• <tr id='kjhkfr'><strong id='kjhkfr'></strong><small id='kjhkfr'></small><button id='kjhkfr'></button><li id='kjhkfr'><noscript id='kjhkfr'><big id='kjhkfr'></big><dt id='kjhkfr'></dt></noscript></li></tr><ol id='kjhkfr'><option id='kjhkfr'><table id='kjhkfr'><blockquote id='kjhkfr'><tbody id='kjhkfr'></tbody></blockquote></table></option></ol><u id='kjhkfr'></u><kbd id='kjhkfr'><kbd id='kjhkfr'></kbd></kbd>

    <code id='kjhkfr'><strong id='kjhkfr'></strong></code>

    <fieldset id='kjhkfr'></fieldset>
          <span id='kjhkfr'></span>

              <ins id='kjhkfr'></ins>
              <acronym id='kjhkfr'><em id='kjhkfr'></em><td id='kjhkfr'><div id='kjhkfr'></div></td></acronym><address id='kjhkfr'><big id='kjhkfr'><big id='kjhkfr'></big><legend id='kjhkfr'></legend></big></address>

              <i id='kjhkfr'><div id='kjhkfr'><ins id='kjhkfr'></ins></div></i>
              <i id='kjhkfr'></i>
            1. <dl id='kjhkfr'></dl>
              1. <blockquote id='kjhkfr'><q id='kjhkfr'><noscript id='kjhkfr'></noscript><dt id='kjhkfr'></dt></q></blockquote><noframes id='kjhkfr'><i id='kjhkfr'></i>
                当前位置:首页 >> 安全知识 >> 详情
                网络安全应急响应机制建设实践
                作者: 日期:2020-05-11 09:09:23 访问量:

                当前,全国IT基础设施投资不断增加,攻击面不断扩张,攻击来源∑ 更加多样,攻击场景也进一步复杂化。

                截止到2019年11月,深信☆服全网安全监测平台累计发现恶意程序样本385261个,累〖计发现攻击超过188.09亿次,平均每天拦截恶意程序近5千万次。监测到全国30000+个IP在2019年】受到网络攻击总量45.2亿次,平均每台主机每月受到ぷ的攻击次数高达1.25万次以上。显然,当前网络安全形势依旧非常严峻。


                一、安全事件背后的推手

                攻击者√画像
                网络攻击者和攻击动机不断在变化,网络攻击者◤的概念已经从原来单纯的网络安全爱好者演变成了网络▆犯罪分子、APT组■织和专业渗透测试人员,攻击动机也从单纯的炫耀技术变成了90%以上和金钱或数据盗窃间谍行为〗有关。针对今年发生的众多勒索案例,我们发现勒索病毒攻□ 击团伙不再像以前那样遍△地撒网,更多的将目标锁定在全球各国的政府、企业、相关组织机构等,具有¤很强的针对性。勒索病毒攻击团伙越来越专业,会通过各种渠道收集信息,查找出一些安全防范措施相对々比较薄弱☉的政府、企业、组织机构进行定向攻击,通过钓鱼邮件或漏洞传播勒索病毒加密数据。例如今年多家网络≡托管提供商就遭受到勒索病毒的定向攻击。
                攻击←平面的增加
                随着全国IT基础设施投资不断增加,传统的PC、服务№器已经远不能满足黑客胃口,新的技术(5G\区块链\IOT\AI)带来了新的攻击面,攻击面已从传统的网站及系统扩展到各类暴露于互联网的业务应用(WebApp、文件共享服务)、各类新的互联网业务(区块链等)、移动应用、电信基础设施★等以及供应链的各个环节,除传统的僵尸网络以及面向web应用的各类漏洞利用攻击之外,新的场景有各∮种自动化的批量黑帽SEO篡改攻击、勒索病毒、数据窃取、钓鱼、挖矿、面向IoT的僵尸网络攻击≡(DDoS)等。
                攻击手段越来越高超
                攻击者的攻击方式从弱口令渐渐升级到了现在使用自建的武器◥库、0day库,从单打独斗到合作,自动化程度越⊙来越高,形成了完整的黑色产业链。


                二、如何建立〒应急响应体系

                威胁捕获
                安全是相对的、动态的,时刻处于对抗的状态。在对抗中,最重要的就是情报时差,在2019年跟踪到的数据泄♀露、重大黑产攻击事件通常早期就有先期预兆。相关情报的抓取对于事件预防↘或调查取证很有价值,加快事件响应速度〇的关键在于提前事件响应窗口(如补▃丁对比、云端日志捕获),不仅▲仅带来防御能力优势,也将々带来攻击能力优势。
                快速响应
                快速响应的关键是在于团队的协作分工和按照标准化流程的执行,对于深信服来说,当发现到一个可疑的情报就会上报,通过自动化应急响应机制传递到对应的团队去︼进行定级响应,按照对应的定级去分发对应的任务给到其他团〗队。主要任务∩包含复现、分析、扫描方案、检测方案、查杀方案、修补方案、防御方案等,各团队按照模板进行对应响应工作的执行,做好处置和详╱情记录,做好事件发生、发展、处置的记录和证据留存〓。当确认情报的级别后会迅速同步监管单位,主动提交我们对应的分析报告和样本或者构造好的POC,并配合监管单位发布通告,与此同时进行全系列产品的升级,实现云网端联动方案。
                确保恢复
                发布方案后通过订∑阅、更新公告等方式迅速触达用户,同时在云端做好监控和运◣营,针对事件后续的影响做持续的跟进,对云端运营结果进行分析,一旦发现状况及时ω更新预警等级,循环快速响应里面提到的定级响应。
                (本文刊登于《中国信息安全》杂志2020年第3期)