背景
網(wǎng)絡(luò)安全事件與傳統(tǒng)的公共安全事件相比,看似相同,又大不同,網(wǎng)絡(luò)安全事件具有隱蔽性強、擴散快、溯源反制難的特點。
因此,網(wǎng)絡(luò)安全事件的應(yīng)急處置,一方面要以快制快,發(fā)現(xiàn)快、研判快、響應(yīng)快、處置快,最大限度減少和避免損失;另一方面要斬斷根源,不僅要處理漏洞問題,還要挖掘出事件發(fā)生的根本原因。
產(chǎn)品介紹
博智工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置工具箱基于博智多年來在工業(yè)領(lǐng)域多個項目的實施經(jīng)驗,結(jié)合工控資產(chǎn)發(fā)現(xiàn)、工控脆弱性識別、工控協(xié)議解析檢測引擎等方面的專業(yè)能力,精心打造的一款集專業(yè)性及易用性于一體的網(wǎng)絡(luò)事件應(yīng)急響應(yīng)工具箱。
博智工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置工具箱內(nèi)置工具集,由真實應(yīng)急響應(yīng)環(huán)境所用到的工具進行總結(jié)打包而來,收集100多款實用工具,包括安全加固、電子取證、流量分析、日志分析、進程分析、病毒查殺和勒索界面等。
處置案例
本章節(jié)用真實案例介紹博智工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置工具箱的處置示例。
案例:
某客戶現(xiàn)場計算機感染病毒,出現(xiàn)不屬于自己創(chuàng)建的賬號,也出現(xiàn)莫名其妙的不是自己創(chuàng)建的文件。
處置示例:
首先登錄博智工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置工具箱WEB管理頁面,工具箱可根據(jù)癥狀特征進行自動分析得出診斷結(jié)果。
第一步:準(zhǔn)備階段
新建任務(wù)后,進入處置流程,系統(tǒng)會根據(jù)自動分析的診斷結(jié)果自動推薦使用永恒之藍漏洞處置模板。
在準(zhǔn)備階段,收集現(xiàn)場信息,對現(xiàn)場的情況進行判斷,可以根據(jù)現(xiàn)場的一些網(wǎng)絡(luò)拓撲進行網(wǎng)絡(luò)隔離,數(shù)據(jù)備份,證據(jù)備份等操作。
第二步:檢測階段
檢測階段使用日志查看工具查看最近的計算機操作日志,篩查是否有新賬號創(chuàng)建或者網(wǎng)絡(luò)爆破行為。
使用nmap掃描工具對于主機進行掃描,查看主機開放的高危端口情況,是否存在135,139, 445等端口開放。
使用漏洞掃描工具對目標(biāo)網(wǎng)絡(luò)進行漏洞檢測,發(fā)現(xiàn)存在永恒之藍漏洞的機器。
第三步:抑制階段
在抑制階段,關(guān)閉網(wǎng)絡(luò)連接。
開啟防火墻
第四步:根除階段
在根除階段,打開永恒之藍專殺工具,查殺永恒之藍病毒。
使用“惡意代碼輔助檢測系統(tǒng)”進行惡意代碼全盤查殺。
第五步:恢復(fù)階段
安裝補丁
最后使用“Windows加固腳本”對高危端口進行加固。
使用應(yīng)急工具箱web端(輔助檢測-漏洞掃描)對目標(biāo)主機執(zhí)行漏洞掃描。根據(jù)掃描任務(wù)詳情中漏洞列表,單擊漏洞名稱,查看漏洞詳情,通過解決方法及參考連接,及時修復(fù)系統(tǒng)存在的漏洞。
加固完成后,用kali進行模擬攻擊,已經(jīng)無法進行永恒之藍漏洞攻擊了,漏洞處置完成。
恢復(fù)備份數(shù)據(jù)
第六步:跟蹤階段
在跟蹤階段,回顧事件處理過程,對事件進行分析,提出網(wǎng)絡(luò)安全防護建議,減少事件再次發(fā)生的可能性。
網(wǎng)絡(luò)安全應(yīng)急處置工具箱融合豐富的應(yīng)急處置經(jīng)驗?zāi)0澹ㄟ^智能化的流程引導(dǎo),大幅提升了企業(yè)面對突發(fā)事件的應(yīng)急響應(yīng)能力,助力構(gòu)建安全、可靠的網(wǎng)絡(luò)環(huán)境。
結(jié)語
在未來,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和攻擊手段的不斷演變,我們還需要持續(xù)關(guān)注和研究攻擊的新趨勢和新特點,及時調(diào)整和完善防范措施,確保應(yīng)急處置的及時與可靠。
企業(yè)與組織需要加強網(wǎng)絡(luò)安全意識培訓(xùn)、完善安全防護體系、建立快速響應(yīng)機制。只有通過綜合實施、多管齊下,才能有效防范和應(yīng)對網(wǎng)絡(luò)攻擊帶來的風(fēng)險和挑戰(zhàn)。
