2023網(wǎng)絡安全應急響應

網(wǎng)絡安全應急響應2023目錄TOC\o"1-2"\h\u10283第1章網(wǎng)絡安全應急響應技術概念 第1章網(wǎng)絡安全應急響應技術概念網(wǎng)絡安全應急響應技術概述網(wǎng)絡安全應急響應含義“未雨綢繆”“亡羊補牢”“吃一塹，長一智”，這三個成語很好地反映了應急響應的主要思網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）安全方面的應急響應形成了國家、省級、行業(yè)、組織“統(tǒng)一領導、多級管理、自主負責”的平臺的應用逐步完備。網(wǎng)絡安全應急響應就是在對網(wǎng)絡安全態(tài)勢、組織的網(wǎng)絡系統(tǒng)運行情況和面臨的威脅有清楚的認識的情況下，在管理、技術和人員方面進行計劃和準備，以便網(wǎng)絡安全事件突發(fā)時，能夠做到有序應對和妥善處理，降低組織的損失，并能夠根據(jù)這些經(jīng)驗改進組織應對網(wǎng)絡安全突發(fā)事件的對策和計劃。網(wǎng)絡安全具有整體性、動態(tài)性、開放性、相對性的特點。對于組織來講，整體性是指網(wǎng)絡安全保障與組織的業(yè)務形態(tài)、其他合作利益相關方的聯(lián)結、組織的整體安全均有密切關系；動態(tài)性是指組織采用的信息技術和組織的業(yè)務系統(tǒng)本身均處于不斷發(fā)展之中，網(wǎng)絡安全的威脅來源和攻擊手段不斷變化；開放性是指互聯(lián)網(wǎng)本身就是沒有物理邊界的，而且隨著信息化的推進，以往隔離的網(wǎng)絡也逐步在物理上或邏輯上與互聯(lián)網(wǎng)聯(lián)結；相對性是指由于計算機和信息系統(tǒng)本身的基因決定了沒有絕對的安全，威脅源所能調動的資源和開展攻擊的動機，組織能夠接受的安全成本決定了安全的上限。網(wǎng)絡安全應急響應工作正是在組織樹立了這些正確的網(wǎng)絡安全觀后，采取合適的應對策略和措施，保障自身業(yè)務信息系統(tǒng)連續(xù)性的重要支撐?？偟膩碚f，網(wǎng)絡安全應急響應就是組織為了應對網(wǎng)絡安全事件（威脅），事前采取的準安全事件，事前應該準備什么，需要哪些資源，網(wǎng)絡安全事件發(fā)生時如何快速發(fā)現(xiàn)和定完善的總結機制（包括對總結活動本身），急演練則避免了紙上談兵[1]，演練的目的和范圍（驗證新技術或檢驗整體工作）、所采用的形式（采用的是桌面推演[2]方式還是紅藍軍對抗[3]）決定了演練的效果。網(wǎng)絡安全應急響應在很多國家被稱為安全事件應急響應，因為所有威脅利用客體系統(tǒng)的脆弱點（漏洞）造成的損害均以安全事件的形式發(fā)生。本書所指的網(wǎng)絡與《網(wǎng)絡安全法》中的概念一致，并不是由連接設備和線路組成的數(shù)據(jù)傳輸系統(tǒng)，而是表示所有設備和數(shù)據(jù)、人員及這三者的交互關系整體域，即“網(wǎng)絡空間”。而應急響應本身也有廣義和狹義兩種內(nèi)涵，從廣義上來講，從風險分析、安全檢查到安全體系的構建、災難備份等都包含在事前工作中，安全事件的處置和事后的災難恢復等所有工作均包含在應急響應概念中；從狹義上來講，應急響應只是為應對網(wǎng)絡安全事件所做的具體的準備，比如數(shù)據(jù)、工具、人力和計劃方面的準備，以及事件發(fā)生時的處置和事后針對性的總結。本書默認只討論狹義上的應急響應技術范疇。但也會在第1章對廣義的應急響應概念所涉及的技術進行簡介。另外，網(wǎng)絡安全保障工作發(fā)展到今天，可以用三種不同的視角來看待網(wǎng)絡安全應急響應：國家和政府的視角重點關注應急響應的體系和相應的標準建立，指導各組織開展應急工作，對重大的安全事件和隱患進行通報。業(yè)務單位的視角重點關系自身應急組織和流程的建立，部署相關技術系統(tǒng)和構建完善的管理體系，保障業(yè)務的正常運行。安全服務提供者的視角為組織提供安全預警和監(jiān)測服務，重點在于安全事件發(fā)生時的處置和報告工作，并為組織提供安全建議。目前，各類重大活動的網(wǎng)絡安全保障工作，可以看作將業(yè)務單位和安全服務者的視角進行融合，在特定的時間和地點，為特定的系統(tǒng)提供廣義概念上的應急響應服務。“沒有網(wǎng)絡安全就沒有國家安全”“安全保發(fā)展，發(fā)展促安全”，隨著《國家網(wǎng)絡空間安全戰(zhàn)略》的發(fā)布，加之近年來勒索病毒、數(shù)據(jù)泄露等網(wǎng)絡安全事件頻發(fā)，對組織帶來的損害越發(fā)嚴重，網(wǎng)絡安全應急響應工作得到國家層面、行業(yè)層面和組織層面越來越多的重視。網(wǎng)絡安全應急響應法律法規(guī)與標準2003年7月，國家信息化領導小組根據(jù)國家信息化發(fā)展的客觀需求和網(wǎng)絡與信息安全工作的現(xiàn)實需要，制定出臺了《關于加強信息安全保障工作的意見》（中辦發(fā)27號文件），文件明確了“積極防御、綜合防范”的國家安全保障工作方針。該意見指出“國家和社會各方面都要充分重視信息安全應急處理工作。要進一步完善國家信息安全應急處理協(xié)調機制，建立健全指揮調度機制和信息安全通報制度，加強信息安全事件的應急處置工作。”2016年12月，經(jīng)中央網(wǎng)絡安全和信息化領導小組批準，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《國家網(wǎng)絡空間安全戰(zhàn)略》，該戰(zhàn)略指出“堅持技術和管理并重、保護和震懾并舉，著眼識別、防護、檢測、預警、響應、處置等環(huán)節(jié)，建立實施關鍵信息基礎設施保護制度，從管理、技術、人才、資金等方面加大投入，依法綜合施策，切實加強關鍵信息基礎設施安全防護”，明確了“做好等級保護、風險評估、漏洞發(fā)現(xiàn)等基礎性工作，完善網(wǎng)絡安全監(jiān)測預警和網(wǎng)絡安全重大事件應急處置機制?！钡闹攸c任務。2017年6月1日開始施行的《網(wǎng)絡安全法》第五章對監(jiān)測預警與應急處置方面的組織機構、主體責任和工作機制做出了明確的法律規(guī)定。中央網(wǎng)信辦隨即下發(fā)了《國家網(wǎng)絡安全事件應急預案》，對網(wǎng)絡安全應急響應的組織機構與職責、監(jiān)測與預警、應急處置、調查與評估及準備工作和保障措施均做了詳細的規(guī)定。上述法律和規(guī)定體現(xiàn)了國家層面在網(wǎng)絡安全應急響應方面的國家意志。為了構建國家網(wǎng)絡安全應急體系和指導組織建立和完善網(wǎng)絡安全應急機制，國家陸續(xù)出臺了一系列標準。