安全網(wǎng)管技術(shù)概述第6章網(wǎng)絡(luò)安全事件響應(yīng)

1、安全網(wǎng)管技術(shù)概述1第6章 網(wǎng)絡(luò)安全事件響應(yīng)本章主要內(nèi)容安全事件響應(yīng)簡(jiǎn)介風(fēng)險(xiǎn)分析事件響應(yīng)方法學(xué)追蹤方法陷阱及偽裝手段2參考資料：參考資料：網(wǎng)絡(luò)安全事件響應(yīng)，段海新等譯，人民郵電出版社3安全事件響應(yīng)簡(jiǎn)介計(jì)算機(jī)時(shí)代初期，獨(dú)立的計(jì)算機(jī)非常安全只有物理上接觸計(jì)算機(jī)的用戶才有威脅Internet化的今天，安全成了大問(wèn)題Internet缺乏內(nèi)在的安全機(jī)制（因?yàn)榘踩珯C(jī)制通常是繁瑣的、混亂的、費(fèi)錢的）CERT/CC的成立Computer security incident response team/ Coordination Center :/ 為整個(gè)Internet服務(wù)4事件影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行

2、為惡意事件：對(duì)系統(tǒng)的破壞、某個(gè)網(wǎng)絡(luò)內(nèi)IP包的泛濫、未經(jīng)授權(quán)的訪問(wèn)、非授權(quán)修改網(wǎng)頁(yè)、毀壞數(shù)據(jù)。往往是非計(jì)劃發(fā)生的本章不討論與自然災(zāi)害和能源有關(guān)的破壞事件5事件的種類破壞CIA（Confidential、Integrity、Availability）特性的事件竊取機(jī)密信息，篡改數(shù)據(jù)，DoS攻擊其它類型偵察性掃描抵賴-尤其是電子商務(wù)領(lǐng)域傳播色情內(nèi)容欺詐-假的登錄界面竊取密碼愚弄6事件響應(yīng)的工作事件響應(yīng)是事件發(fā)生后采取的措施和行為。通常是阻止和減小事件帶來(lái)的影響。行動(dòng)可能是人為驅(qū)動(dòng)也可能是由計(jì)算機(jī)系統(tǒng)自動(dòng)完成。事件響應(yīng)不僅僅需要技術(shù)技能，還需要管理能力、法律知識(shí)、人際關(guān)系、甚至心理學(xué)等方面的知識(shí)和技能

3、7PDR 安全模型策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）8需要事件響應(yīng)的理由保護(hù)網(wǎng)絡(luò)安全的困難設(shè)置很嚴(yán)格的安全政策由于成本和實(shí)際約束不可行因此探查安全威脅并迅速恢復(fù)是一個(gè)必要的保護(hù)策略注意：有效的事件響應(yīng)可以一定程度彌補(bǔ)安全政策的不足，但是不能完全替代安全政策9風(fēng)險(xiǎn)分析計(jì)算機(jī)和信息安全，總是與處理風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)相關(guān)信息安全實(shí)踐的起點(diǎn)就是風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析確定在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失造成的預(yù)期損失如：對(duì)一個(gè)機(jī)構(gòu)，篡改財(cái)務(wù)應(yīng)用程序可能是一種最大的風(fēng)險(xiǎn)，其次是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞和中斷，接著是外部侵入的風(fēng)險(xiǎn)，以及其他風(fēng)險(xiǎn)10風(fēng)險(xiǎn)

4、分析風(fēng)險(xiǎn)分析可以是定量的或定性的。定量的風(fēng)險(xiǎn)分析，用數(shù)字（通常是貨幣數(shù)字）來(lái)表示風(fēng)險(xiǎn)代表的數(shù)量。風(fēng)險(xiǎn) = 概率X損失如：一年內(nèi)客戶數(shù)據(jù)庫(kù)破壞的概率為0.005，一次破壞的損失是1000萬(wàn)，則風(fēng)險(xiǎn)是1000X0.005=5萬(wàn)定性的風(fēng)險(xiǎn)分析，用高、中等、低來(lái)決定某種危險(xiǎn)的影響11風(fēng)險(xiǎn)分析的數(shù)據(jù)來(lái)源哪些類型的事件在某個(gè)機(jī)構(gòu)經(jīng)常發(fā)生？本機(jī)構(gòu)內(nèi)部發(fā)生事件的相關(guān)數(shù)據(jù)其他機(jī)構(gòu)收集到的事故數(shù)據(jù)如CERT/CC發(fā)布近期事件的小結(jié)脆弱性分析通過(guò)掃描，找出系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫(kù)的弱點(diǎn)，可以指導(dǎo)風(fēng)險(xiǎn)分析12風(fēng)險(xiǎn)分析的重要性通過(guò)風(fēng)險(xiǎn)分析，找出風(fēng)險(xiǎn)高的威脅，提前對(duì)相關(guān)事件給予更多的關(guān)注和分配更多的資源有了這些準(zhǔn)

