Day-260-事件隔离与遏制策略

# Day 281: 事件隔离与遏制策略

> 应急响应系列第 21 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [遏制概述](#遏制概述)
2. [遏制决策框架](#遏制决策框架)
3. [网络隔离技术](#网络隔离技术)
4. [主机隔离技术](#主机隔离技术)
5. [账户遏制措施](#账户遏制措施)
6. [应用层遏制](#应用层遏制)
7. [遏制效果验证](#遏制效果验证)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 遏制概述

### 什么是遏制

**遏制（Containment）** 是在安全事件确认后，采取措施阻止事件进一步扩散、控制损失范围的应急响应行动。

### 遏制在应急响应中的位置

```
┌─────────────────────────────────────────────────────────────┐
│            遏制在应急响应流程中的位置                        │
│                                                             │
│  检测 ──→ [遏制] ──→ 根除 ──→ 恢复 ──→ 跟踪               │
│           │                                                 │
│           ▼                                                 │
│      核心目标：                                              │
│      • 阻止扩散                                              │
│      • 控制损失                                              │
│      • 争取时间                                              │
└─────────────────────────────────────────────────────────────┘
```

### 遏制目标

| 目标 | 说明 | 衡量指标 |
|------|------|----------|
| **阻止扩散** | 防止攻击蔓延到其他系统 | 新增感染主机数 |
| **控制损失** | 最小化数据和业务损失 | 受影响数据量 |
| **争取时间** | 为根除和恢复争取时间 | 响应时间窗口 |
| **保存证据** | 保留调查所需证据 | 证据完整性 |

### 遏制原则

| 原则 | 说明 |
|------|------|
| **快速行动** | 时间就是损失，尽快遏制 |
| **适度措施** | 措施与威胁等级匹配 |
| **最小影响** | 尽量减少对业务的影响 |
| **可逆操作** | 优先选择可逆的遏制措施 |
| **记录完整** | 记录所有遏制操作 |

---

## 遏制决策框架

### 决策因素

```
┌─────────────────────────────────────────────────────────────┐
│                    遏制决策因素                              │
│                                                             │
│  ┌───────────┐  ┌───────────┐  ┌───────────┐               │
│  │ 威胁等级  │  │ 业务影响  │  │ 技术可行  │               │
│  │           │  │           │  │           │               │
│  │ • 攻击类型│  │ • 关键性  │  │ • 工具    │               │
│  │ • 扩散速度│  │ • 用户数  │  │ • 权限    │               │
│  │ • 影响范围│  │ • 收入影响│  │ • 时间    │               │
│  └───────────┘  └───────────┘  └───────────┘               │
│                                                             │
│              ▼                                              │
│  ┌─────────────────────────────────────────────────────┐   │
│  │                  遏制策略选择                        │   │
│  │  • 立即断网    • 限制访问    • 持续监控            │   │
│  └─────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────┘
```

### 决策矩阵

| 威胁等级 \ 业务影响 | 高 | 中 | 低 |
|---------------------|-----|-----|-----|
| **高** | 立即隔离，业务中断可接受 | 立即隔离，尽快恢复 | 立即隔离 |
| **中** | 限制访问，监控 | 限制访问，调查 | 限制访问 |
| **低** | 监控，调查 | 监控，调查 | 监控，正常调查 |

### 遏制策略类型

| 策略 | 说明 | 适用场景 |
|------|------|----------|
| **立即隔离** | 完全断开网络 | 勒索软件、活跃攻击 |
| **分段隔离** | 隔离部分网络 | 局部感染、可控范围 |
| **访问限制** | 限制特定访问 | 可疑活动、调查期间 |
| **持续监控** | 不隔离，加强监控 | 低威胁、需要取证 |

---

## 网络隔离技术

### 防火墙隔离

#### 阻断恶意 IP

```bash
# Linux iptables
iptables -A INPUT -s 185.123.45.67 -j DROP
iptables -A OUTPUT -d 185.123.45.67 -j DROP

# Windows Firewall
netsh advfirewall firewall add rule name="Block Malicious IP" dir=out action=block remoteip=185.123.45.67

# Palo Alto
set rule "Block-C2" source any destination 185.123.45.67 action drop
```

#### 阻断恶意域名

```bash
# DNS 黑名单
# /etc/hosts
127.0.0.1 evil.com
127.0.0.1 c2.malware.net

# DNS 服务器阻断
# BIND
zone "evil.com" {
    type master;
    file "/etc/bind/blocked.zone";
};
```

#### 端口阻断

```bash
# 阻断异常端口
iptables -A OUTPUT -p tcp --dport 4444 -j DROP
iptables -A OUTPUT -p tcp --dport 31337 -j DROP

# 仅允许必要端口
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -j DROP
```