目前，與網(wǎng)絡安全應急響應有直接關聯(lián)的指南和國家標準主要包括：·GB/Z20985—2007關術語、信息安全事件管理的目標和過程及關鍵問題進行了定義?！B/Z20986—2007件分類依據(jù)和方法、分級依據(jù)和具體級別給出了明確的指導?！B/T20988—2007的理論依據(jù)。·GB/T24363—2009急響應計劃的編制、計劃中對組織機構、工作流程和保障措施提出了明確的要求?！B/T28517—2012實例。2017年國家標準化管理委員會對200727035系列標準，對相關術語、流程和活動重新定義和調整，做到標準化的與時俱進。該第2、3兩部分的標準計劃將于2020年左右發(fā)布（截至本書定稿時，第2、3兩部分已發(fā)布征求意見稿）。其他與信息安全事件相關的標準（如信息安全事件調查方面）完善之中。GB/T20984—2007GB/T30276—2013網(wǎng)絡安全應急響應技術演變應急響應技術是伴隨網(wǎng)絡安全態(tài)勢的發(fā)展而不斷演變的，另外，業(yè)務系統(tǒng)的信息化程度不斷提高，也促使國家和組織的應急響應理念發(fā)生變化。1988年的莫里斯蠕蟲事件之后的一個星期內(nèi)，美國國防部資助卡內(nèi)基梅隆大學（CarnegieMellonUniversity，CMU）的軟件工程研究所成立了計算機應急響應組協(xié)調中心（ComputerEmergencyResponseTeam/CoordinationCenter，CERT/CC），通常被認為是第一個應急響應組，這時的應急響應技術主要是解決病毒和蠕蟲這類惡意程序事件，基于主機的毒病檢測、隔離和清除是這一時期最主要的應急技術。CERT/CC成立后，世界各地應急響應組織如雨后春筍般地出現(xiàn)在世界各地。比如美國的空軍計算機應急響應小組（AirForceComputerEmergencyResponseTeam，AFCERT）、澳大利亞的計算機故障快速反應小組（AustralianComputerEmergencyResponseTeam，AusCERT）、德國網(wǎng)絡研究應急響應小組（DeutscheForschungsnetz-ComputerEmergencyResponseTeam，DFN-CERT）、Cisco公司的產(chǎn)品安全事件響應小組（CiscoProductSecurityIncidentResponseTeam，CiscoPSIRT）等。為了各響應組之間的信息交互與協(xié)調，1990年多國聯(lián)合成立了一個應急響應與安全組論壇（ForumofIncidentResponseandSecurityTeams，F(xiàn)IRST），發(fā)起時有11個成員，截至2002年年初已經(jīng)發(fā)展成一個超過100個成員的國際性組織。在中國，1999年在清華大學成立了中國教育和科研網(wǎng)緊急響應組（CERNETComputerEmergencyResponseTeam，CCERT），是中國大陸第一個計算機安全應急響應組織，目前已經(jīng)在全國各地成立了華東（北）地區(qū)網(wǎng)—（NanjingComputerEmergencyResponsesTeam，NJCERT）、華北地區(qū)網(wǎng)北京大學網(wǎng)絡緊急響應組（PekingUniversityComputerEmergencyResponseTeam，PKUCERT）、成都信息網(wǎng)絡安全協(xié)會（ChengduInformationNetworkSecurityAssociation，CDINSA）等多個應急響應組。2000年在美國召開的事件響應與安全組織論壇（ForumofIncidentResponseandSecurityTeams，F(xiàn)IRST）年會上，CCERT第一次在國際舞臺上介紹了中國應急響應的發(fā)展。CCERT由中國教育和科研計算機網(wǎng)資助，以中國教育和科研網(wǎng)的用戶為客戶群，同時也為中國教育和科研計算機網(wǎng)（ChinaEducationandResearchNetwork，CERNET）以外社會用戶提供盡力而為的服務。國家際計算機網(wǎng)絡應急處理協(xié)調中心（NationalInternetEmergencyCenter，CNCERT/CC）是在國家互聯(lián)網(wǎng)應急小組協(xié)調辦公室的直接領導下，協(xié)調全國范圍內(nèi)各類計算機/網(wǎng)絡安全應急響應小組（ComputerSecurityIncidentResponseTeam，CSIRT）的工作，以及與國際計算機安全組織的交流。CNCERT/CC的主要職責是：按照“積極預防、及時發(fā)現(xiàn)、快速響應、力?；謴汀钡姆结槪_展互聯(lián)網(wǎng)網(wǎng)絡安全事件的預防、發(fā)現(xiàn)、預警和協(xié)調處置等工作，維護公共互聯(lián)網(wǎng)安全，保障關鍵信息基礎設施的安全運行。還負責為國家重要部門和國家計算機網(wǎng)絡應急處理體系的成員提供計算機網(wǎng)絡應急處理服務和技術支持的組織。目前，CNCERT/CC已經(jīng)成為FIRST的正式會員。隨著各國逐漸認識到網(wǎng)絡安全監(jiān)測和應急響應的重要性，分別成立了相應的應急中心，并將應急技術范疇從惡意代碼事件響應擴展到了針對網(wǎng)絡（系統(tǒng)）整體，且面向全方位的事件管理和響應體系，技術上能夠通過部署訪問控制系統(tǒng)和加固技術降低系統(tǒng)面臨的風險，通過入侵檢測和審計技術快速發(fā)現(xiàn)入侵事件，采用標準響應流程處置事件。網(wǎng)絡安全應急響應技術的發(fā)展趨勢“未知攻，焉知防”。正如上一小節(jié)所討論的，廣義上的網(wǎng)絡安全應急響應將網(wǎng)絡防護和救治融合在一起，而狹義上的應急響應只考慮事件發(fā)生后的救治工作，但無論是哪個層面的概念，我們需要應急響應是因為網(wǎng)絡安全的相對性和動態(tài)性，即我們必須承認沒有絕對安全的系統(tǒng)，沒有一直安全的系統(tǒng)。討論應急響應的技術發(fā)展，首先需要認識應急響應面臨的技術現(xiàn)狀。攻防兩端信息不對稱系統(tǒng)的安全風險來自于內(nèi)部和外部，無論是主動的網(wǎng)絡攻擊，還是操作失誤，導致安全事件發(fā)生的攻擊過程往往是超出組織的預料之外的，雖然說作為防御方擁有系統(tǒng)內(nèi)部資源方面的優(yōu)勢，但在安全事件發(fā)生時，肯定是處在預先的防護體系部分失效的情況下，即使能夠完整識別事件及其影響，并快速完成處置過程，也只是降低組織損失，因此，這種資源優(yōu)勢很難發(fā)揮作用。攻擊動機的變化少是黑客個體的惡作劇或炫技，大部分是經(jīng)濟利益驅動，或是帶有政治和宗教目的，因此，其所掌握的技術資源更豐富、更先進。