网络安全应急响应事件场景二

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全应急响应事件场景二相关的知识,希望对你有一定的参考价值。

文章目录

事件描述

某市公安局网监支队通过其部署的全市网站监测系统,发现该市 A 单位门户网站被黑客篡改,采用电话及邮件方式通知 B 安全公司进行应急处理。B 安全公司接到通知后,立即安排工作人员与A单位进行沟通。

人员角色如下。
A 单位网络安全负责人:张主任
B 安全公司项目经理:李经理,负责整个事件的处理及后续的项目跟进。
B 安全公司安全工程师:王工,负责排查后门及漏洞。

电话沟通

李经理:您好,请问是A单位张主任吗?

张主任:是的,你是哪位?
李经理::我是B 安全公司的项目负责人,我们接到市公安局通知,贵单位的网站被入侵了,让我们过去协助处理一下。
张主任::你能说说具体情况吗?
李经理:您打开门户网站就会看到网站页面显示已被黑客篡改了。
张主任:嗯,我已经确认了,我们应该怎么办呢?

李经理:张主任,我们通过网站监测平台已经对本次攻击事件进行了简单的溯源,hacker很可能是通过SQL注入漏洞对网站进行了攻击,同时上传了Webshell后门,具体情况还需要到现场确认一下。

张主任:好的,你们什么时间过来?
李经理:30分钟内到达。
张主任:好的,见面再详细沟通。
李经理:嗯,我们马上出发,请问贵单位的地址是北京路 101 号吗?
张主任:是的,你来了后可以直接上2楼,我的办公室在211。
李经理:好的,张主任再见。
张主任:再见。

现场沟通

李经理:张主任您好,我是 B 安全公司李经理,这位是我的同事王工,本次事件由我们两位来协助处理。

张主任:李经理、王工,你们好,非常感谢你们过来帮助我们处理这次事件。你能把这次事件的情况详细说明一下吗?

李经理:好的,今天我们接到市公安局网监支队的通知,贵单位的网站被篡改了。通过网站监测平台显示,网站存在 SQL 注入等漏洞。攻击者通过此类漏洞入侵了网站,并进一步控制了网站服务器。具体情况还需要登录服务器进行详细排查。

张主任:很好,那接下来怎么处理?需要我们怎么配合呢?
李经理:先要登录服务器进行排查,需要操作系统的用户名和密码,以及服务器的其他信息,如网站的存放路径、相关日志的存放路径等。同时,还希望张主任能帮我们填写授权书,在未授权的情况下,我们是不能直接操作服务器的。

张主任:好的,这些信息马上提供给你。请问这次处理有什么风险吗?
李经理:任何的操作都可能存在风险,但此次处理基本上不会存在大的风险。因为我们主要是进行一些排查工作,通过扫描服务器的恶意文件、查看服务器的进程、分析日志文件等操作进行溯源分析。如果我们要执行一些危险命令会跟您这边确认。过程中的所有操作都会保留记录,确保无风险。

张主任:嗯,可以,那抓紧时间处理吧。

技术排查

技术排查过程包括 Webshell 检测,排查操作系统关键内容,排查进程、网络连接及木马,分析操作系统日志,分析Web 日志、安全设备日志……溯源追踪。

工作汇报

李经理:张主任,本次事件已经处理完毕,下面我就本次事件做个简单的汇报。
张主任:好的。

李经理:经过日志分析,本次事件主要是由SQL注入漏洞和Struts2 命令执行漏洞引起的,攻击者通过漏洞上传了5个Webshell,并对网站多个页面进行了集改。目前对 Webshell 进行了清除,篡改的页面也都恢复了,但网站存在的漏洞还需要您这边来进步处理。

张主任:怎样修复你说的这些漏洞呢?
李经理:关于漏洞的修复建议,我们会写一个详细的报告来协助处理,既可以通代码层面修复,升级框架,也可以通过现有的安全设备来阻止攻击者的入侵。如果是代码级修复则需要网站开发商来一起参与,同时在安全设备上再配置阻断策略。

张主任:明白了,如果让开发商来修复,以后就不会再出现安全问题了吗?
李经理:也不一定,很多黑客手里都有0day漏洞,如Struts2框架,每隔一段时间就会爆出新的漏洞。
张主任:那以后应该怎么做才能让网络更安全?

李经理:网络安全不是一蹴而就的事情,建议分别从技术层面和管理层面两个方面入手。技术层面可以通过定期的安全检查、风险评估,发现当前网络中的安全隐患,同时配备一定数量的安全设备来加强网络的安全。管理层面可以制定相关的安全管理制度、工作流程及操作规范等,我们可以给出一份整体的安全解决方案。

张主任:好的,多谢。
李经理:我们还需要简单了解下贵单位当前的安全建设情况,如网络拓扑、管理制度、当前部署的安全设备,以及做过的安全服务。

张主任:嗯,我会安排人员跟你配合。
李经理:好的,再问一下,贵单位在网络安全方面的预算大约是多少?我们需要基于该预算出具一份详细的解决方案。

张主任:今年的预算还没有做,你可以先大体出具一个方案,再进行讨论。
李经理:好的,我回去后会立即整理,两天后发给您。
张主任:好的,感谢。

摘抄


生活是一段旅途,有人喜欢前行,有人习惯躺平,这都是我们自己的选择。
只是,我们之所以还还有得选择,是因为有一些人蹚平了崎岖,有一些人踩出了方向,
有一些人铺好了道路,有一些人……
当他们回头,看到了今天的那个你,至少会宽慰很多,至少一切都没有浪费。
就像我们喝到清凉的泉,别忘记它一定还有源。


以上是关于网络安全应急响应事件场景二的主要内容,如果未能解决你的问题,请参考以下文章

网络安全事件应急响应实战

2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)

网络安全应急响应事件一

应急响应介绍

[ 应急响应 ]服务器(电脑)受到攻击该如何处理?

关于对《国家网络安全事件应急预案》的几点认识