了解和学习的读者可自行查找相关标准和指南的原文。
“未知攻,焉知防”。广义层面的网络安全应急响应将网络防护和响应处置融合在一起,而狭义层面的网络安全应急响应只考虑事件发生后的响应处置工作,但无论在哪个层面,响应处置都是网络安全应急响应中不可或缺的一环,这是因为网络安全具有相对性和动态性,即我们必须承认没有绝对安全的系统,也没有一直安全的系统。
要探索网络安全应急响应的发展趋势,我们需要先了解网络安全应急响应面临的挑战。当前,网络安全应急响应面临的挑战主要来自攻防两端信息不对称、攻击动机的复杂化、攻击方法的多样化、攻击技术的体系化和安全策略的不平衡倾向。
系统的安全风险来自内部和外部,无论是主动的网络攻击,还是操作失误,导致安全事件发生的攻击过程往往是超出防御端预料的。虽然防御端拥有系统内部资源方面的优势,但在安全事件发生时,系统必然处于预先的防护体系部分失效的情况下,即使能够完整识别事件及其影响,并快速完成处置过程,也只能起到减少防御端损失的效果,已有的资源优势很难发挥作用。
过去的网络攻击动机往往较为简单——个人的攻击大多为了证明自己的技术能力或出于好奇、恶作剧心理抑或对现存系统感到不满意。企业间的攻击较为罕见,通常局限于商业间谍行为或对竞争对手的负面竞争行为,虽然存在以经济利益为目的的网络犯罪(如盗用信用卡信息),但其规模和影响较小。
现在的网络攻击动机更多样化且更复杂。经济利益成为主要动机之一,大规模的勒索软件攻击、金融欺诈甚至高度专业化的网络犯罪层出不穷。攻击者不仅针对个人用户,更瞄准了企业甚至国家的基础设施。网络攻击已从单纯的技术展示演化为包括经济、政治、社会等多重动机的复杂威胁形式。
在早期的互联网时代,网络攻击方法通常比较基础且简单。攻击者经常利用病毒、钓鱼邮件、拒绝服务(Denial of Service,DoS)攻击、SQL注入、跨站脚本(Cross Site Scripting,XSS)攻击等,主要针对软件和网络系统中的明显漏洞开展网络攻击。随着互联网技术的快速发展,现在的网络攻击方法变得更加多样化、专业化,更具有针对性。黑客开始使用高级持续性威胁(Advanced Persistent Threat,APT)发起针对特定目标的攻击,这类攻击通常涉及一系列复杂的手段,包括利用社会工程学、利用零日漏洞、定制恶意软件和进行隐秘的数据渗透,而且会利用密码破解工具、自动化脚本以及机器学习算法提高猜解密码的效率。
此外,随着物联网设备的普及,网络攻击的作用域拓展到了智能家居、工业控制系统等新领域。攻击者开始进行更为隐蔽的网络攻击,比如无文件(Fileless)攻击和内存驻留型攻击,这些攻击不易被传统安全措施检测到。加密货币挖矿恶意软件的增多也是一个新趋势,黑客利用受害者的计算资源挖掘加密货币。针对云计算环境的攻击也随着云服务的普及而变得越来越常见。总的来说,现在的网络攻击具有更强的隐蔽性、持久性和破坏力,需要采取更加高级和多层次的安全应急响应措施进行对抗。
在过去的网络攻击技术体系中,攻击行为往往是孤立的,即简单利用已知漏洞执行攻击。攻击者通常使用标准的黑客工具,比如键盘记录器、后门进行简单的旁路攻击或钓鱼攻击。这些攻击多利用公开的漏洞数据库和比较基本的社会工程策略,易于识别和防御。
现在的网络攻击技术体系日趋复杂。攻击者拥有高度组织化且复杂的工具和策略,会采用多步骤策略潜伏和窃取目标数据。攻击呈现出分工明确、团队作业的特点,例如利用CS平台的高级持续性威胁攻击(Advanced Persistent Threat-Threat On Cobalt Strike,APT-TO CS)。高度“模式化”使得攻击成本降低,也让发现和追溯这些攻击变得更难,使得应急响应工作愈发难以有效地执行。
“重防护、轻应急,重建设、轻演练”是现在大部分组织的网络安全应急响应体系建设策略。大部分组织倾向于在前期采取更多的防护措施和进行更多的基础建设,而忽视了应急响应计划和应急演练的重要性。对于大多数组织而言,预防工作的落实周期短、见效快,因此得到广泛关注。应急响应技术本身难以模式化和设备化,而且对组织内部技术人员的要求较高,普遍没有得到真正的重视。
组织专注于建立和强化安全基础设施与策略,包括硬件的投入、安全软件的部署、信息系统的架构布局,这样可以让组织满足合规性要求。然而,人员和技术平台支撑的不足,导致组织无法实施切实有效的应急演练。
从长期视角来看,忽视任何一个环节都可能使其成为网络安全防线的薄弱环节,进而对整个组织的安全、健康构成威胁。因此,成熟的网络安全策略应当重视并平衡防护与应急响应、建设与演练的关系,确保在面对网络安全事件时能够快速、有效地做出反应。
为了对网络安全事件做出快速的反应和完善的处置,无论在防护阶段还是应急处置阶段,将专业知识和相应的技术工具化都是必然趋势,最终形成由专业的管理和技术人员运用成熟的产品或工具,以合适的方式对网络安全事件进行处置的过程。
无论在准备阶段还是恢复阶段,如果没有适当的工具支撑,就无法提高处理效率。例如,应对Web攻击事件的Shell扫描查杀工具、应对网络入侵的检测工具和产品,以及查找漏洞的扫描器和取证硬、软件套装等。
另外,目前业界用以支撑应急响应标准流程的平台,无论是以漏洞管理为目的,还是以信息流转和流程支持为目的,都应该更好地将工具、流程、人员和组织联结起来,进行信息共享、协同应急。
所谓“应急服务”,就是事后采取的服务,但是在重大活动的网络安全保障工作中,应急服务更应该被理解为避免和预防突发的以安全事件为主的事件的服务,这种理解方式扩展了准备阶段的工作内容。
通过威胁情报共享、网络态势感知系统,尽早识别已知风险、缩短检测周期、提高安全事件的检出率成为目前网络安全保障和应急的技术发展趋势之一,业界近年提出的威胁狩猎理念、技术和相应的工具,也有助于实现快速检出安全事件。
根据Verizon公司发布的数据泄露调查报告(Data Breach Investigations Report,DBIR),近年来,从网络安全事件发生到攻击者成功入侵系统、盗取数据的攻击周期越来越短,应急和恢复的工作周期随着各组织安全防护意识和应急响应能力的提升也明显缩短,只有事件的检出周期无明显变化——仍然以“月”为单位。因此,通过上述的监测预警和检测发现技术,缩短安全事件的检出周期成为组织应急响应工作的当务之急。
网络空间的无边界性、信息化导致业务具有互联跨域性,这使得业界逐渐认识到成功的安全应急响应需由多种不同职责、不同技能的团队依托多种系统和情报密切协同,将本地资源、网络情报、云基础设施、各类设备和人紧密地联结起来,采用协同、闭环的应急响应体系和流程才能有效完成网络安全事件应急响应。
网络安全应急协同支撑技术的发展趋势持续反映着现代网络环境的复杂性和安全威胁的日益精密化,主要体现在安全设备深度集成化,网络安全产品不再单独运作,而是互相集成,形成一个联防联控的安全生态系统。这种深度集成机制可以在不同的安全产品之间实现自动信息共享和响应机制,包括端点保护、网络监控、威胁情报获取、入侵检测等。
网络安全应急协同支撑技术的另一个发展趋势是自动化。随着最近大模型的发展,自动化已成为当前网络安全技术的一个标准特征,未来的网络安全技术将更加依赖大模型增强自动化的能力。这种自动化可以实现更加快速、有效的威胁识别、分类和响应。通过大数据分析和机器学习,安全系统能够发现潜在的威胁和漏洞,提前采取措施以避免安全事件的发生,而不仅仅是被动应对已发生的事件。
网络安全应急响应中溯源和取证技术发展的首要目的在于识别攻击者并对其进行追责。之所以以此为首要目的,是因为确凿和精确的溯源信息能够帮助安全专家和执法机构确定攻击的起源,揭示攻击者的身份及其所用的方法。在国际范围内,追踪到具体的个人或组织后,有可能通过法律手段追究其责任。这种追责的可能性本身就具有一种震慑作用,使潜在的攻击者必须考虑被抓获和接受惩罚的风险。依托强大的溯源和取证技术,网络安全架构不仅能够防御当前的威胁,还能够避免未来的侵害。
全球对网络安全应急响应的相关法律法规与要求的严格化,成为溯源和取证技术发展的另一个重要推动力。例如,《中华人民共和国网络安全法》的施行及其与《中华人民共和国刑法》等其他法律的连接和执法强度的加大,要求在发生数据泄露问题时,组织必须具备有效追踪并报告事件的能力。