攻擊方法與時俱進社會工程學、0day漏洞的攻擊層出不窮，即使傳統(tǒng)的攻擊技術，如針對Web應用的攻擊，也出現(xiàn)大量新的方法（可參見OWASPTOPTEN2017），一種新技術或新框架的技術漏洞，或針對新的應用場景的攻擊和破壞（例如，針對工業(yè)物聯(lián)網(wǎng)的攻擊和破壞），防御本身的滯后性。攻擊技術體系化有組織有目地的攻擊呈現(xiàn)出分工明確、團隊作業(yè)的特點，攻擊過程從工具化轉變?yōu)槠脚_化，例如APT-TOCS（利用CS平臺的高級可持續(xù)威脅攻擊，AdvancedPersistentThreat-ThreatonCobaltStrike）這種高度的“模式化”的攻擊不但降低攻擊成本，也降低了被發(fā)現(xiàn)和被追溯的可能性，使得應急工作更加難以有效執(zhí)行。重防護、輕應急，重建設、輕演練網(wǎng)絡安全防護工作雖然不是銀彈，但對于大多數(shù)組織而言，預防工作的落實周期短、見效快，因此得到廣泛關注。應急技術本身難以模式化和設備化，而且對組織內(nèi)部技術人員要求較高，普遍沒有得到真正的重視，人員和技術平臺支撐性的缺失，導致組織無法實施切實有效的應急演練過程。2010年美國的電子商務協(xié)會，針對電商行業(yè)網(wǎng)絡安全事件處置中的問題進行了總結，發(fā)表了TenDeadlySinsofIncidentHandling（《網(wǎng)絡安全事件處置十大原罪》）白皮書，列舉了網(wǎng)絡安全事件應急響應過程中容易出現(xiàn)的問題?！な录z測失敗，導致無法做出及時的響應?！と鄙偈录幹脙?yōu)先級的定義，導致恢復時間目標（RecoveryTimeObject，RTO）無法保證?！と鄙贉贤C制，導致無法有效協(xié)同，安全事件影響擴大?！け粣阂獯a感染或被黑客攻擊的系統(tǒng)沒有進行隔離，導致影響面擴大。·無法實施充分的日志審計，導致不能查找安全事件根本原因，無法有效清除新型的病毒和網(wǎng)絡攻擊?！ぢ┒次赐耆迯偷那闆r下進行系統(tǒng)恢復，導致事件二次發(fā)生?！び捎谂嘤柌蛔?，缺少合格的人力資源，無法有效應對突發(fā)事件?！た偨Y和改進階段工作不充分，無法有效提升組織應急能力。·和相關組織的協(xié)同與合作不充分，易造成用戶恐慌等連鎖反應?！表憫臋n化不完善，無法執(zhí)行標準流程。分析上述十大問題，充分體現(xiàn)了網(wǎng)絡安全的整體性，即管理、技術、人員缺一不可，而技術作為基礎要素，對管理過程的支撐和流程的平臺化、體系化建設至關重要。近年來，隨著各行信息化的不斷深入，網(wǎng)絡安全事件對組織造成的影響越發(fā)嚴重，加之國家相關法律法規(guī)的要求和組織對安全的認識不斷提高，促使安全需求成為內(nèi)生性需求，為了滿足這種需求，應急技術也得到針對性發(fā)展。應急響應技術向工具化、平臺化發(fā)展為了快速對網(wǎng)絡安全事件做出快速反應和完善的處置，無論是防護階段還是應急處置階段，沒有適當?shù)墓ぞ咧?，就無法提高處置效率。例如，應對Web攻擊事件的Shell掃描查享、協(xié)同應急。由被動響應向主動發(fā)現(xiàn)演進所謂應急，就是事后采取的行動，但是，在重大活動的網(wǎng)絡安全保障工作中，應急服務更應該理解為避免和預防突發(fā)的安全事件為主的服務，擴展了準備階段的工作內(nèi)容，通過威脅情報共享，網(wǎng)絡態(tài)勢感知系統(tǒng)，盡早識別已知風險，縮短檢測周期，提高安全事件的檢出率成為目前網(wǎng)絡安全保障和應急的技術趨勢之一，再加上業(yè)界近年來提出的威脅狩獵理念、技術和相應的工具，希望能夠做到快速發(fā)現(xiàn)安全事件，根據(jù)Verizon公司發(fā)布的數(shù)據(jù)泄露報告（DataBreachInvestigationsReport，DBIR），如圖1-1和圖1-2所示（縱坐標為行為密度，橫坐標為操作完成時間），2013—2018年的5年間，網(wǎng)絡安全事件發(fā)生到成功入侵系統(tǒng)、盜取數(shù)據(jù)的攻擊周期越來越短，應急和恢復的工作周期隨著各組織安全防護和應急的意識與能力的提升，也有明顯的縮短，只有事件的發(fā)現(xiàn)時間無明顯變化，仍然是以“月”為單位（根據(jù)DBIR2018，安全事件的發(fā)現(xiàn)時間平均為92天，3個月）。因此，通過上述的監(jiān)測預警和檢測發(fā)現(xiàn)技術，縮短安全事件的檢出周期是組織應急響應的當務之急。圖1-1 DBIR2013攻防操作時間分布圖圖1-2 DBIR2018攻防操作時間分布圖應急協(xié)同支撐技術的發(fā)展因為網(wǎng)絡空間的無邊界性、信息化導致業(yè)務的互聯(lián)跨域性，使得業(yè)界逐漸認識到成功的安全應急響應應該是由多種不同職責、不同技能的團隊依托多種系統(tǒng)和情報密切協(xié)同，將本地資源、網(wǎng)絡情報、云基礎設施、各類設備和人緊密地聯(lián)結在一起，采用協(xié)同、閉環(huán)的應急體系和流程才能有效完成網(wǎng)絡安全事件的響應，構建“互聯(lián)網(wǎng)+”應急響應支撐平臺可能會成為層次化、跨行業(yè)的應急體系新方向。另外，近年來，以結構化威脅信息表達式（StructuredThreatInformationeXpression，STIX）為代表的機器可讀威脅情報交換技術在美國獲得了迅速發(fā)展，表征著美國政府和工業(yè)界在大規(guī)模安全應急響應能力方面的快速提升，也代表了應急響應技術發(fā)展方向之一。追溯和取證技術得到重視一方面，對網(wǎng)絡安全事件進行復盤和溯源，對提高網(wǎng)絡安全保障工作的有效性至關重要；另一方面，隨著《網(wǎng)絡安全法》的施行及其與《中華人民共和國刑法》等其他法律的連接性和執(zhí)法強度的加大。網(wǎng)絡安全事件的追溯和取證技術得到更多的重視，在云計算的虛擬化環(huán)境中，因損失的嚴重性和證據(jù)的易失性，導致取證的優(yōu)先級往往高于恢復服務。大數(shù)據(jù)和AI驅動的綜合日志審計、電子取證等技術和產(chǎn)品得到廣泛的應用。應急人員技術能力不斷進步隨著國內(nèi)外網(wǎng)絡空間安全相關專業(yè)的應用型人才培養(yǎng)模式的創(chuàng)新，人才培養(yǎng)質量進一步提高，從業(yè)人員的基礎逐年進步，加之行業(yè)對網(wǎng)絡安全人才的需求不斷增加，國內(nèi)外各類組織和機構分別推出了相關的培養(yǎng)和認證服務。