### 交换机隔离

#### VLAN 隔离

```bash
# Cisco 交换机
# 将受感染主机移到隔离 VLAN
configure terminal
interface GigabitEthernet0/1
  switchport access vlan 999  # 隔离 VLAN
  switchport port-security
  switchport port-security maximum 1
  switchport port-security violation shutdown

# 隔离 VLAN 配置
vlan 999
  name QUARANTINE
  # 无路由，仅允许管理访问
```

#### 端口关闭

```bash
# 紧急关闭端口
configure terminal
interface GigabitEthernet0/1
  shutdown

# 验证
show interface status | include Gi0/1
```

#### ACL 应用

```bash
# 应用访问控制列表
ip access-list extended QUARANTINE
  deny ip any any
  permit ip any host 192.168.1.10  # 仅允许管理主机

interface GigabitEthernet0/1
  ip access-group QUARANTINE in
```

### 网络分段

#### 微隔离

```
实施要点：
1. 识别关键资产
2. 定义安全区域
3. 配置访问策略
4. 实施零信任

工具：
- 下一代防火墙
- SDN 控制器
- 微隔离平台
```

#### 紧急分段

```bash
# 快速创建隔离网段
# 核心交换机配置

vlan 100
  name EMERGENCY_ISOLATION

# 将可疑区域移到隔离 VLAN
interface range GigabitEthernet1/0/1-24
  switchport access vlan 100
```

### EDR 网络隔离

#### 端点网络隔离

```powershell
# CrowdStrike Falcon
# API 隔离主机
curl -X POST "https://api.crowdstrike.com/entities/devices-actions/v2" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"ids": ["device_id"], "action": "contain"}'

# Microsoft Defender for Endpoint
# 隔离设备
Invoke-MdatpIsolateMachine -DeviceId "device_id" -Comment "Incident Response"
```

---

## 主机隔离技术

### 物理隔离

#### 断网操作

```
步骤：
1. 记录当前状态（截图、拍照）
2. 拔掉网线或禁用无线
3. 贴上隔离标签
4. 记录时间和操作人
5. 通知相关人员

注意：
- 先取证后断网（如可能）
- 保持电源（如需内存取证）
- 防止远程擦除
```

#### 电源管理

```
决策考虑：
- 保持开机：需要内存取证、实时监控
- 关机：防止进一步破坏、证据丢失

建议：
- 高价值证据：保持开机，远程监控
- 活跃威胁：断网，保持开机
- 已控制威胁：可关机保存
```

### 系统级隔离

#### 禁用网络适配器

```powershell
# Windows - 禁用网卡
Disable-NetAdapter -Name "Ethernet" -Confirm:$false

# Windows - 禁用所有网络
Get-NetAdapter | Disable-NetAdapter -Confirm:$false

# Linux - 禁用网卡
ip link set eth0 down

# Linux - 禁用所有网络
ip link set down dev $(ip -o link show | awk -F': ' '{print $2}')
```

#### 禁用无线

```powershell
# Windows - 禁用 WiFi
netsh interface set interface "Wi-Fi" disable

# Linux - 禁用无线
rfkill block wifi
```

### 应用级隔离

#### 停止恶意服务

```powershell
# Windows - 停止服务
Stop-Service -Name "MaliciousService" -Force

# Windows - 禁用服务
Set-Service -Name "MaliciousService" -StartupType Disabled

# Linux - 停止服务
systemctl stop malicious-service
systemctl disable malicious-service
```

#### 终止恶意进程

```powershell
# Windows - 终止进程
Stop-Process -Name "malware" -Force
Stop-Process -Id 1234 -Force

# Linux - 终止进程
kill -9 1234
pkill -f malware
```

---

## 账户遏制措施

### 账户禁用

#### Active Directory

```powershell
# 禁用 AD 账户
Disable-ADAccount -Identity "username"

# 批量禁用
Get-ADUser -Filter "Department -eq 'Compromised'" | Disable-ADAccount

# 强制注销会话
Get-ADUser -Identity "username" -Properties LockedOut | 
  Set-ADUser -Enabled $false
```

#### 本地账户

```powershell
# Windows 本地账户
net user username /active:no

# Linux 本地账户
usermod -L username
passwd -l username
```

### 凭证重置

#### 密码重置

```powershell
# AD 密码重置
Set-ADAccountPassword -Identity "username" -Reset -NewPassword (ConvertTo-SecureString "NewP@ssw0rd123" -AsPlainText -Force)

# 强制下次登录更改
Set-ADUser -Identity "username" -ChangePasswordAtLogon $true
```

