【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践(Web层-应急响应技术总结)

🏆 作者简介,愚公搬代码
🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。
🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.***、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏


🚀前言

Web安全事件应急响应技术是指针对Web应用程序遭受风险和安全漏洞的事件,如网络攻击、数据泄露、恶意软件等,迅速采取措施进行监测、分析和应对的技术手段。

以下是一些常见的Web安全事件应急响应技术:

应急响应技术 描述
1. 监测和日志分析 通过实时监测和分析Web应用程序的日志,以便发现异常活动和潜在的安全威胁。
2. 威胁情报收集与分析 收集和分析来自多个来源的威胁情报,以帮助识别和应对潜在威胁。
3. 漏洞扫描和漏洞管理 通过定期对Web应用程序进行漏洞扫描,及时发现和修复潜在的安全漏洞。
4. 网络流量分析 通过对网络流量进行深入分析,识别并定位攻击源,以便及时采取应对措施。
5. 恶意软件检测与清除 通过使用反病毒软件、网络安全设备等技术手段,及时检测并清除Web应用程序中的恶意软件。
6. 溯源与取证 通过追踪攻击活动的来源、路径和行为,收集取证材料,为后续的法律追责提供支持。
7. 事件响应计划与团队 建立和执行完善的事件响应计划,配备专业的应急响应团队,以确保在安全事件发生时能够迅速、有效地应对。
8. 持续监测和改进 通过持续监测和改进安全措施,及时发现和应对新的安全威胁和漏洞。

Web安全事件应急响应技术是保障Web应用程序安全的关键手段,通过及时监测、分析和应对,可以最大程度地降低安全风险,确保Web应用程序的安全性。

🚀一、Web 安全事件应急响应技术总结

🔎1.Web 应用入侵检测

从应急响应流程的角度讲,应急响应共包括准备、检测、抑制、根除恢复、跟踪6个阶段。然而,从操作层面讲,安全事件应急响应过程是由检测触发的。如果没有检测,就无法进行事件应急响应。检测发现异常才会触发应急响应的后续流程。最简单的检测方法是部署IDS、IPS、WAF等安全检测设备,并通过设定过滤规则来检测可能的入侵行为并进行报警,从而触发应急响应流程。此外,人工例行检测也是有效发现入侵行为的关键工作。

🦋1.1 Web 入侵人工检测指标

入侵后的系统会存在一些特征或者难免会留下一些痕迹,这些特征和痕迹是日常工作中应该进行例行检查的内容,例如:

(1)Web 页面被篡改,这是被攻击的最明显的信号,容易发现。

(2)应用系统中出现了不是由系统维护人员创建的账号(如app1账号)应特别关注在非工作时间创建的账号。

(3)系统存在不活跃的账号或默认账号的登录日志(如UNIX的SMTP账户、Windows的TsInter***user账户)。

(4)应用程序服务器中发现无法解释的普通用户账号权限异常提升或超级用户权限的使用。

(5)Web 目录被窜改或者出现了不熟悉的文件或程序。这些文件通常起了个不容易发现的名字,如/mp/user/etc/i***.d/bootd,甚至是目录文件和目录的权限被异常修改,攻击程序造成的文件修改时间、文件大小发生变化通常无法解释。

(6)应用程序服务器中发现用户异常使用命令,如 SMTP 用户去编译程序

(7)应用程序服务器中出现了黑客工具。这通常意味着攻击者已经获得了一定控制权,并植入了黑客工具来提升权限或者攻击其他主机。

(8)应用程序服务器的操作系统日志出现一段空白,这是系统被攻破的一个重要标志。

🦋1.2 webshell 检测

☀️1.2.1 静态检测

目前自动查杀工具使用匹配文件特征码、特征值、危险函数 eval 等来查找 webshell。这种方法只能查找已知的 webshell,无法查杀变种及 0day型,而且误报率高。但是根据特征码强弱特征,并结合人工判断,可以减少漏报和误报的概率。即将特征码分为强特征和弱特征两种,强特征匹配则必是 webshell,弱特征则需要人工判断。

另外,可以利用文件系统的属性判断,如apache是 nobody 启动的webshell 的属主必然也是 nobody。如果 Web 目录突然多出一个 nobody 属主的文件,则必定有问题。

因此,对于单站点的网站来说,结合人工使用静态检测是很有好处的,可以快速定位 webshell。

☀️1.2.2 动态检测

Webshell文件执行时表现出的特征即动态特征。当Webshell执行系统命令时,可以观察到正在运行的进程。在Linux下,可以看到nobody用户启动了bash进程;而在Windows下,则是IIS用户启动了cmd进程。这些都是动态特征,通过进程ID(PID)可以定位Webshell。根据之前我们所说的Webshell的定义,我们知道Webshell总是通过一个HTTP请求。因此,如果我们在网络层监控HTTP请求,并且检

转载请说明出处内容投诉
CSS教程_站长资源网 » 【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践(Web层-应急响应技术总结)

发表评论

欢迎 访客 发表评论

一个令你着迷的主题!

查看演示 官网购买