應急響應方面，國際上比如網(wǎng)絡空間安全知識學習平臺Cybrary推出的IncidentResponse&AdvancedForensicsCertificationCourse，卡內(nèi)基梅隆大學推出的CERT-CertifiedComputerSecurityIncidentHandler、美國SANS學院（SANS指SystemAdministration，Networking，andSecurity）[4]的GIACCertifiedIncidentHandler等課程認證；國內(nèi)網(wǎng)絡安全審查技術與認證中心推出的CISAW系列的應急從業(yè)人員認證，工程師系列的CSERE認證等，均為從業(yè)人員在應急響應領域的理念、知識、技術和能力提供了較豐富的資源，使得應急人員的技術能力得到相應的提高。但由于網(wǎng)絡安全知識發(fā)展的快速性，對于從業(yè)人員來講，持續(xù)學習以保持知識更新，通過有效的演練達成知行合一，這兩點至關重要。網(wǎng)絡安全應急響應技術框架在應急響應過程中，能夠用到的技術如圖1-3所示，為了方便歸類，將網(wǎng)絡安全應急響應暫時分為4個階段（采用廣義的應急響應概念描述）：準備階段（防御階段）、檢測（發(fā)現(xiàn)）階段、遏制和根除階段（處置階段）、恢復和總結階段，某些安全技術能夠在不同階段均發(fā)揮效用，且所有技術均以一個安全產(chǎn)品或一組安全產(chǎn)品的形態(tài)工作，部署在網(wǎng)絡邊界、基礎設施和計算環(huán)境之中，技術能效的發(fā)揮依靠管理體系的建立和技術人員的能力驅動。圖1-3 應急響應技術框架準備階段（防御階段）這一階段用到的安全技術主要是以加固系統(tǒng)安全性為主，并通過部署各種情報和行為檢測技術從而發(fā)現(xiàn)安全事件。包括：支撐性安全技術支撐性安全技術包括密碼學、搜索引擎、數(shù)據(jù)保護（脫敏）技術等普適性的安全技術，主要為其他技術的實現(xiàn)提供基礎支撐。安全審查技術安全審查技術包括漏洞發(fā)現(xiàn)和驗證、基線核查等技術，用于主動發(fā)現(xiàn)系統(tǒng)安全隱患，加固系統(tǒng)。系統(tǒng)備份技術系統(tǒng)備份技術是對系統(tǒng)和數(shù)據(jù)進行離線鏡像、在線冗余等技術的統(tǒng)稱，主要用于提高系統(tǒng)和數(shù)據(jù)的可用性。檢測（發(fā)現(xiàn)）階段這一階段的技術主要是以提前感知威脅變化和發(fā)現(xiàn)網(wǎng)絡安全事件為主。包括：威脅情報技術威脅情報技術是通過獲取海量的與網(wǎng)絡安全關聯(lián)的信息（包括弱關聯(lián)信息），采用分級進行處理或通報，使得組織能夠快速了解針對特定網(wǎng)絡的威脅情況，廣義上威脅狩獵也被納入其中，將在1.4.2小節(jié)進行更詳細的描述。態(tài)勢感知技術態(tài)勢感知技術是指在綜合分析外部情報和網(wǎng)絡系統(tǒng)內(nèi)部情況的基礎上，獲取目前網(wǎng)絡的運行態(tài)勢，廣義上將入侵檢測也納入其中，也將在1.4.2小節(jié)進行更詳細的描述。入侵防護技術常見的如Web應用防火墻（WebApplicationFirewall，WAF）等攻擊和惡意代碼檢測與防護技術，但此類設備的日志可被用于態(tài)勢感知系統(tǒng)進行高級可持續(xù)威脅攻擊（AdvancedPersistentThreat，APT）攻擊的綜合檢測。訪問控制技術訪問控制技術是實現(xiàn)在操作系統(tǒng)、防火墻、路由器等設備上對資源的訪問進行鑒別、授權和記錄的技術總稱。協(xié)同支撐技術協(xié)同支撐技術是用來實現(xiàn)各合作方的安全事件上報，通報和披露，以及應急響應流程支撐。遏制和根除階段（處置階段）這一階段除包含的技術主要用于減少安全事件對系統(tǒng)的影響，并將系統(tǒng)的不良態(tài)勢清除，這一階段的特點是針對不同類型的攻擊或惡意代碼感染，需要在工具和設備的支持下，采用大量的人工操作。這類技術包括：入侵防御技術入侵防御技術是指能夠根據(jù)檢測系統(tǒng)發(fā)現(xiàn)的異常情況，對惡意行為進行阻斷的技術，或能夠快速進行網(wǎng)絡隔離的技術。取證技術取證技術是指發(fā)現(xiàn)安全事件線索，取得數(shù)字證據(jù)的技術，用以發(fā)現(xiàn)安全事件產(chǎn)生的根本原因和證據(jù)。審計技術審計技術是對各類日志進行審計，也是獲取安全事件產(chǎn)生的根本原因和對系統(tǒng)的影響的技術之一?；謴秃涂偨Y階段這一階段涉及的技術是盡可能地將系統(tǒng)恢復至網(wǎng)絡安全事件發(fā)生前的狀態(tài)，重新提供服務。主要包括：實時容災技術實時容災技術是指采用熱站或分布式系統(tǒng)，對系統(tǒng)和數(shù)據(jù)進行實時備份與恢復的技術，嚴格來講，屬于災難備份與恢復技術中的一種，比如支付寶的容災技術，采用了3地5中心的異地多活架構，可以做到雙光纖切斷下26秒自動恢復業(yè)務。備份恢復技術備份恢復技術指的是備份分發(fā)技術，能夠幫助組織快速將準備階段的系統(tǒng)鏡像下發(fā)，恢復系統(tǒng)狀態(tài)和數(shù)據(jù)。系統(tǒng)驗證技術系統(tǒng)驗證技術是指驗證系統(tǒng)是否恢復完全的技術。其中主機防護技術基本上涵蓋了上述4個階段，目前業(yè)界推出的各類終端探測響應系統(tǒng)（EndDetectionandResponse，EDR）和擴展探測響應系統(tǒng)（eXtendedDetectionandResponse，XDR）等產(chǎn)品，均是針對主機的計算環(huán)境，提供了防護、檢測、遏制和根除，乃至恢復的功能，XDR核心理念是通過各類情報和安全數(shù)據(jù)分析，為主機安全事件的響應和處置提供更有力的決策支持，值得注意的是在某些工業(yè)互聯(lián)網(wǎng)場景，部署XDR時應該考慮業(yè)務的分區(qū)分域需求和XDR網(wǎng)絡連通需求之間的矛盾。應急響應預案凡事預則立，編制應急響應預案雖然不只是技術工作，但應急響應預案（劃）到指導性作用，使應急工作能夠有據(jù)可依，快速反應，流程標準。根據(jù)國家標準GB/T24363—2009·總則：包括編制目的、編制依據(jù)、適用范圍和工作原則?！そ巧奥氊煟喊ń巧膭澐?，各功能小組的組成和職責以及內(nèi)外部協(xié)調和協(xié)作機制?！ゎA防和預警機制：主要是采用何種機制進行預防和監(jiān)測，以及明確安全事件上報、通報和披露制度?！表憫鞒蹋好鞔_事件分類分級機制，信息通報、信息上報的時間、順序、形式等要求，以及應急響應計劃的啟動、處置、恢復順序、恢復規(guī)程、系統(tǒng)重建和總結等后期處置流程。·保障措施：明確人力、物力、技術等方面的保障要求。·附件：如備份存入點，工具設備清單和計劃的演練等其他應急響應預案主體不包含的內(nèi)容。某些組織將應急預案做得非常詳細，除了上述內(nèi)容，還包括應急響應每個階段的工作內(nèi)容、流程、方法和細節(jié)說明以及對工具的定義。組織架構2017年，中央網(wǎng)絡安全和信息化領導小組辦公室（以下簡稱“中央網(wǎng)信辦”）印發(fā)了《國家網(wǎng)絡安全事件應急預案》，明確了針對國家網(wǎng)絡安全事件應急響應的組織機構與職責，在中央網(wǎng)絡安全和信息化領導小組的領導下，中央網(wǎng)信辦統(tǒng)籌協(xié)調組織國家網(wǎng)絡安全事件應對工作，工業(yè)和信息化部、公安部、國家保密局等相關部門按照職責分工負責相關網(wǎng)絡安全事件應對工作。必要時成立國家網(wǎng)絡安全事件應急指揮部（以下簡稱“指揮部”），負責特別重大網(wǎng)絡安全事件處置的組織指揮和協(xié)調。中央和國家機關各部門按照職責和權限，負責本部門、本行業(yè)網(wǎng)絡和信息系統(tǒng)網(wǎng)絡安全事件的預防、監(jiān)測、報告和應急處置。各?。▍^(qū)、市）網(wǎng)信部門在本地區(qū)黨委網(wǎng)絡安全和信息化領導小組統(tǒng)一領導下，統(tǒng)籌協(xié)調組織本地區(qū)網(wǎng)絡和信息系統(tǒng)網(wǎng)絡安全事件的預防、監(jiān)測、報告和應急處置工作。對于企事業(yè)單位等具體組織而言，也應該成立本單位的應急響應工作組織，明確各小組或團隊的分工和職責，保持協(xié)調聯(lián)動，一般來講，單位級別的應急響應組織應涵蓋領導、管理、執(zhí)行和保障四個層面，可參考GB/T24363組建本單位的應急組織。團隊組成在網(wǎng)絡安全保障工作中，技術是基礎，管理是關鍵，組織是核心，業(yè)務是導向，網(wǎng)絡安全應急響應工作亦如此，完善的組織架構是保證應急工作得以落實的前提。從理論上來講，一個組織的網(wǎng)絡安全應急響應架構如圖1-4所示，應急響應的工作機構由管理、業(yè)務、技術和行政后勤等人員組成，實際上，可以不必專門成立對應的功能小組，組織可以根據(jù)自身情況由具體的某個或某幾個部門或部門中的某幾個人擔當其中的一個或幾個角色。圖1-4 網(wǎng)絡安全應急響應組織架構應急響應領導小組應急響應領導小組是信息安全應急響應工作的組織領導機構，組長應由組織最高管理層成員擔任。領導小組的職責是領導和決策信息安全應急響應的重大事宜。應急響應專家小組應急響應專家小組主要對重大信息安全事件進行評估，提出啟動應急響應級別的建議，研究分析信息安全事件的相關情況及發(fā)展趨勢，為應急響應提供咨詢或提出建議，分析信息安全事件原因及造成的危害，為應急響應提供技術支持。應急響應技術保障小組應急響應技術保障小組的主要任務是制定信息安全事件技術應對表、具體角色和職責分工細則、應急響應協(xié)同調度方案，并負責考察和管理相關技術基礎。應急響應實施小組應急響應實施小組主要分析應急響應需求（如風險評估、業(yè)務影響分析等），編制和實施應急響應計劃文檔，組織應急響應計劃的測試、培訓和演練，合理部署和使用應急響應資源，總結應急響應工作，提交應急響應總結報告，執(zhí)行應急響應計劃的評審、修訂任務。應急響應日常運行小組應急響應日常運行小組的主要任務是協(xié)助災難恢復系統(tǒng)實施，備份中心日常管理，備份系統(tǒng)的運行和維護，應急監(jiān)控系統(tǒng)的運作和維護，參與和協(xié)助應急響應計劃的測試、培訓和演練，維護和管理應急響應計劃文檔，信息安全事件發(fā)生時的損失控制和損害評估。協(xié)作機制組人來實施的。應急響應小組的角色也沒有理論上的細分，通常只設置領導小組，IT技術支撐小組和應急響應小組，如圖1-5所示，領導小組包含了專家和顧問組，以及市場公關導小組對網(wǎng)絡安全應急工作進行統(tǒng)一指揮，網(wǎng)絡安全應急響應辦公室具體負責執(zhí)行。例發(fā)布，以及應急處置情況的公開溝通與回應。圖1-5 應急響應內(nèi)外部協(xié)調體系架構在外部協(xié)調上，應急辦公室需要和政府機構，如網(wǎng)信部門、公安部門、工信部門、CNCERT/CC等及時通報情況，并溝通應急處置事宜；業(yè)務關聯(lián)方、供應商也是外部協(xié)調對象。通常來說，安全服務專業(yè)廠商也是供應商的一種，但是從近年網(wǎng)絡安全應急響應實踐來看，專業(yè)安全服務廠商的作用越來越大，也受到各方的重視，因此在一般模型中單獨列出。足夠的協(xié)調能力的同時，加上足夠的權力，才能調動內(nèi)部部門、主營業(yè)務領域的協(xié)同力保持密切配合。案例展示組織架構包括應急協(xié)同工作領導小組、應急預案制定小組、應急執(zhí)行小組、技術保障小組、支持保障小組，職責分工如下：應急協(xié)同工作領導小組·負責突發(fā)事件的應急指揮、組織協(xié)調和過程控制?！っ鞔_新聞發(fā)布人，授權其在應急過程中統(tǒng)一對外信息發(fā)布口徑?！ば贾卮髴表憫獱顟B(tài)的降級或解除。·向國家上級部門報告應急處置進展情況和總結報告。應急預案制定小組·評估各類突發(fā)事件的等級，確定應急預案制定計劃與方案?！そM織編寫官網(wǎng)突發(fā)事件應急預案?！へ撠煿倬W(wǎng)突發(fā)事件應急預案的維護與修訂。應急執(zhí)行小組·實施突發(fā)事件的具體應急處置工作?！ν话l(fā)事件業(yè)務影響情況進行分析和評估?！な占治鐾话l(fā)事件應急處置過程中的數(shù)據(jù)信息和日志。·向應急領導小組報告應急處置進展情況和事態(tài)發(fā)展情況。技術保障小組·為突發(fā)事件的具體應急處置提供全面的技術支持與保障?！そ⑴c軟硬件技術廠商的應急聯(lián)動機制，制定具體角色與職責分工。支持保障小組·提供應急所需人力和物力等資源保障?！ぷ龊弥刃蚓S護、安全保障、法律咨詢和支援等工作?！そ⑴c電力、通信、公安和消防等相關外部機構的應急協(xié)調機制和應急聯(lián)動機制?！て渌麨榻档褪录撁嬗绊懟驌p失提供的應急支持保障等。應急工作流程事件通告應急響應流程中，需要大量的內(nèi)外部協(xié)調工作，各工作小組之間需要信息通報和上報，如圖1-6所示，某突發(fā)事件應急通報流程，當安全事件發(fā)生時，業(yè)務人員需要立即通報技術保障小組副組長，進行初步應急，同時通報應急執(zhí)行小組副組長，由其向應急領導小組匯報，并通報技術保障小組組長。整個應急響應從事件發(fā)現(xiàn)到總結匯報，涉及多次信息通報和上報，應急處置后還需要按既定預案進行信息披露，我們將信息通報、信息上報和信息披露統(tǒng)稱為信息通告。圖1-6 應急響應過程中的通告流程信息通報信息通報又分為組織內(nèi)部通報和外部通報，內(nèi)部通報是協(xié)同工作的基礎，外部通報是將相關信息及時通報給受到負面影響的外部機構、互聯(lián)的單位系統(tǒng)以及重要客戶，一是協(xié)同應急的需要，二是獲得相應的支持。信息上報信息上報是指信息安全事件發(fā)生后，應按照相關規(guī)定和要求，及時將情況上報相關單位或部門。信息披露信息披露是指信息安全事件發(fā)生后，根據(jù)信息安全事件的嚴重程度，組織指定特定的小組及時向新聞媒體發(fā)布相關信息，指定小組應嚴格按照組織相關規(guī)定和要求對外發(fā)布信息，同時組織內(nèi)其他部門或者個人不得隨意接受新聞媒體采訪或對外發(fā)表自己的看法。事件分類和定級網(wǎng)絡安全事件的分級分類是快速有效處置信息安全事件的基礎之一，事件分類有助于確定事件的處置方法，事件定級有助于明確信息通報、上報等處置要求，以及明確是否需要立案啟動法律程序等合規(guī)性要求。確定網(wǎng)絡安全事件發(fā)生后對系統(tǒng)損壞性質和損壞程度的評估，是啟動和實施應急響應預案的前提。這個損害評估應該在確保人員安全優(yōu)先任務的前提下盡快完成，所以應急響應日常運行小組或專家組應該是第一個得到事件通知的小組，以便盡快得出評論結果。損害評估的側重點“因系統(tǒng)而異”，但是總的來說，應該從以下幾個角度進行分析。受到緊急情況影響的業(yè)務系統(tǒng)或區(qū)域無論在何種情況下，保證組織的業(yè)務連續(xù)性和重要性始終都是應急響應的首要目標。所定級的主要依據(jù)。潛在的附加影響或損失（即次生災害）由于信息系統(tǒng)將組織的業(yè)務與其他組織的業(yè)務越來越密切地聯(lián)系在一起，所以，對網(wǎng)絡安全事件的滯后影響和次生災害也應當予以評估。造成緊急情況或系統(tǒng)中斷的原因在評估業(yè)務影響的同時，也積極組織技術力量分析造成安全事件的原因。需要指出的是，對于許多組織而言，特別是那些業(yè)務連續(xù)性非常重要的組織，應當“先解決后問責”，如立即啟動備份系統(tǒng)確保業(yè)務盡快恢復到正常狀態(tài)，隨后再分析事故起因。對于那些業(yè)務聯(lián)系連續(xù)性要求不高的組織（如企業(yè)門戶網(wǎng)站等）則可先分析事故起因，再按照應急響應預案確定解決辦法。物理環(huán)境（如中心機房結構的完整性、電源、通信及制熱、通風和空調的情況）狀況要注意網(wǎng)絡安全事件并不總是等于“黑客攻擊事件”，在很多情況下是由于設備故障或物理環(huán)境改變甚至僅僅是通信線路接口松脫引起的。所以，在考慮事故定級的同時，也應該快速檢測物理環(huán)境是否有所改變。系統(tǒng)設備的總量和功能狀態(tài)系統(tǒng)設備的總量和功能狀態(tài)，如具備主要功能、具備部分功能、喪失所有功能等。系統(tǒng)設備及其存貨的損失類型系統(tǒng)設備及其存貨的損失類型，如水害、水災或熱能、物理及電涌影響。被更換的項目被更換的項目主要有硬件、軟件、固件或支持材料等。估計恢復正常服務所需的時間事件定級標準可遵照國家《信息安全技術信息安全事件分類分級指南》，詳細內(nèi)容請參見2.2小節(jié)。應急啟動應急響應預案的啟動（激活）代表“作戰(zhàn)命令”的正式下達，組織的信息系統(tǒng)甚至整個組織就從“平時運行維護狀態(tài)”轉入了“戰(zhàn)時應急狀態(tài)”。預案的啟動應該注意以下三點。啟動原則啟動原則具有果斷、快速、有序的特點?！肮麛唷笔侵笐表憫I導小組基于安全事件的評估結論，定下響應決心。因此事件評估是指揮決策的關鍵。“快速”與“有序”是指整個應急響應團隊的協(xié)同要非常流暢，包括預案啟動的通知、人員到位、事件處理、外協(xié)單位（如應急設備供應商等）進場等應按照響應流程有條不紊地展開。啟動依據(jù)一般而言，對于導致業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓等突發(fā)網(wǎng)絡安全事件應該立即啟動應急響應預案。但由于組織規(guī)模、構成、性質等的不同，不同的組織對突發(fā)、重大網(wǎng)絡安全事件的定義可以不一樣，因此，各個組織的應急響應預案的激活條件可能各不相同。激活條件可以基于以下4個方面考慮：·人員的安全或數(shù)據(jù)、設施的損失程度?！は到y(tǒng)損失的程度（如物理的、運作的或成本的）?！は到y(tǒng)對于組織業(yè)務的影響程度（如保護資產(chǎn)的關鍵基礎設施）?！ゎA期的中斷持續(xù)時間。當對系統(tǒng)損害評估的結果顯示一個或多個條件被滿足時，就應該立即啟動相應預案。啟動方法一般情況下，總是由網(wǎng)絡安全應急響應領導小組發(fā)布應急響應啟動令。但需要注意的是，在特殊情況下（如特別重大網(wǎng)絡安全事件的發(fā)生或特殊組織、特殊崗位等），事件發(fā)生現(xiàn)場人員應該按照預先制定的響應方案立即采取搶險措施，同時請示網(wǎng)絡安全應急響應領導小組發(fā)布應急響應啟動令，以獲取更大范圍的支持。一種有效方法是由網(wǎng)絡安全應急響應領導小組事先授權給特殊崗位的人員，以便在特殊情況下第一線人員能夠果斷決定。但使用這種例外的方法時要慎重，在平時就應該由網(wǎng)絡安全應急響應領導小組進行仔細研究和審批。應急處置門、重要信息系統(tǒng)（等國家重要基礎設施的信息系統(tǒng)），自然災害發(fā)生后的搶險救災與災后重建是兩個不同（當然也密切相關的）工作重心、恢復時間和恢復目標。有興趣的讀者可參閱國家有關《信息系統(tǒng)災難恢復指南》等標準和國外有關機構的相關資料，以便在應急響應和災后恢復工作中加以細化。在采取應急措施有效控制了網(wǎng)絡安全事件影響后，就應該開始恢復操作，恢復階段的行動集中于建立組織的臨時業(yè)務處理能力（如備份數(shù)據(jù)的導入等）、修復受損害的系統(tǒng)、在原系統(tǒng)或新設施中恢復業(yè)務運行能力等應急措施。下面分別對恢復順序、恢復任務和恢復流程等進行說明?；謴晚樞蛟谶M行系統(tǒng)應急恢復時，恢復順序就是業(yè)務影響分析（BusinessImpactAnalysis，BIA）中確定的系統(tǒng)恢復優(yōu)先順序，一般做法是評估組織各項業(yè)務的重要程度，確定支撐各種業(yè)務的信息系統(tǒng)，并結合各子系統(tǒng)的依賴關系確定恢復優(yōu)先級，因本身以網(wǎng)絡安全應急響應技術方面內(nèi)容為主，對業(yè)務的優(yōu)先級相關問題不展開討論?；謴腿蝿諡榱擞袟l不紊地進行恢復操作，網(wǎng)絡安全應急響應預案需要提供詳細的恢復任務，并事先將這些任務分配給適當?shù)幕謴托〗M?；謴腿蝿胀ǔＩ婕耙韵滦袆印！か@得訪問受損設施和地理區(qū)域的授權。例如，在應急響應人員抵達現(xiàn)場時，由于受損設施在平時往往有相應的安全防護手段（口令等），或者涉及組織敏感業(yè)務而需要授權進入/使用，因此要保證必要的信息溝通以便搶險人員“無障礙”地展開工作。對于實行遠程救援指導的專家，這些信息溝通顯得更為重要?！ねㄖ嚓P系統(tǒng)的內(nèi)部和外部業(yè)務伙伴，內(nèi)部人員和外部業(yè)務伙伴除了參與應急響應的人員之外，還包括組織的業(yè)務部門相關人員。例如，一個組織的財務軟件系統(tǒng)嚴重受損，原材料采購部門和銷售部門的人員就應該獲得通知，同時外部業(yè)務合作伙伴和銀行等相關人員也應該獲得通知?！か@得所需的應急用品和工作場所。應急用品包括軟件（如操作系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)恢復軟件、組織業(yè)務系統(tǒng)所運行的大型專用軟件等）、硬件（如替換雙機熱備中受損主系統(tǒng)的硬件、數(shù)據(jù)恢復專用設備、存儲設備、介質和光纜等）和網(wǎng)絡檢測設備等；應急工作場所一般情況下應當是在事故發(fā)生現(xiàn)場，但對于重大安全事件（如機房火災、爆炸），則需要開辟臨時工作場所。這些工作均需根據(jù)組織的實際情況，事先考慮在應急預案之中?；謴土鞒提槍謴腿蝿?，需要整理出分解給各個應急小組的恢復流程。網(wǎng)絡安全應急響應預案的編寫人員要將其逐一細化并落實在應急響應預案中?；謴土鞒虘凑罩苯雍头植襟E的方式書寫。為了防止在網(wǎng)絡安全事件中產(chǎn)生誤解或混亂，不能假定或忽略規(guī)程和步驟，并且需要在應急演練中不斷完善。后期處置通過應急處理成功解決網(wǎng)絡安全事件后，應急響應工作并未結束，還需要盡快組織相關人員進行信息系統(tǒng)重建，同時需要對網(wǎng)絡安全事件應急響應進行總結，如果有必要還需對應急響應預案進行完善。信息系統(tǒng)重建應急處置工作結束后，要迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢復正常工作。具體的方法如下：·統(tǒng)計分析各種數(shù)據(jù)，查明原因。例如，收集和分析各種日志記錄和監(jiān)控設備錄像等。這個步驟在事后的責任追究甚至法律介入時將起到非常關鍵的作用。組織應指定專人（或專業(yè)機構）妥善保管各種電子文檔?！W(wǎng)絡安全事件造成的損失和影響及恢復重建工作進行分析評估。對照BIA所確定的各項指標，評估現(xiàn)有的狀態(tài)與這些指標之間的差距，進而分析彌補這些差距所需要投入的各種資源（人力、物力、重建周期等）?！ふJ真制定恢復重建預案。在充分分析論證的基礎上，制定重建預案并組織實施信息系統(tǒng)重建工作。對已經(jīng)發(fā)生的安全事件要有足夠的應對措施?！ぶ亟üぷ魍瓿珊?，對所采取的措施要進行（簡要的）風險評估，使組織的業(yè)務從“戰(zhàn)時狀態(tài)”恢復到“平時狀態(tài)”，并為下一次進入“戰(zhàn)時狀態(tài)”做好準備（所以說，風險評估與應急響應是一個組織網(wǎng)絡安全的常態(tài)性工作）。應急響應/事件總結應急響應/事件總結是應急處置之后應進行的工作，具體工作如下?！し治龊涂偨Y事件發(fā)生原因?！し治龊涂偨Y事件現(xiàn)象?！ぴu估系統(tǒng)的損害程度?！ぴu估事件導致的損失?！し治龊涂偨Y應急處置記錄?！ぴu審應急響應措施的效果和效率，并提出改進建議?！ぴu審應急響應預案的效果和效率，并提出改進建議。應急演練規(guī)劃網(wǎng)絡安全應急演練是應急響應工作中重要的環(huán)節(jié)，用以檢驗組織的應急響應計劃（預案）合理性、應急綜合能力和應急流程把控能力，符合網(wǎng)絡安全保障PDCA方法論（Plan-Do-Check-Action）的思想，也是2017年中央網(wǎng)信辦發(fā)布的《國家網(wǎng)絡安全事件應急預案》通知要求。應急演練方案是支撐應急演練有效執(zhí)行的基礎文檔，一般來講，一份完整的應急演練方案除了明確指導思想和原則，還應包括以下部分?！そM織機構：明確應急演練指揮、協(xié)調、工作執(zhí)行等各工作組架構職責等?！ぱ菥毞桨福好鞔_演練時間、演練主要內(nèi)容和目的等?！ぱ菥殰蕚洌喝绾伍_展演練培訓和教育和各參與方的保障要求等?！ぱ菥毩鞒蹋憾x演練各個環(huán)節(jié)工作流程?！ぷ⒁馐马棧横槍ρ菥毜娘L險規(guī)避要求和計劃?！ぱ菥氁螅貉菥氝^程記錄文檔化等要求?！た偨Y匯報：定義演練總結和匯報的機制。應急演練規(guī)劃過程應該將測試、培訓和演練的整個過程進行詳細的記錄，并形成報告，演練過程不能打斷信息系統(tǒng)正常的業(yè)務運轉，演練過程應該與應急響應計劃的更新維護工作形成閉環(huán)。其他關于應急演練的詳細介紹，參見第4章內(nèi)容。網(wǎng)絡安全應急響應新發(fā)展云計算的網(wǎng)絡安全應急響應計算與傳統(tǒng)計算環(huán)境在技術實現(xiàn)上發(fā)生了本質的變化，因此，勢必對運維管理方式造成一些顛覆性的影響。這些變化集中體現(xiàn)在云計算的五大基本特征，其中彈性快速部署、按需自服務、資源池三個特征對安全運維特別是應急響應產(chǎn)生重要影響。只有充分利用這三個特性帶來的優(yōu)勢，才能真正做好云計算環(huán)境中的應急響應工作。云計算應急響應的新變化可以表現(xiàn)在理念（指導思想）和措施（技術實現(xiàn)）兩個層面。云計算中的應急響應新理念——“以毒攻毒，誘敵深入”傳統(tǒng)計算環(huán)境的安全事件應急目標是盡快恢復信息系統(tǒng)的正常運行，并且達到服務級別協(xié)議（Service-LevelAgreement，SLA）中規(guī)定的服務水平。在具體操作中通常是盡快清除被植入的惡意程序，修補系統(tǒng)漏洞。但是在云計算環(huán)境中，這樣的操作是否高明，是值得商榷的。際環(huán)境保留信息豐富。在攻防雙方信息嚴重不對稱的情況下，保留真實活動狀態(tài)入侵現(xiàn)發(fā)動入侵時，一貫采用“欺騙”的方法，如假冒身份、偽造源IP地址等。如果我們也采用“欺騙”的手法對付攻擊者，就像他們發(fā)動攻擊時慣用的手法一樣，就有機會觀察到攻擊者的下一步行動，同時有更多的時間分析攻擊是如何發(fā)生的，攻擊者利用了什么漏洞，都攻陷了哪些主機，竊取了什么數(shù)據(jù)等。因此，我們在應急響應中，應該采用“以其人之道還治其人之身”或者稱為“以毒攻毒，誘敵深入”的理念來指導應急響應工作。云計算中的應急響應新措施——誘騙設備實現(xiàn)及恢復過程的自動化如果以上述指導思想來開展應急響應工作，還要兼顧傳統(tǒng)的應急響應目標，唯一的方法就是創(chuàng)建一個新主機，替代被入侵的主機，同時將被入侵的主機控制起來，這樣既保證了被入侵主機處于正常的活動狀態(tài)，讓攻擊者誤以為其入侵行為尚未暴露，還會繼續(xù)實施攻擊行為，又保證了其攻擊影響不會被擴大。中，由于存在相對充足的冗余資源（即資源池），是虛擬機，而且可以彈性部署，建立新服務器主機的成本會非常低。