网络安全实战攻防演练应急处置预案

这篇具有很好参考价值的文章主要介绍了网络安全实战攻防演练应急处置预案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

第一章 社会工程攻击

1.1 监测阶段

(1) 蜜罐系统,还用于将检测到的疑似社会工程学攻击事件发送给控制器;控制器,还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统,并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。

(2) 收到钓鱼邮件。

(3) 短网址替换真实网址,欺骗用户访问。

(4) 防恶意软件,防火墙,入侵检测系统告警。

1.2 研判阶段

(1) 看发件地址,若非预期不理。留心利用拼写错误来假冒发件人地址,比如r+n ~ m,v+vw,c+ld…;或私人邮箱号称官方邮件等。

(2) 看邮件标题,警惕诈骗字眼。典型的钓鱼邮件标题常包含(但不限于) “账单、邮件投递失败、包裹投递、执法、扫描文档”等,重大灾害、疾病等热点事件常被用于借机传播。

(3) 看正文内容,辨明语法错误。忽略泛泛问候的邮件,警惕指名道姓的邮件;诈骗相关的热门正文关键字包括“发票、支付、重要更新”等;包含官方LOGO图片不等于就是真邮件。

(4) 看正文目的,保持镇定从容。当心索要登录密码、转账汇款等请求,通过内部电话等其它可信渠道进行核实。对通过“紧急、失效、重要”等词语制造紧急气氛的邮件谨慎辨别,不要忙中犯错。

(5) 看链接网址,注意鼠标悬停。鼠标悬停在邮件所含链接的上方,观看邮件阅读程序下方显示的地址与声称的地址是否一致。

(6) 看内嵌附件,当心木马易容。恶意电子邮件会采取通过超长文件名隐藏附件真实类型,起迷惑性附件名称诱使用户下载带毒邮件。一定要用虚拟机中打开,在下载邮件附件之前,应仔细检查附件文件名和格式,不要因好奇而下载可疑附件。打开前用杀毒软件进行扫描。常见的带毒邮件附件为:.zip,.rar等压缩文件格式。.doc,.pdf等文档中也可带有恶意代码。

(7) 有网站可以把短网址还原还可以把压缩的网址还原成原来的网址,把真实的网址无所遁形,一般短网址组成:短网址网站的域名+“/”+短码。

1.3 处置阶段

(1) 如果溯源到ip,上报指挥小组,上报封禁。

(2) 拒绝外部短网址的请求。

(3) 对网站的安全性进行分级并且初始安全评估报告。

第二章 发现隐蔽攻击隧道

2.1 监测阶段

(1)当出现有未知软件告警时,判断软件是否为常用隧道软件,如为搭建隧道软件,立即清除。

(2)记录软件名称,软件路径,文件传输文件交研判组。

2.2 研判阶段

(1)借助网络安全分析设备对用户和(或)系统行为进 行分析。

(2)分析未知软件和传输软件。

(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。

2.3 处置阶段

(1)如确认为隧道进行攻击,应该立即上报指挥小组,协助指挥小组分析攻击事件

(2)对有关出站或入站DNS查询的长度、类型或大小等建立规则。

(3)定期采用主流杀毒软件进行查杀,对出现的未知软件及时进行清除。

(4)处于生产区的服务器主机在必要时禁止ICMP协议。

第三章 发现重要敏感数据窃取

3.1 监测阶段

(1)收集窃取行为信息:敏感文件读取行为例如(linux系统下:passwd文件、web中间件配置文件等)、数据库敏感信息窃取等行为,提取在排查范围内的服务器、终端、应用系统等的告警日志,并进行分析,发现可能窃取数据的攻击行为。重点排查和分析SQL注入、Webshell等 可获取数据的攻击日志。

