网站被攻击后 如何开启响应机制来解决?

网站安全应急响应是安全从业人员最常见的工作之一(网站系统被黑后紧急救援,PDR模型-保护、检测、响应三大模块之一)。很多人可能认为应急响应就是发现服务器被黑后登录检查后门的过程。事实上,应急响应的完整定义是:组织为应对突发/重大信息安全事件做准备,以及事件发生后采取的措施。一般来说,应急反应不仅要包括防止被攻击,还要包括被攻击前的一系列准备。如果工作中忽略了准备部分,可能会出现以下情况:


没有基本的入侵检测能力,平时无法检测到入侵事件,更谈不上紧急反应。很有可能入侵已经成功很长时间了,但浑然不知。攻击者可能已经达到目标后悄然离开;可以检测到入侵事件,但是没有专门的应急响应团队,资产管理系统也不完善。安全工程师花了很长时间才找到相应的负责人。因为进入响应时间太晚,攻击者可能会在达到目标并擦去痕迹后全身而退,或者进一步拿下其他相关系统;平时没有应急响应技能和入侵检测工具包的积累。收到事件的工程师登录服务器绞尽脑汁,敲了几行命令,最后得出调查安全结论给部门Leader和业务部门,但实际情况是真的被入侵植入后门。


目前,各大制造商已经建立了相应的安全应急响应中心(SRC),以接收外部白帽提交的漏洞和威胁信息。虽然它们被称为应急响应中心,但这里提交的漏洞和信息不需要每次都启动应急响应,需要根据漏洞的类型和危害程度来判断。“安全紧急响应中心”是对自己安全团队所做工作的补充。如果SRC发现的漏洞与入侵事件的比例很高,安全团队应该反思为什么安全工作只能治标不治本,经常被动灭火。

指导原则和方法论。应急响应是一项紧急而重要的工作,对工程师的技术和意识有一定的要求。比如很多安全工程师收到业务系统被黑的情报后,可能会联系业务负责人去找网站服务器账号,然后登录服务器检查渗透的痕迹和后门。这段时间很宝贵,反应太慢可能会导致一些可以快速平息的安全小事件发酵,造成重大损失和安全事故。


对于应急响应,首先要了解应急响应的指导原则和方法论。如果只关注技术,可能会本末倒置。由于信息安全事件的类型和严重性不同,应急响应的处理方法也不同。例如,DDOS、业务系统入侵、钓鱼邮件的应急响应方式和过程肯定不同。业界广泛接受的应急响应模型和方法论包括PDCERF模型和ITIL中的事件管理和问题管理模块。其次,要求应急人员具有较高的入侵检测能力。否则,在检查入侵系统时,检查半天什么也找不到,最后得出的结论是安全的。作者在第一份工作中,部门领导要求在进行代码审计、应急响应等依赖人员技术和经验的工作时,采用双人Check机制,最后总结比较结果,防止遗漏。入侵检查需要检查的项目很多,最好整理相应的自动检查工具自动报告。这不仅能提高工作效率,还能削弱对应急响应者技术水平的依赖。


PDCERF模型。准备阶段。在条件允许的情况下,自上而下达成应急响应共识,建立应急响应流程和应急响应小组,应急小组全面负责应急安全事件的处理和资源协调。除技术负责人外,应急小组成员还应有公共关系负责人,以便在必要时根据安全团队的建议进行公共关系。对无条件建立应急响应程序的安全部门而言,最基本的准备工作如下:至少要有入侵检测能力(入侵检测系统或SRC接收的高风险漏洞或情报等。)和具备相应技能的应急响应人员。),否则登录时找不到任何东西,甚至给出错误的结论。最好准备一套有效的入侵检测工具;维护各业务系统的资产列表和应急联系人列表,否则事故发生后,安全工程师找不到相应的负责人配合处理,错过最佳处理时机。

分享: