本書以網絡安全應急技術體系和實踐技能為主線,兼顧應急響應的流程、組織和先進理念,理論聯系實踐,從應急響應的技術基礎、安全事件處置流程涉及的技術基礎到系統和網絡級應急實戰,循序漸進,使讀者能夠全方面了解應急響應技術體系和發展,理解安全事件的分類:成因、現象和處置理念,掌握常見安全事件響應和處置的方法,具備網絡安全應急響應工作技能。
本書以網絡安全應急響應技術的演變為切入點,引入網絡安全響應基礎知識、流程與方法,結合應急響應技術實戰,對網絡安全應急響應知識體系進行了整體介紹。
杭州安恒信息技術股份有限公司多年的應急響應工作經驗也凝練成為本書的重要組成部分。
序一
隨著網絡信息時代的來臨,新一輪科技革命和產業變革加速推進,人工智能、大數據、物聯網等新技術、新應用、新業態方興未艾。
伴隨著網絡經濟和信息技術的快速發展,互聯網正加速步入“萬物互聯”的新時代,而網絡作為信息收集、傳輸、存儲和應用的載體,其“空間”特性也越來越明顯。現如今,網絡空間已成為人類活動的第五空間,涵蓋了軟硬件資源、數據和虛擬而又真實的用戶角色,以及三者之間的交互活動。安全伴隨著發展,在網絡信息化的時代背景下,我國的網絡空間安全在硬件、系統、數據、信息等多個層面均面臨著嚴峻的挑戰,保障我國網絡空間的安全已成為提升國家網絡空間核心競爭力的重中之重,更是維護國家安全的戰略性任務。
《中華人民共和國網絡安全法》對網絡安全的監測預警與應急處置機制做了明確規定。面對安全問題復雜性、隱蔽性與日俱增的網絡空間,組織通過建立健全網絡安全應急體系及時預防和響應突發網絡安全事件、降低網絡風險已成為保障組織正常運行的重要途徑。歸根結底,網絡安全保障工作的順利開展最終要由網絡安全專業人員來落實,建立一支高素質的網絡安全應急響應和處置人才隊伍已成為維護網絡安全的核心需求。
為切實做好網絡安全保障和應急響應工作,培養具備專業知識的人才隊伍,作為我國專業的網絡安全認證和培訓機構,中國網絡安全審查技術與認證中心(CCRC) 以保障國家網絡與信息安全為己任,面向IT 從業人員、在校學生,特別是與網絡與信息安全密切相關的管理人員和專業技術人員,推出了網絡安全應急響應工程師培訓認證。為確保網絡安全人才專業素質,提升網絡安全應急響應和事件處置能力,編寫高質量的教材尤為重要。為此,中國網絡安全審查技術與認證中心組織國內網絡安全領域的專家,依據國家有關政策和國內外相關標準,編寫了《網絡安全應急響應》一書。
本書以網絡安全應急響應技術的演變為切入點,引入網絡安全響應基礎知識、流程與方法,結合應急響應技術實戰,對網絡安全應急響應知識體系進行了整體介紹。杭州安恒信息技術股份有限公司多年的應急響應工作經驗也凝練成為本書的重要組成部分。
本書可以作為網絡安全應急響應工程師考試的指導用書,也可供所有從事網絡安全相關工作的技術人員和管理人員、以及期望了解相關知識的人員參考。
是為序。
魏昊
中國網絡安全審查技術與認證中心
序二
網絡安全已經成為國家安全戰略的重要組成部分,面對經濟全球化和信息化發展,互聯網已成為社會運行的信息基礎設施,網絡空間的安全運行對各類社會經濟活動起到重要的支撐作用。網絡空間本身的復雜性和動態性導致網絡安全是一個相對過程,沒有百分之百的絕對安全,當網絡安全事件發生時,完備高效的應急響應機制、事件處置流程和技術能力,是降低安全事件影響,減少業務損失的有效保障。
杭州安恒信息技術股份有限公司作為國家級網絡安全應急服務支撐單位,曾先后為北京奧運會、國慶60 周年慶典、G20 杭州峰會等國家及國際重要活動提供核心網絡安全保障,創造了重要活動網絡安全保障網絡安全零事故的佳績,多年來,歷練出一套獨樹一幟且行之有效的網絡安全保障戰略和戰術。安恒信息作為全球網絡安全創新500 強企業,在為各類政府和企事業單位提供網絡安全應急響應服務過程中,積累了大量的安全事件處置經驗,得到各類客戶的高度認可。
在網絡安全保障工作體系中,管理是關鍵,技術是基礎,人員是核心,組建一支素質過硬的安全服務團隊是保證服務質量,為用戶解決網絡安全后顧之憂的首要前提, 而網絡安全應急響應和事件處置能力則是網絡安全服務人員的重要能力素質之一。
網絡安全應急響應工程師是杭州安恒信息技術股份有限公司配合中國網絡安全審查技術與認證中心開發的工程師系列認證的第一個認證項目,這個項目旨在將網絡安全應急響應理念、理論、技術、實踐和演練融合,是網絡安全應急響應工程師培訓體系和人才評價標準。本書是網絡安全應急響應工程師認證的配套教材,經中國網絡安全審查技術與認證中心授權,由中國網絡安全審查技術與認證中心主編,由杭州安恒信息技術股份有限公司的多位網絡安全專家合作編寫。苗春雨博士為安恒網絡空間安全學院院長,在產教融合、協同育人模式設計和軟件工程方面有著長期工作經驗, 曾擔任浙江省網絡空間安全一流學科/ 特色專業執行負責人,負責《應急響應工程師認證》課程體系和《滲透測試》《安全取證》《網絡空間安全導論》《軟件安全》等課程開
發;鐘曉駿則在滲透測試、應急響應、項目管理、安全培訓等領域有著豐富的工作經驗,曾參與國家級網絡安保工作和安恒浙江區域安全服務工作。