(2)整理采集到的数据窃取信息,向研判小组递交监测单。

3.2 研判阶段

(1)研判失窃信息的敏感等级。

(2)高敏感等级应立即向处置小组进行上报,再进行后续研判以及信息收集工作。

(3)组织技术研判组对失窃数据内容及范围进行研判,根据研判结果向相关业务主管部门进行通报。

(4)相关业务主管部门在收到通报后,应在第一时间根据技术研判组研判建议采取相关处置措施,防止事件升级。

3.3 处置阶段

(1)如果是SQL注入进行数据窃取,应及时分析和查找注入点,配合业务方进行临时系统加固,等待指挥小组安排后续上机处置。

(2)提高检测能力,及时更新诸如IDS和其他入侵报告工具等的检测策略,以保证将来对类似的入侵进行检测。

第四章 系统被控制、植入木马等

4.1 监测阶段

(1)当发现系统远程执行命令或者木马相关告警时,应立即判断攻击IP是否为公网外部IP,如为公网外部IP,则应立即向IP封禁组递交IP封禁列表。

(2)记录攻击IP以及受攻击IP,记录攻击命令或者木马类型,向研判组递交监测单。

4.2 研判阶段

(1)根据告警以及日志分析攻击结果。

(2)分析受到影响业务以及主机。

(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。

4.3 处置阶段

(1)务必首先上报指挥小组。

(2)协调业务方进行安全整改以及安全加固。

(3)等待指挥小组安排上机排查。

(4)上机排查务必保留攻击证据,并消除木马以及远控客户端。

第五章 邮件系统被盯控

5.1 监测阶段

(1) 可利用阅读记录去识别,通常黑客盗取邮箱时,会过滤所有你的邮箱,只留下他们感兴趣的信息。

(2) 登录管理后台查看。

(3) 发现已读变成未读。

5.2 研判阶段

(1) 往常用邮箱发送检测文件,若邮箱有多个,请使用群发单显功能。

(2) 邮箱标题要设置吸引人的关键词,如新的银行卡密码,公司通信录,员工信息表等。

(3) 插入:发信时勾选邮箱追踪功能,邮件被阅读触发追踪记录,包含对方ip,设备,阅读时间等信息。

(4) 保持关注该邮件的追踪记录。

5.3 处置阶段

(1) 修改密码,不可为常用密码。

(2) 邮箱有专用的密码或授权码,开启。

(3) 建议登录页面的短信验证开启,收信使用授权码验证。

(4) 把ip,设备拉黑。

第六章 近源攻击突破网络防线

6.1 监测阶段

(1)收集物理设备或智能终端如:网线接口、USB接口、智能设备等业务系统信息。

(2)对无线网络端进行检测,对无线节点混乱、无线网络区域划分不当、无线网络设置为弱口令登录、无线网络密码口令复用、无线设备过于老旧等问题进行排查。

6.2 研判阶段

(1)根据告警以及日志分析攻击结果。

(2)若存在无线网络密码爆破成功、异常IP连接成功等行为,则应立即向处置小组上报,再进行后续攻击证据收集。

(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。

6.3 处置阶段

(1)采取零信任处置措施。

(2)若为无线网络端攻击:则加固无线网络设备,若为弱口令,改变全部可能受到攻击的系统的口令并定期修改;增加网络区域隔离,一般用户无法直连核心网络,定期进行设备升级。

(3)若为终端设备攻击:则加强人员管理,防止终端设备物理接口攻击,应向指挥小组上报,配合业务方进行系统加固或者接口升级。

第七章 供应链打击

7.1 监测阶段

(1)如发现安全设备告警时,设备针对终端/主机的进程创建、文件写入、模块加载、注册表值写入等异常行为进行监控对大多数攻击行为的捕获。

(2)如发现流量侧监控告警,对告警流量包进行记录。

7.2 研判阶段

(1)对攻击行为进行分析,结合日志,计划任务,进程服务等应急操作对攻击行为确认。

(2)对后门文件,样本文件分析,判断是否启动恶意程序。

(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。

7.3 处置阶段

(1) 对攻击入口进行封堵、攻击传播链阻断以及恶意IOC的封禁。

(2)根据缓解步骤中提取出的各种IOC信息,全面关联告警查询,在各监控平台内做二次review,结合事前准备阶段的SBOM软件物料清单,全网全终端排查受影响范围。

(3)恢复系统网络连接、恢复系统和应用服务、恢复账号等用户数据,对系统进行全面安全加固。

第八章 通过下属单位、跨网、迂回攻击

8.1 监测阶段

(1)如通过下属单位进行攻击,应立对攻击详情进行收集并向研判小组递交监测单。

(2)如发现跨网、迂回攻击,则应立即向IP封禁小组递交IP封禁列表,对攻击事件进行初判是否为有效攻击,如是有效攻击则向研判小组递交监测单。

8.2 研判阶段

(1)如发现是通过下属单位进行攻击,则应立即向处置小组上报,再进行后续攻击证据收集。

(2)如跨网、迂回攻击,则根据攻击告警以及工具日志进行攻击结果分析,如果攻击成功,则根据日志进行证据采集以及分析攻击广度以及攻击深度,并向处置组递交研判单。

8.3 处置阶段

(1)如是通过下属单位进行的攻击,应立即上报指挥小组,并配合指挥小组进行上机排查攻击事件。

(2)对受影响的系统进行临时安全加固,并且配合业务方进行业务调整以及安全升级。

(3)对于跨网的以及迂回攻击的攻击IP进行封禁。

第九章 内网敏感信息被搜集利用

9.1 监测阶段

(1)收集数据泄露的帐号或者接口信息。

(2)收集数据泄露的业务系统信息。

(3)整理采集到的数据泄露信息,向研判小组递交监测单。

9.2 研判阶段

(1)研判泄漏信息的敏感等级。

(2)高敏感等级应立即向处置小组进行上报,再进行后续研判以及信息收集工作。

(3)如信息泄露点为个人账号导致,则应收集该账号信息,以及分析账号是否应被禁用或者修改密码等,并向处置小组递交研判单。

(4)如泄露点为业务系统或者业务接口,应验证接口的数据权限以及验证接口泄露数据的范围,分析泄露产生的原因编写修复意见,并向处置小组递交研判单。

9.3 处置阶段

(1)如泄漏点为个人账号,则应立即采用禁用策略、修改密码或者权限降级。

(2)如泄露点为信息系统或者系统接口,应向指挥小组上报,配合业务方进行系统加固或者接口升级。

第十章 漏洞利用、口令盗用、权限提升等高危操作

10.1 监测阶段

(1)收集漏洞类型、盗用的口令、以及权限提升命令或者权限提升操作。

(2)对攻击结果进行初次分析,如果分析攻击成功则向研判小组递交研判单。

10.2 研判阶段

(1)研判漏洞利用结果是否成功,如果漏洞利用成功则应立上报处置小组再进行后续研判工作。应研判漏洞影响的范围以及受影响的主机,根据漏洞类型以及影响范围编写修复建议向处置组递交研判单。

(2)如是口令盗用攻击,则应使用该口令进行横向以及纵向分析,分析是否还有其他业务系统受影响以及其他模块受影响,研判口令影响范围,根据口令以及影响范围编写研判单向处置小组递交。

(3)如存在权限提升攻击,应研判是否提权成功,以及提权后的后续操作,如果权限提升成功,则应根据帐号信息以及权限信息编写研判单递交给处置小组。

10.3 处置阶段

(1)如果是漏洞利用,则应立即向指挥小组上报,并进行临时系统加固,等待指挥小组安排后续上机处置。

(2)配合指挥小组以及业务方对系统进行安全加固以及安全升级。

(3)如盗用口令攻击,则应对被盗用口令进行禁用,溯源口令供给链路以及生成口令的帐号。

(4)权限提升攻击应立即对帐号进行权限限制操作,如果已经发生权限蔓延,则需要配合业务方对蔓延的帐号进行权限恢复。文章来源地址https://www.toymoban.com/news/detail-432064.html

到了这里,关于网络安全实战攻防演练应急处置预案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全应急响应预案培训与演练目的

    1、增强网络安全意识 网络安全事故隐患往往“生成”于无形。例如,漏洞或黑客攻 击发生之时,受害方企事业单位可能处于非常危险的境地而无所察 觉,一些内部部门人员的网络安全意识也容易懈怠。但不论是内部 员工的疏忽还是管理上的大意,都可能给身在“暗处”的

    2024年02月11日
    浏览(49)
  • 网络安全攻防演练项目介绍

    有很多朋友问我写的攻防演练是什么? 本文给予回答 网络安全攻防演练是公安部组织的面向税务、电力、电信、银行、铁路、财政、广电、水利、教育、互联网、检察院、法院、石油、交通等行业的政府单位/公司,开展的实战攻防演练,也简称为护网。 攻防演练主要目标是

    2024年02月09日
    浏览(45)
  • 网络安全学习笔记——蓝队实战攻防

    目录 蓝队及发展趋势         基本概念 ​​​        发展趋势 攻击阶段         准备阶段         情报搜集         建立据点         横向移动 攻击战术         利用弱口令及通用口令         利用互联网边界渗透内网         利用通用产

    2024年02月10日
    浏览(100)
  • 红蓝攻防构建实战化网络安全防御体系

    什么是红队 红队,是指网络实战攻防演练中的防守一方。 红队一般是以参演单位现有的网络安全防护体系为基础,在实战 攻防演练期间组建的防守队伍。红队的主要工作包括演练前安全检 查、整改与加固,演练期间网络安全监测、预警、分析、验证、处 置,演练后期复盘

    2023年04月08日
    浏览(55)
  • 网络安全 | 揭秘网络安全攻防实战:探索互联网发展史,守护数字世界的安全堡垒

    大家好,我是沐尘而生。 互联网发展史:数字世界的壮阔画卷 从早期的ARPANET到今天的万物互联,互联网经历了漫长的发展过程。然而,随着技术的进步,网络安全问题也随之而来。我们不仅要探索互联网的壮阔历程,更要理解其中的安全挑战。 网络攻防实战:保卫数字领域

    2024年02月13日
    浏览(66)
  • 网络安全攻防之破解小程序积分制度(Fiddler抓包教程实战)【文末含彩蛋】

    今天碰到一个微信公众号的的某个积分制功能:简单介绍就是你阅读文章可以刷积分,然后也可以使用积分,正好前段时间接触到了Fiddler(抓包神奇),想利用一下,把请求给修改了,从而增加自己的累计积分。 这就是那个程序的界面,点击【我要阅读】,阅读文章后就可

    2023年04月08日
    浏览(53)
  • 网络安全与攻防-常见网络安全攻防

    目录 攻击手段防御策略 阻断服务攻击(DoS) 地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing) 跨站脚本攻击(XSS) SQL注入 跨站请求伪造(csrf)  HTTPS中间人攻击 小结 阻断服务攻击(DoS) 阻断服务攻击(Denial-of service attack),想办法将目标网络资源用尽(自己的服

    2023年04月25日
    浏览(68)
  • 【安全学习】-网络安全靶场实训演练系统建设方案

    第1章需求分析 1.1建设需求 1.2建设目标与内容 第2章系统整体建设 2.1设计思想 2.2建设目标 2.3架构设计 2.4系统设计 2.4.1基础平台系统设计 2.4.2实训分系统设计 2.4.3考核分系统设计 2.4.4拓扑设计分系统设计 2.4.5模拟仿真系统设计 2.4.5.1网络仿真 2.4.5.2安全仿真 2.4.5.3系统监控 2.

    2024年02月03日
    浏览(45)
  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(53)
  • 网络安全-应急响应

    ​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,

    2023年04月22日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包