5、備，當(dāng)相關(guān)事件出現(xiàn)時(shí)，事件的響應(yīng)就會(huì)更有效風(fēng)險(xiǎn)是動(dòng)態(tài)的，風(fēng)險(xiǎn)分析如果被正確使用也應(yīng)該是動(dòng)態(tài)的。保持與新的威脅和新的發(fā)展同步是進(jìn)行成功事件緊急響應(yīng)所必不可少的13事件響應(yīng)方法學(xué)6階段事件響應(yīng)方法學(xué)準(zhǔn)備檢測(cè)抑制根除恢復(fù)跟蹤縮寫(xiě)PDCERF14階段1：準(zhǔn)備在事件的發(fā)生前為事件響應(yīng)做好準(zhǔn)備，包含基于威脅建立一組合理的防御/控制措施必須保證用于處理事件的系統(tǒng)和應(yīng)用是安全的建立一組盡可能高效的事件處理程序采取哪些步驟、優(yōu)先級(jí)、任務(wù)的分工、可接受的風(fēng)險(xiǎn)限制獲得處理問(wèn)題必須的資源和人員建立一個(gè)支持事件響 應(yīng)活動(dòng)的基礎(chǔ)設(shè)施更新聯(lián)系表非常重要15階段2：檢測(cè)對(duì)于事件響應(yīng)，檢測(cè)和入侵檢測(cè)不是同義詞檢測(cè)：是否出現(xiàn)了惡

6、意代碼、文件和目錄是否備篡改或者出現(xiàn)其他特征，問(wèn)題在哪里，影響范圍有多大入侵檢測(cè)：確定對(duì)系統(tǒng)的非授權(quán)訪問(wèn)和濫用是否發(fā)生如：病毒的檢測(cè)屬于前者檢測(cè)包含的范圍比入侵檢測(cè)廣事件響應(yīng)過(guò)程的其他動(dòng)作都依賴于檢測(cè)，檢測(cè)觸發(fā)事件響應(yīng)，因此檢測(cè)特別重要16檢測(cè)方法依賴相關(guān)軟件病毒檢測(cè)軟件、木馬檢測(cè)軟件系統(tǒng)完整性檢查軟件通過(guò)一些征兆判斷異?；顒?dòng)：下班之后的登錄，不活躍或系統(tǒng)缺省賬號(hào)活動(dòng)賬號(hào)異常：出現(xiàn)了不是由管理員創(chuàng)建的賬號(hào)文件異常：出現(xiàn)了不熟悉的程序、文件，www主頁(yè)被修改17初步動(dòng)作和響應(yīng)當(dāng)發(fā)現(xiàn)異常事件，以下操作可能獲得很高的回報(bào)花時(shí)間分析異?，F(xiàn)象啟動(dòng)審計(jì)功能或增加審計(jì)信息量迅速備份系統(tǒng)，避免攻擊者刪除痕跡記

7、錄發(fā)生的事情18估計(jì)事件的范圍檢測(cè)到事件后，需要迅速估計(jì)事件影響的范圍影響了多少主機(jī)涉及到多大范圍的網(wǎng)絡(luò)侵入到網(wǎng)絡(luò)內(nèi)部有多遠(yuǎn)得到了什么權(quán)限風(fēng)險(xiǎn)是什么攻擊者利用的漏洞存在范圍有多大19報(bào)告過(guò)程確定事件發(fā)生后第一事件通知合法的權(quán)威機(jī)構(gòu)不幸的是，現(xiàn)實(shí)中人們通常不會(huì)把信息盡可能的讓需要的人知道 通常是首先通知首席信息安全官報(bào)告內(nèi)容：事件的基本信息：攻擊的類型、目的、涉及網(wǎng)絡(luò)攻擊源的信息攻擊的結(jié)果威脅狀態(tài)20階段3：抑制目的：限制攻擊的范圍，限制潛在的損失和破壞抑制的措施可能相對(duì)簡(jiǎn)單，如一個(gè)賬號(hào)的多次登錄失敗，簡(jiǎn)單封鎖該賬號(hào)就可以了抑制策略：完全關(guān)閉所有系統(tǒng)從網(wǎng)絡(luò)上斷開(kāi)修改防火墻過(guò)濾規(guī)則封鎖或刪除有破壞