一直在一線工作的網絡安全專家們將他們多年應急響應工作經驗凝練成本書,所以,這本書既是網絡安全應急響應工程師認證的配套教材,同時也適合各類網絡安全保障技術人員學習,或作為工具書查閱。
我相信,這本書的出版,對于培養網絡安全工程師來說,非常及時,可謂雪中送炭。同時,我也期待著我們的安全專家團隊的技術人才、網絡安全專家,在未來合作開發和編寫出更多高質量的網絡安全工程師認證教材,能夠為國家網絡安全人才培養貢獻更大的力量。安恒信息愿意為構建國家網絡安全人才認證體系助力,這是安恒的驕傲,國家網絡空間安全戰略的需要,也是網絡安全從業人員的期待。
從長遠來看,人工智能驅動的,以數據分析為中心的安全事件發現、溯源和自動化應急響應將成為網絡安全保障和應急響應的核心能力,我們將不斷更新本書的內容,力求技術體系、實踐內容與時俱進,為國家完善網絡安全應急響應體系的戰略任務而努力。
范淵
杭州安恒信息技術股份有限公司
前言
近年來,針對政府、企業等大型組織的網絡攻擊事件頻發,利用系統漏洞傳播的各種勒索軟件及變種多達上百種,網絡安全形勢日益嚴峻。物聯網、云計算和“互聯網+”等新技術、新場景不斷發展的同時,也衍生出新的安全挑戰,而網絡安全的后伴生性和安全攻防的非對稱性決定了沒有絕對的網絡安全。網絡安全應急響應成為構筑網絡安全保障體系的重要環節,這一環節的有效性成為降低安全事件的影響和減少業務損失的關鍵因素。
2017 年,國家互聯網信息辦公室(簡稱國家網信辦)下發《國家網絡安全事件應急預案》,對健全國家網絡安全事件應急工作機制,提高應對網絡安全事件能力提出了明確的要求,各地區和行業積極響應,組織相關人員進行學習和發布了區域級和行業級的網絡安全事件應急預案,網絡安全應急響應工作得到了前所未有的高度重視。網絡安全應急響應是管理和技術有機融合的過程,各類組織機構均建立了相對完善的網絡安全應急響應預案和相關的管理機制,但技術人員的事件處置能力提升卻不是一朝一夕能夠解決的問題。
市場上的網絡安全應急響應技術體系類圖書較少,且往往無法對安全事件進行環境復現,無法滿足網絡安全技術人員的事件處置能力訓練的要求。中國網絡安全審查技術與認證中心推出網絡安全應急響應工程師認證,通過大量的實踐教學和考核,積極構建網絡安全應急響應技術人員的培訓和認證體系。杭州安恒信息技術股份有限公司擁有為各類國家級和國際重大活動提供核心網絡安全保障服務的經驗,擁有為全國超過800 家政府機構、高校、金融機構提供網絡安全應急響應服務的經驗。結合我們的安全技術研究及實踐,我們決定編寫本書,一方面將本書作為網絡安全應急響應工程師認證的配套教材,另一方面將工作中積累和凝練的實踐經驗與研究成果分享給廣大需要的讀者。
本書內容共分5 章,其中第1 章為網絡安全應急響應技術概述,主要介紹網絡安全應急響應技術體系和演變,幫助讀者了解網絡安全應急響應技術框架,形成整體認知;第2 章是網絡安全應急響應技術基礎知識,介紹網絡安全事件的分類、原理、
現象和危害,為后續內容的學習打好理論基礎;第3 章是網絡安全應急技術流程與方法,以時間維度對應急響應各流程所需掌握的技術進行介紹,幫助讀者逐步構建安全事件處置的知識體系;第4 章的應急演練介紹了各類應急演練的組織和開展流程,
為通過演練提供組織應急實戰能力提供指導;第5 章是網絡安全事件應急處置實戰, 針對幾類常見網絡安全事件的應急處置方法進行詳細講解,幫助讀者將前序學習內容應用于實戰環節,切實提高其安全事件處置技術能力。附錄A 和附錄B 分別介紹了Windows 和Linux 的系統級網絡安全應急處置的分析排查指南,方便技術人員查閱以提高工作效率。
本書以理論聯系實踐為指導原則,將網絡安全應急響應和事件處置理念、技術與實戰案例有機結合,除作為網絡安全應急響應工程師的認證培訓教材之外,也可作為高校的本科生教材,網絡安全運維人員的應急響應技術讀本和工具書。
在此,所有參與本書編寫和出版等工作的人員表示感謝。
由于作者水平有限,不妥之處在所難免,望廣大網絡安全專家、讀者朋友批評指正,共同為我國網絡安全技術人才培養和人才認證體系的建設努力。
本書編委會
主要作者:曹雅斌,畢業于清華大學機械工程系,長期從事認證認可和質量安全領域的政策法規、制度體系的研究制定和組織實施工作,現就職于中國網絡安全審查技術與認證中心,負責網絡信息安全人員培訓與認證工作。苗春雨,博士,碩士生導師,杭州安恒信息技術股份有限公司副總裁、網絡空間安全學院院長,長期從事網絡安全技術研究和人才培養工作,具備CISI注冊信息安全講師、CISP注冊信息安全專家和CCSSP注冊云安全專家等資質,曾任浙江某高校網絡空間安全**學科和特色專業執行負責人,近5年發表學術論文和教學研究論文20余篇,專著1部,多次獲得浙江省計算機教育及應用學會年會優秀論文獎,參與多個網絡安全人才聯盟或產業聯盟工作。
第1章網絡安全應急響應技術概念
1.1 網絡安全應急響應技術概述 …………………………………………… 2
1.1.1 網絡安全應急響應含義… ………………………………………………………………… 2
1.1.2 網絡安全應急響應法律法規與標準… …………………………………………………… 4