#### 密钥吊销

```powershell
# SSH 密钥吊销
# 从 authorized_keys 移除可疑密钥
cat ~/.ssh/authorized_keys | grep -v "compromised_key" > ~/.ssh/authorized_keys.new
mv ~/.ssh/authorized_keys.new ~/.ssh/authorized_keys

# API 密钥吊销
# 调用云平台 API 吊销密钥
aws iam delete-access-key --access-key-id AKIAxxx --user-name username
```

### 会话终止

#### 强制注销

```powershell
# Windows - 查看会话
qwinsta /server:servername

# Windows - 注销会话
rwinsta <session_id> /server:servername

# Linux - 强制注销
pkill -KILL -u username
```

#### Token 吊销

```
OAuth Token 吊销：
- Azure AD: Revoke-SignInSession
- Google Admin: 吊销 API 访问
- Okta: 撤销会话

示例（Azure AD）：
Revoke-AzureADUserAllRefreshToken -ObjectId "user_id"
```

---

## 应用层遏制

### Web 应用遏制

#### WAF 规则

```
紧急 WAF 规则：
1. 阻断攻击源 IP
2. 阻断攻击 URL 模式
3. 启用严格模式
4. 限制请求频率

示例（ModSecurity）：
SecRule REMOTE_ADDR "@ipMatch 185.123.45.67" "id:1001,phase:1,deny,status:403"
SecRule REQUEST_URI "@contains /admin" "id:1002,phase:1,deny,status:403"
```

#### 应用下线

```
步骤：
1. 通知业务方
2. 切换到维护页面
3. 断开数据库连接
4. 保留日志和证据
5. 发布公告

命令：
# Nginx 维护模式
location / {
    return 503 "Service temporarily unavailable";
}
```

### 数据库遏制

#### 访问限制

```sql
-- 限制数据库用户权限
REVOKE ALL PRIVILEGES ON database.* FROM 'compromised_user'@'%';
GRANT SELECT ON database.* TO 'compromised_user'@'localhost';

-- 禁用远程访问
UPDATE mysql.user SET Host='localhost' WHERE User='compromised_user';
FLUSH PRIVILEGES;
```

#### 连接终止

```sql
-- 查看连接
SHOW PROCESSLIST;

-- 终止可疑连接
KILL <process_id>;

-- 限制最大连接
SET GLOBAL max_connections = 50;
```

---

## 遏制效果验证

### 验证方法

#### 网络连通性测试

```bash
# 测试被隔离主机
ping isolated_host  # 应失败（从外部）
telnet isolated_host 445  # 应失败

# 从被隔离主机测试外部
curl http://external_server  # 应失败
```

#### 活动监控

```powershell
# 监控被隔离主机活动
Get-EventLog -LogName Security -ComputerName isolated_host -Newest 100

# 检查网络连接
netstat -an | findstr ESTABLISHED  # 应无外部连接
```

#### 告警确认

```
验证要点：
- 遏制措施已生效
- 恶意活动已停止
- 无新的感染迹象
- 业务影响在预期内
```

### 持续监控

#### 监控指标

| 指标 | 目标值 | 告警阈值 |
|------|--------|----------|
| 网络流量 | 接近零 | >1MB/分钟 |
| 进程创建 | 无新进程 | 任何新进程 |
| 登录尝试 | 无 | 任何尝试 |
| 外连尝试 | 无 | 任何外连 |

#### 监控工具

```
工具选择：
- EDR: 端点活动监控
- NDR: 网络流量监控
- SIEM: 日志聚合分析
- 自定义脚本: 特定指标监控
```

---

## 总结与思考

### 核心要点回顾

1. **遏制是控制损失的关键** - 快速行动至关重要

2. **决策需要权衡** - 威胁等级 vs 业务影响

3. **多层次遏制** - 网络、主机、账户、应用

4. **验证效果** - 确保遏制措施生效

5. **记录完整** - 所有操作可追溯

### 实战建议

1. **预先准备** - 准备好隔离脚本和流程

2. **定期演练** - 测试遏制措施有效性

3. **自动化** - 关键遏制措施自动化

4. **沟通机制** - 遏制前通知相关方

5. **回退计划** - 准备恢复方案

---

## 参考资料

### 学习资源

- **NIST SP 800-61** - Computer Security Incident Handling Guide
- **SANS Incident Response** - https://www.sans.org/incident-response/

### 工具资源

- **CrowdStrike Falcon** - EDR 平台
- **Microsoft Defender for Endpoint** - EDR 平台
- **Security Onion** - 网络监控

---

*365 天信息安全技术系列 | Day 281 | 事件隔离与遏制策略*