背景
网络安全事件与传统的公共安全事件相比,看似相同,又大不同,网络安全事件具有隐蔽性强、扩散快、溯源反制难的特点。
因此,网络安全事件的应急处置,一方面要以快制快,发现快、研判快、响应快、处置快,最大限度减少和避免损失;另一方面要斩断根源,不仅要处理漏洞问题,还要挖掘出事件发生的根本原因。
产品介绍
博智工业互联网安全应急处置工具箱基于博智多年来在工业领域多个项目的实施经验,结合工控资产发现、工控脆弱性识别、工控协议解析检测引擎等方面的专业能力,精心打造的一款集专业性及易用性于一体的网络事件应急响应工具箱。
博智工业互联网安全应急处置工具箱内置工具集,由真实应急响应环境所用到的工具进行总结打包而来,收集100多款实用工具,包括安全加固、电子取证、流量分析、日志分析、进程分析、病毒查杀和勒索界面等。
处置案例
本章节用真实案例介绍博智工业互联网安全应急处置工具箱的处置示例。
案例:
某客户现场计算机感染病毒,出现不属于自己创建的账号,也出现莫名其妙的不是自己创建的文件。
处置示例:
首先登录博智工业互联网安全应急处置工具箱WEB管理页面,工具箱可根据症状特征进行自动分析得出诊断结果。
第一步:准备阶段
新建任务后,进入处置流程,系统会根据自动分析的诊断结果自动推荐使用永恒之蓝漏洞处置模板。
在准备阶段,收集现场信息,对现场的情况进行判断,可以根据现场的一些网络拓扑进行网络隔离,数据备份,证据备份等操作。
第二步:检测阶段
检测阶段使用日志查看工具查看最近的计算机操作日志,筛查是否有新账号创建或者网络爆破行为。
使用nmap扫描工具对于主机进行扫描,查看主机开放的高危端口情况,是否存在135,139, 445等端口开放。
使用漏洞扫描工具对目标网络进行漏洞检测,发现存在永恒之蓝漏洞的机器。
第三步:抑制阶段
在抑制阶段,关闭网络连接。
开启防火墙
第四步:根除阶段
在根除阶段,打开永恒之蓝专杀工具,查杀永恒之蓝病毒。
使用“恶意代码辅助检测系统”进行恶意代码全盘查杀。
第五步:恢复阶段
安装补丁
最后使用“Windows加固脚本”对高危端口进行加固。
使用应急工具箱web端(辅助检测-漏洞扫描)对目标主机执行漏洞扫描。根据扫描任务详情中漏洞列表,单击漏洞名称,查看漏洞详情,通过解决方法及参考连接,及时修复系统存在的漏洞。
加固完成后,用kali进行模拟攻击,已经无法进行永恒之蓝漏洞攻击了,漏洞处置完成。
恢复备份数据
第六步:跟踪阶段
在跟踪阶段,回顾事件处理过程,对事件进行分析,提出网络安全防护建议,减少事件再次发生的可能性。
网络安全应急处置工具箱融合丰富的应急处置经验模板,通过智能化的流程引导,大幅提升了企业面对突发事件的应急响应能力,助力构建安全、可靠的网络环境。
结语
在未来,随着网络技术的不断发展和攻击手段的不断演变,我们还需要持续关注和研究攻击的新趋势和新特点,及时调整和完善防范措施,确保应急处置的及时与可靠。
企业与组织需要加强网络安全意识培训、完善安全防护体系、建立快速响应机制。只有通过综合实施、多管齐下,才能有效防范和应对网络攻击带来的风险和挑战。