1.2 網絡安全應急響應技術演變 …………………………………………… 6
1.2.1 網絡安全應急響應技術的發展趨勢… …………………………………………………… 7
1.3 網絡安全應急響應技術框架 …………………………………………… 12
1.3.1 應急響應預案… …………………………………………………………………………… 15
1.3.2 組織架構… ………………………………………………………………………………… 15
1.3.3 應急工作流程… …………………………………………………………………………… 19
1.3.4 應急演練規劃… …………………………………………………………………………… 25
1.4 網絡安全應急響應新發展 ……………………………………………… 26
1.4.1 云計算的網絡安全應急響應… …………………………………………………………… 26
1.4.2 基于大數據平臺的應急支撐… …………………………………………………………… 27
第2章 網絡安全應急響應技術基礎知識
2.1 應急響應工作的起點:風險評估 ……………………………………… 32
2.1.1 風險評估相關概念… ……………………………………………………………………… 32
2.1.2 風險評估流程… …………………………………………………………………………… 33
2.1.3 風險評估與應急響應的關系… …………………………………………………………… 34
2.2 安全事件分級分類 ……………………………………………………… 34
2.2.1 網絡安全應急響應技術應急事件類型… ………………………………………………… 34
2.2.2 網絡安全事件等級… ……………………………………………………………………… 36
2.2.3 網絡攻擊… ………………………………………………………………………………… 37
2.2.4 系統入侵… ………………………………………………………………………………… 46
2.2.5 信息破壞… ………………………………………………………………………………… 50
2.2.6 安全隱患… ………………………………………………………………………………… 56
2.2.7 其他事件… ………………………………………………………………………………… 61
第3章 網絡安全應急響應技術流程與方法
3.1 應急響應準備階段 ……………………………………………………… 66
3.1.1 應急響應預案… …………………………………………………………………………… 66
3.1.2 應急響應前的準備工作… ………………………………………………………………… 67
3.2 抑制階段 ………………………………………………………………… 67
3.3 保護階段 ………………………………………………………………… 68
3.4 事件檢測階段 …………………………………………………………… 72
3.4.1 數據分析… ………………………………………………………………………………… 72
3.4.2 確定攻擊時間… …………………………………………………………………………… 97
3.4.3 查找攻擊線索… …………………………………………………………………………… 97
3.4.4 梳理攻擊過程… …………………………………………………………………………… 97
3.4.5 定位攻擊者… ……………………………………………………………………………… 97
3.5 取證階段 ………………………………………………………………… 98
3.6 根除階段 ……………………………………………………………… 103
3.7 恢復階段 ……………………………………………………………… 103
3.8 總結報告 ……………………………………………………………… 104
第4章 應急演練
4.1 應急演練總則 ………………………………………………………… 106
4.1.1 應急演練定義… ………………………………………………………………………… 106
4.1.2 應急演練目的… ………………………………………………………………………… 106
4.1.3 應急演練原則… ………………………………………………………………………… 107
4.2 應急演練分類及方法 ………………………………………………… 107
4.2.1 應急演練分類… ………………………………………………………………………… 107
4.2.2 應急演練方法… ………………………………………………………………………… 109
4.2.3 按目的與作用劃分… …………………………………………………………………… 110
4.2.4 按組織范圍劃分… ……………………………………………………………………… 110
4.3 應急演練組織機構 …………………………………………………… 111
