五眼网络安全机构联合发布事件响应指南
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
位于澳大利亚、加拿大、新西兰、英国和美国的网络安全机构联合发布关于检测恶意活动和事件响应的安全建议。
报告指出,最佳实践事件响应程序始于对工件、日志和数据的收集及其删除分析,之后在让攻击者不了解自身已被检测到的情况下执行缓解措施。
这份安全建议鼓励组织狗和第三方IT安全组织机构协作以获取技术支持,确保攻击者已从网络删除,以防攻陷再次发生。该建议“强调了揭露恶意活动的技术方法并包含和最佳实践相对应的缓解措施。报告的目的是增强合作伙伴和网络管理员之间在事件响应方面的合作,以及成为事件调查的指南。”
发现恶意活动的技术手段包括搜索妥协指标 (IOC)、分析网络和主机系统中的流量模型、分析数据发现重复模型以及异常检测。
该联合安全公告建议组织机构在开展网络调查或主机分析时查找更广的工件类型,包括 DNS 流量、RDP、v*n和 SSH 会话、恶意进程、新型应用程序、注册表键、开放端口、已建立连接、用户登录数据、PowerShell 命令等等。
组织机构在处理安全事件时,也应该避免产生常见错误,如在找到受陷系统后立即采取措施(可能引发攻击者通风报信)、在工件受到保护和恢复之前缓解系统、访问/拦截攻击者基础设施、抢先重置凭据、擦除日志数据或未能解决攻击的根因。
组织机构在阻止常见攻击向量时应该采取多种缓解措施,包括限制或中断 FTP、Telnet 和未经批准的 v*n 服务;删除不使用的服务和系统;隔离受陷主机、关闭不必要的端口和协议;禁用远程网络管理工具;重置密码;以及及时修复漏洞等等。
该安全公告同时详细说明了组织机构可以采用的建议和最佳实践,改进其安全态势并阻止网络攻击的发生,但该公告强调称没有一种技术、程序或防御措施能够完全阻止入侵。
公告指出,“正确执行防御技术和程序,使威胁行动者难以访问网络并保持持久性而不会被检测到。当部署有效的防御程序时,攻击者应当会遇到复杂的防御障碍。攻击者活动也应该处罚检测和防御机制,使组织机构能够快速是被、遏制并响应入侵活动。”
网络分段、物理隔离敏感数据、使用最小权限原则并在网络分段和各层应用建议、执行安全配置,应该能减轻攻击的影响。
安全建议原文请见:
https://us-cert.cisa.gov/ncas/alerts/aa20-245a
推荐阅读
原文链接
https://www.securityweek.com/five-eyes-cybersecurity-agencies-release-incident-response-guidance
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~