面向网络安全管理,在建设预警和防护措施的同时,面对突发事件的处置也是企业网络安全部门需要重点关注的内容。
信息安全突发事件的处置随着计算机的出现即受到企业的关注,CERT(计算机应急响应小组)作为早期出现的应急响应模式也逐渐发展成为应急中心的模式,因此企业有必要回顾网络安全突发事件的处置策略和体系。
建设网络安全突发处置体系(Cyber Security Response System),笔者认为可以从以下方面进行设计:
1、 CSRS策略是企业面对网络安全事件处置的基本指导,由管理层可接受的风险所决定,CSRS策略的制定需要基于风险分析。需要注意的是,网络安全事件的风险分析和DRP是不同的,例如:DRP中的风险分析并不包括信息泄露。
2、 CSRS响应范围的确立,针对网络安全事件的管理,很重要的一点是需要界定事件范围,这里我们可以把网络安全事件分为广义和狭义两类。广义的网络安全事件包括对自然灾害等引起的可能具有更大破坏力,规模性物理破坏,甚至是人身伤亡的事件,狭义的网络安全事件是指针对网络安全的技术性破坏。网络安全事件所辖范围的不确定性是管理的重大误区,因此在设计初期就应当确定下来。
以下所涉及的网络安全事件响应针对狭义的概念进行设计。我们将另外讨论广义的网络安全事件的应急处置。
3、 CSRS组织,即CSRC(Cyber Security Response Center),网络安全事件需要由网络安全专家进行处置。当前网络的复杂度对网络专才的需求量巨大,很多企业都广泛采用外包/签约的模式对人才库进行补充,组织结构的设计需要关注沟通效率及技术人才的配置,尤其是需要关注外包技术人员对企业环境的熟悉程度,这决定了外包人员需要多久才能有效进行。CSRS组织结构需要注意与DRP、BCM以及其他应急方案的关联关系。
4、 公共关系管理,出现网络安全事件往往会带来关联损失,例如企业名誉受损、股东价值损失等,因此企业应当做好公共关系管理,包括与监管机构、媒体、企业内部、用户及受影响的人群的沟通计划。
5、 流程设计,网络安全事件响应流程包括沟通、处置流程。流程设计可以根据网络安全事件的影响度进行定制,但需要注意的是流程设计必须考虑到网络安全事件可能在等级上快速上升。另外,需要注意应急管理流程与DRP、BCM的关系是既有交集,又各自具有一定的特殊属性,流程设计需要结合应急组织结构进行合理定义。
6、 技术准备,网络安全事件的响应需要观察、抑制和分析工具,因此企业需要配置适当的响应环境来提高响应效率。并需要注意应急响应工具集与生产工具的隔离,避免网络安全事件响应环境被同时破坏。
7、 其他资源准备。
最后,网络安全管理人员还需要关注取证和经验回顾。
黑客技术官网地址:http://www.hackdig.com/
天融信.阿尔法实验室 李�� 李燕春
一、BadRabbit事件描述
1.1. 相关背景
Petya 勒索软件刚过去不久,又出现了新的一款勒索软件BadRabbit,因为其相似性很可能是同一作者,跟Petya不同的是,它是利用对账号密码硬编码后进行smb暴力破解,并没有用到永恒之蓝漏洞。
另一点不同的是,他们初始化不同,伪装一个假的flash 更新包骗取用户下载,然后执行释放恶意程序。在详细介绍流程之前,先看看一些其他参数。
1.2. 样本md5列表
1.3. 其他情况介绍
二 BadRabbit 复现
2.1 主机重启后的提示:
2.2 磁盘根目录下的文件提示(Readme.txt): 
没有评论:
发表评论