4.3.1 應急演練領導小組… ………………………………………………………………………111
4.3.2 應急演練管理小組… ………………………………………………………………………111
4.3.3 應急演練技術小組… ………………………………………………………………………111
4.3.4 應急演練評估小組… …………………………………………………………………… 112
4.3.5 應急響應實施組… ……………………………………………………………………… 112
4.4 應急演練流程 ………………………………………………………… 112
4.5 應急演練規劃 ………………………………………………………… 113
4.5.1 應急演練規劃定義… …………………………………………………………………… 113
4.6 應急演練實施 ………………………………………………………… 116
4.7 應急演練總結 ………………………………………………………… 117
第5章 網絡安全事件應急處置實戰
5.1 常見Web 攻擊應急處置實戰 ………………………………………… 120
5.1.1 主流Web 攻擊目的及現象……………………………………………………………… 120
5.1.2 常見Web 攻擊入侵方式………………………………………………………………… 124
5.1.3 常見Web 后門…………………………………………………………………………… 125
5.1.4 Web 入侵分析檢測方法………………………………………………………………… 127
5.1.5 Web 攻擊實驗與事件入侵案例分析…………………………………………………… 131
5.2 信息泄露類攻擊應急處置實戰 ……………………………………… 140
5.2.1 常見的信息泄露事件… ………………………………………………………………… 140
5.2.2 數據庫拖庫… …………………………………………………………………………… 141
5.2.3 流量異常分析… ………………………………………………………………………… 142
5.2.4 流量異常分析實驗… …………………………………………………………………… 143
5.3 主機類攻擊應急處置實戰 …………………………………………… 149
5.3.1 系統入侵的目的及現象… ……………………………………………………………… 149
5.3.2 常見系統漏洞… ………………………………………………………………………… 149
5.3.3 檢測及分析… …………………………………………………………………………… 150
5.3.4 主機入侵處置實驗… …………………………………………………………………… 170
5.4 有害事件應急處置實戰 ……………………………………………… 174
5.4.1 DDoS 僵尸網絡事件(Windows/Linux 版本)… …………………………………… 174
5.4.2 勒索病毒加密事件(Windows 為主)… ……………………………………………… 175
5.4.3 蠕蟲病毒感染事件(Windows 為主)… ……………………………………………… 176
5.4.4 供應鏈木馬攻擊事件(Windows 為主)… …………………………………………… 176
5.4.5 應急響應任務解析(Windows 沙箱技術)… ………………………………………… 177
5.4.6 有害事件處置實踐指南… ……………………………………………………………… 181
附錄 Windows/Linux分析排查
附錄A Windows 分析排查 ………………………………………………… 186
A.1 文件分析… ………………………………………………………………………………… 186
A.2 進程命令…………………………………………………………………………………… 187
A.3 系統信息…………………………………………………………………………………… 188
A.4 后門排查…………………………………………………………………………………… 188
A.5 Webshell排查… ………………………………………………………………………… 190
A.6 日志分析…………………………………………………………………………………… 191
附錄B Linux 分析排查 …………………………………………………… 195
B.1 文件分析… ………………………………………………………………………………… 195
B.2 進程命令…………………………………………………………………………………… 196
B.3 系統信息…………………………………………………………………………………… 198
B.4 后門排查…………………………………………………………………………………… 200
B.5 日志分析…………………………………………………………………………………… 203
參考文獻……………………………………………………………………… 207
新書資訊