8、行為的賬號(hào)提高系統(tǒng)的監(jiān)控級(jí)別關(guān)閉部分服務(wù)21抑制事件抑制的一個(gè)基本部分是找到攻擊者或安裝在系統(tǒng)中的惡意程序和后門程序，并進(jìn)行處理，避免攻擊者未經(jīng)授權(quán)再次進(jìn)入系統(tǒng)22階段4：根除目標(biāo)：根除事件的原因找出事件根源并徹底根除，防止發(fā)生同樣的事件如：對(duì)病毒：清除內(nèi)存、系統(tǒng)、備份中的所有病毒對(duì)木馬：找出并刪除恢復(fù)關(guān)鍵的文件和信息23階段5：恢復(fù)目標(biāo)：把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底地還原到它們正常的任務(wù)狀態(tài)通常的做法：重新安裝系統(tǒng)，然后恢復(fù)數(shù)據(jù)從備份中恢復(fù)整個(gè)系統(tǒng)安裝所有操作系統(tǒng)、防火墻的補(bǔ)丁，修補(bǔ)路由器等網(wǎng)絡(luò)設(shè)備的缺陷去除在抑制和根除階段增加的臨時(shí)防護(hù)措施24階段6：跟蹤目標(biāo)：回顧并整合發(fā)生事件的相關(guān)

9、信息跟蹤是最有可能被忽略的階段重要性：有助于事件處理人員總結(jié)經(jīng)驗(yàn)，提高技能有助于評(píng)價(jià)一個(gè)組織機(jī)構(gòu)的事件響應(yīng)能力所吸取的任何教訓(xùn)都可以當(dāng)作新成員的培訓(xùn)教材25跟蹤內(nèi)容對(duì)每個(gè)重要事件進(jìn)行事后的剖析什么時(shí)候發(fā)生了什么事事件處理過(guò)程中，需要哪些消息，如何得到了這些消息下一次應(yīng)該怎么做最好其他：比如評(píng)估事件造成的損失26網(wǎng)絡(luò)攻擊的追蹤含義：廣義的，指確定引發(fā)事件的攻擊者的身份狹義的，找到事件發(fā)生的源頭，大部分情況下是找到事件源頭的IP地址、MAC地址或主機(jī)名注意：IP地址、MAC地址都是可以偽造的27和PDCERF方法學(xué)的關(guān)系在檢測(cè)、抑制和根除階段最密切檢測(cè)階段：追蹤一個(gè)特定IP的事件能幫助判斷網(wǎng)絡(luò)中的

10、流量是否是非法的抑制階段：找到攻擊源有助于采取正確的措施根除階段：如UNIX系統(tǒng)的.文件中的錯(cuò)誤記錄28追蹤方法搜索引擎攻擊者可能會(huì)在某個(gè)地方炫耀自己的攻擊經(jīng)歷，甚至?xí)孤┳约旱纳矸輓etstat -an察看當(dāng)前連接，對(duì)于Linux系統(tǒng)，netstat可能會(huì)被替換，這時(shí)cat /proc/net/tcp能看到連接日志數(shù)據(jù)登錄日志、syslog、審計(jì)數(shù)據(jù)、防火墻日志為了防止日志數(shù)據(jù)被攻擊者刪除，可以考慮設(shè)置日志服務(wù)器專用于記錄日志29追蹤方法入侵檢測(cè)系統(tǒng)的警報(bào)和數(shù)據(jù)原始的數(shù)據(jù)包直接在網(wǎng)絡(luò)上抓包對(duì)于交換網(wǎng)絡(luò)要預(yù)先考慮好抓包的手段30構(gòu)建“攻擊路徑”攻擊路徑？由于攻擊者可能會(huì)把若干臺(tái)機(jī)器作為跳板，因此構(gòu)建“攻擊路徑”可能會(huì)非常困難31陷阱及偽裝手段陷阱和偽裝手段就是使用模擬的方法，使一個(gè)看起來(lái)像是真實(shí)的系統(tǒng)、服務(wù)、環(huán)境等，但事實(shí)上它并不是這樣的系統(tǒng)的一些方法。偽裝手段是為了使攻擊及濫用系統(tǒng)和網(wǎng)絡(luò)的人，得到錯(cuò)誤的信息；或與虛擬的或其他非真實(shí)環(huán)境交互，在這些虛擬或非真實(shí)環(huán)境里，他們無(wú)法造成破壞或只能進(jìn)行很小的破壞。“陷阱”被設(shè)計(jì)用于吸引攻擊者，并將攻擊者的行為和動(dòng)作記錄下來(lái)?！跋葳濉笔莻窝b手段的一種32“蜜罐” Honey pot