浅谈安全应急响应中的快速止损

定义 在入侵告警定性后, 到隔离被入侵环境这个时间段叫做快速止损的阶段。一 、背景止损手段往往简单粗暴、随意,止损更多是靠人肉操作,缺少系统化的流程&平台。目前看到很多错误的止损方式…

定义  在表征入侵报警之后,隔离入侵环境的时间段称为快速停止损失阶段。 一,背景 止损方法通常简单而粗鲁,止损更多地依赖于人类的肉体操作,缺乏系统的过程和平台。我见过很多错误的止损方法: 1.直接关闭并重新启动受感染的服务器。 2.重新安装系统并销毁机器。 上述方法将在很大程度上破坏第一个案例发现站点,并且许多第一手信息将被破坏:内存,进程信息等。对于后续可追溯性完整的攻击链非常不利, 后果可能导致所有黑客完全可追溯性的失败,甚至内部网络上其他机器的后门也无法完全清除,从而导致二次入侵。 事实上,更好的止损需要满足几个条件: 1.快速隔离入侵机器,防止内部网络扩散; 2.最大化入侵站点的可追溯性; 3.平台,系统操作,避免人肉登录服务器操作。 第二,止损计划 Linux平台 - 使用iptables命令 整个过程分为两部分:止损和恢复。网络层隔离和恢复由iptables脚本完成。 止损 Bash代码: #/斌/庆典 Iptables-save > /root/iptables.bak  ##备份系统的  iptables文件 Iptables  -F Iptables  -A  INPUT  -s   10。*。*。*  -p  tcp  --dport  22  -j  ACCEPT  从对等方接收数据时失败 Netsh  ipsec  static  exportpolicy  c: \ ipsec.ipsec   ##备份当前的ipsec规则 Netsh  ipsec 静态  del 全                       ##清除ipsec规则 ##打开3389访问,停止后方便登录操作,demo打开所有ip地址,根据跳线配置推荐实际情况 ##入站阻止除了3389其他,tcp/udp连接,阻塞高风险端口 ##出站阻止所有tcp/udp连接,防止机器扫描其他内部网机器 Netsh  ipsec  static  add  policy  name='Block  Hacking'  description='Block  Hack  To  Other  Computer' 从对等方接收数据时失败 从对等方接收数据时失败 Netsh  ipsec  static  add  filteraction  name='Block'  action=block Netsh  ipsec  static  add  rule  name='Access  rules'  policy='Block  Hacking'  filterlist='Access'  filteraction='Permit' Netsh  ipsec  static  add  rule  name='Drop  rules'  policy='Block  Hacking'  filterlist='Drop'  filteraction='Block' Netsh  ipsec 静态 设置 策略  name='块 黑客'  assign=y    ##启动规则 2.恢复 清除当前规则并导入备份规则。 Bash代码: Netsh  ipsec 静态  del 全部 Netsh  ipsec  static  importpolicy  c: \ ipsec.ipsec 三是应急通道 1.止损,恢复任务平台化  利用上述应急计划,需要安全的操作和维护通道(可以快速地将其传送到每个受损机器)。安全操作和维护通道可用于通过HIDS或其他平台发送脚本插件,如https://github.com/Ysrc/yulong-hids,上面的脚本打包成止损,恢复插件,到确认入侵者首先通过后台发布了止损脚本。 2.移动 紧急情况往往是一种突发情况。在许多情况下,首次登录公司网络是不可能的。在这种情况下,上述功能可以与微信/钉子移动报警相结合,这将提高止损效率。