溯源和取证工作的正确执行不仅有助于使组织符合相关法律法规与要求,避免可能的罚款和违法问题,同时也有利于维护组织的品牌形象,增强消费者和股东的信心。因此,这样的法律法规与要求也激励着组织增强他们的溯源和取证能力,以确保合规,并在面对安全事件时能做出迅速、有效的响应。
随着国内外网络空间安全相关专业的应用型人才培养模式的创新,人才培养质量进一步提高,应急响应人员的技术能力逐年得到提升,加之行业对网络安全人才的需求不断增加,国内外各类组织和机构推出了相关的培养和认证服务。
在应急响应方面,国际上由网络空间安全知识学习平台Cybrary推出的Incident Response & Advanced Forensics认证课程,由美国卡耐基梅隆大学推出的CERT-Certified SANS(System Computer Security Incident Handler, Administration, Networking and Security)学院的GIAC Certified Incident Handler等认证课程;国内由中国网络安全审查认证和市场监管大数据中心推出的CISAW、CSERE认证等,均为应急响应人员在理念、知识、技术能力方面的进一步提升提供了较丰富的学习资源。但由于网络安全知识的快速更新迭代,对于应急响应人员来讲,通过持续学习以增加知识储备,通过有效的演练达成知行合一,这两点都至关重要。
网络安全事件是企业和个人必须面对的威胁,网络安全事件的发生越来越频繁且事件本身越来越复杂。为了有效应对这些威胁,建立完善的网络安全应急响应流程变得尤为重要。现在主流的网络安全应急响应流程都是参照PDCERF模型设计的,PDCERF模型最早于1987年提出,该模型将网络安全应急响应流程分成准备、检测、抑制、根除、恢复和总结六大阶段,如图1.1所示。
在整个流程中,每个阶段都有其特定的目标和任务,且这些任务必须按照特定的先后顺序由专业的团队负责执行。通过合理利用PDCERF模型,应急响应人员可以快速、高效地响应并处置网络安全事件,从而降低风险和减少损失。但是,PDCERF模型不是安全事件应急响应流程的唯一参照。下面我们详细介绍PDCERF模型。
在实际网络安全应急响应流程中,这6个阶段不一定严格存在,也不一定严格按照图1.1所示的顺序进行,但这的确是目前适用性较强的网络安全应急响应流程。
图1.1 网络安全应急响应PDCERF模型
准备阶段以预防为主,主要工作涉及识别机构、企业的风险,制定安全政策,构建协作体系和应急制度。在该阶段需要按照安全政策配置安全设备和软件,为应急响应与恢复准备主机;依照网络安全措施,进行一些准备工作,例如扫描、风险分析、修复漏洞等。如有条件且得到许可,可建立监控设施,建立数据汇总分析体系,制定能够实现应急响应目标的策略和规程,并建立信息沟通渠道,以形成能够集中处理突发事件的体系。
检测阶段主要检测并判断事件是处于已经发生状态还是正在进行中状态、分析事件产生的原因、确定事件性质和影响的严重程度,并规划采用怎样的专用资源进行修复。在该阶段需要选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件影响的范围;通过汇总,判断是否存在影响范围覆盖全网的大规模事件,从而确定应急级别并选定对应的应急方案。
根据《信息安全技术 网络安全事件分类分级指南》(GB/T 20986—2023),信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件这7个基本分类,每个基本分类分别包括若干个子类,具体如下。
● 有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入信息系统中的一段危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行的程序。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件等7个子类。
● 网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件、其他网络攻击事件等7个子类。
● 信息破坏事件(IDI)是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子类。
● 信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串联、煽动集会游行的信息安全事件;其他信息内容安全事件等4个子类。
● 设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及由人为使用非技术手段有意或无意造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等4个子类。
● 灾害性事件是指由不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
● 其他事件是指不能归为以上 6 个基本分类的其他信息安全事件。
注意,本书主要涉及前3个基本分类。
抑制阶段的主要任务是限制攻击或破坏波及的范围,同时也减少潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。
抑制策略通常包含以下内容。
● 从网络上断开主机或断开部分网络,隔离受影响的网络。
● 修改所有的防火墙和路由器的过滤规则。
● 封锁或删除被攻击的登录账号。
● 加强对系统或网络行为的监控。
● 设置诱饵服务器进一步获取事件信息。
● 关闭受攻击的系统或其他相关系统的部分服务。
● 根据攻击特征,对其进行拦截,修改服务端口,转移流量指向等。
根除阶段的主要任务是通过事件分析找出事件发生的根源并将其根除,避免攻击者再次使用相同的手段攻击系统,引发安全事件。在该阶段需要加强宣传,公布网络安全事件的危害性和处置办法,解决共性问题;同时加强监测工作,及时发现和清理同类问题。
根除阶段常用的手段有以下几类。
● 清除主机、网页上存在的有害程序。
● 安装与漏洞对应的补丁。
● 修改存在漏洞的代码。
● 重置被入侵的系统。
● 修改受到攻击的口令。
● 调整网络策略配置,避免预期外的暴露。
● 删除被泄露的文件,并对文件包含的敏感信息进行修改及监控。
● 采购对应的安全设备及服务。
恢复阶段的主要任务是把被破坏的信息全面还原到正常运作状态。在该阶段需要确定使系统恢复正常的需求内容和时间表,从可信的备份介质中恢复用户数据,重启系统和应用服务,恢复系统网络连接,验证恢复后的系统,观察其他的扫描结果,探测可能表示攻击者再次入侵的信号。一般来说,要想成功地恢复被破坏的系统,需要准备干净的备份系统,编制并维护系统恢复的操作手册,而且在系统恢复后需要对系统进行全面的安全加固,以防未来可能的攻击。
总结阶段的主要任务是回顾并整合网络安全应急响应流程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防再次发生网络安全事件。在该阶段需要基于网络安全事件的严重程度和影响程度,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这个阶段的工作对于准备阶段工作的开展具有重要的支持作用。
总结阶段的工作主要包括以下三方面的内容。
● 形成事件处理的最终报告。
● 检查网络安全应急响应流程中存在的问题,重新评估和修改该流程。
● 评估应急响应人员在针对事件处置进行相互沟通时存在的缺陷,以促进事后进行更有针对性的培训。
在日常工作中,常见的网络安全应急响应场景主要有DDoS攻击、勒索病毒、挖矿木马、钓鱼邮件、信息泄露、网页篡改、网站劫持等七类,如图1.2所示。在后续内容中,我们主要围绕这几类常见场景进行描述和讲解。
图1.2 常见网络安全应急响应场景
在现场处置过程中,相关工作人员先要确定事件类型与事件发生的时间范围,针对不同的事件类型,对事件相关人员进行访谈,了解事件发生的大致情况及涉及的网络、主机等基本信息,制定相关的应急方案和策略;随后对相关的主机进行排查,排查工作一般会从系统排查、进程排查、服务排查、文件痕迹排查、日志分析等方面进行;然后整合相关信息,进行关联推理;最后给出事件结论。网络安全应急响应分析流程如图1.3所示。
图1.3 网络安全应急响应分析流程
在这个流程中具体应该怎样排查和分析,我们将在第2章进行详细介绍。