當應急響應工作結多的成本。蜜罐是一種典型的誘騙攻擊的設備，蜜罐的應用，就體現(xiàn)了“以毒攻毒”的原則理念。但是由于蜜罐設備的數(shù)量稀少，蜜罐主機被入侵者發(fā)現(xiàn)并嘗試入侵的概率則非常低。將被攻陷主機控制起來，相當于部署了一個已經(jīng)發(fā)揮作用的（捕獲到惡意程序）蜜罐。應急響應工作中，我們需要做的就是將該主機巧妙地控制起來，防止入侵者繼續(xù)擴大戰(zhàn)果，進一步搜索新的可以入侵的資源，同時又不能打草驚蛇，讓攻擊者察覺處于被監(jiān)控狀態(tài)。在云計算環(huán)境中，通過安全控制策略，對一個主機進行有效控制是很容易實現(xiàn)的。在應急響應工作中，應將訪問控制策略提前準備好，一旦需要可以快速啟動生效。這些控制策略應該在使用前進行有效性驗證。對于新的服務器和系統(tǒng)，應該及時建立相應的備份虛擬機和預定義訪問控制策略。總之，在云計算環(huán)境中，做好安全事件應急響應工作首先需要更新理念，并在“以毒攻毒，誘敵深入”并定期驗證應急預案的有效性?；诖髷?shù)據(jù)平臺的應急支撐應急響應的框架內(nèi)，主要包括威脅情報和態(tài)勢感知兩類技術體系，從數(shù)據(jù)來源的角度區(qū)蜜罐系統(tǒng)，也可以作為情報采集方式之一。威脅情報情報就是一種信息，通常表達一種知識或事實，是生產(chǎn)、生活和軍事中的決策依據(jù)；而網(wǎng)絡安全中的威脅情報，是指那些對網(wǎng)絡安全不利的情報總稱，包括環(huán)境、機制和技術上的安全隱患、威脅和事件信息，即收集、評估和應用關于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標的數(shù)據(jù)集合。威脅情報系統(tǒng)包括情報收集、情報加工、情報分析和安全決策4個部分。其中后兩個部分往往結合人工完成，信息技術只是輔助進行安全決策。越來越多的用戶從關注已知威脅過渡到針對未知威脅的預警及防御，而這一能力也需要基于威脅情報的不斷積累，并結合大數(shù)據(jù)分析、多組織協(xié)作等方式方法，進而將之變得穩(wěn)定可用，才有可能從已知向未知跨越。比如，通過收集情報，某網(wǎng)絡游戲服務提供組織獲取到如下信息。①特定版本的內(nèi)存緩存（以下簡稱Memcached）內(nèi)數(shù)據(jù)緩存庫出現(xiàn)漏洞，允許遠程設置鍵值對。②某黑客論壇出現(xiàn)了利用該觀點驗證程序（ProofofConcept，POC）和權限受限的利用程序（Exploit，EXP）下載鏈接。③國際上出現(xiàn)了利用Memcached反射放大的分布式拒絕服務攻擊（DistributedDenialofService，DDoS）攻擊域名服務器（DomainNameServer，DNS）的通報。④參與過某大型DDoS攻擊的IP地址發(fā)起了針對國內(nèi)某些服務器的11211端口掃描。⑤這個IP地址隸屬于某特定國家，有同類型的游戲服務提供商。綜合利用上述情報，游戲服務提供組織能夠得出結論：有可能因同行競爭而導致國外組織利用Memcached漏洞對其發(fā)動DDoS攻擊。態(tài)勢感知態(tài)勢感知（SituationAwareness）這一概念源于航天飛行的人因（HumanFactors）研究，此后在軍事戰(zhàn)場、核反應控制、空中交通監(jiān)管（AirTrafficControl，ATC）以及醫(yī)療應急調度等領域被廣泛地研究。態(tài)勢感知之所以越來越成為一項熱門研究課題，是因為在動態(tài)復雜的環(huán)境中，決策者需要借助態(tài)勢感知工具顯示當前環(huán)境的連續(xù)變化狀況，從而準確地做出決策。理解、回溯、顯示能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素，預測網(wǎng)絡安全態(tài)勢及發(fā)展趨主要是解決以下問題。傳統(tǒng)安全防御手段的局限性一，無法實現(xiàn)對告警信息的二次驗證，無法聯(lián)動不同網(wǎng)絡位置的設備，無法進行聯(lián)動分析，難以區(qū)分有效攻擊。傳統(tǒng)安全防護手段所采用的設備和產(chǎn)品都是基于已知規(guī)則檢測，這些規(guī)則都是基于已知的安全事件或者威脅、漏洞等分析和歸類生成的檢測規(guī)則，無法應對未知漏洞（0day）、未知惡意代碼攻擊、低頻行為攻擊等未知威脅事件的檢測。傳統(tǒng)安全設備和產(chǎn)品由于數(shù)據(jù)來源單一且無法提供安全事件持續(xù)跟蹤計算所需的資源等，無法對異常行為自學習、無法預知攻擊特征等，因此對APT攻擊就表現(xiàn)得束手無策。對攻擊行為的準確溯源通常攻擊者在發(fā)起一次攻擊行為前會精心策劃，經(jīng)過多次的嘗試攻擊才會發(fā)起一次真正的攻擊。例如，通過有針對性的掃描探測弱點、編寫針對性攻擊繞過殺毒軟件和其他攔截設備的工具或腳本、本地突防的利用、通信信道的建立等，保證每次發(fā)起攻擊都非常精準、隱蔽，使得安全人員難以獲取攻擊線索，無法跟蹤分析，不能做到對安全事件追蹤溯源。海量異構數(shù)據(jù)的存儲和檢索對安全事件的運維處置，特別是針對持續(xù)性的高級攻擊行為的處理需要從本地收集的海量數(shù)據(jù)中進行快速檢索，要求本地設備需要支持海量的數(shù)據(jù)存儲、檢索和多維關聯(lián)能力。通常需要檢索網(wǎng)絡全流量數(shù)據(jù)、主機日志、網(wǎng)絡設備日志、應用系統(tǒng)日志等大量結構化、非結構化以及半結構化數(shù)據(jù)，無法進行直接檢索，導致安全人員無法在海量數(shù)據(jù)中檢索出想要的關鍵信息。對安全問題的深度挖掘通常持續(xù)性安全攻擊行為和未知威脅的檢測發(fā)現(xiàn)需要信息安全監(jiān)測、分析和威脅發(fā)現(xiàn)能數(shù)據(jù)技術提供的超大規(guī)模計算和分析能力。形成快速告警和響應機制迫切需要的。當發(fā)生網(wǎng)絡安全事件時，應急處理機制不僅提供有效的業(yè)務指導和技術支撐，還提供快速有效的應急防護體系，并在事后提供日志分析、數(shù)據(jù)恢復（后刪除痕跡）、攻擊驗證等系列技術手段。案對事先編制的場景而進行交互式討論和推演應急決策及現(xiàn)場處置的過程。桌面推演：以紙上談兵的方式，對應急流程各環(huán)節(jié)進行闡述和討論。以實戰(zhàn)演練的方式，由攻擊方（紅隊）對特定的系統(tǒng)進行手段受限的攻擊，防守方（藍隊）依據(jù)應急預案對攻擊事件進行響應和處置。美國知名的信息安全培訓機構，業(yè)務包括多種能力培訓和認證培訓。第2章網(wǎng)絡安全應急響應技術基礎知識應急響應工作的起點：風險評估風險評估相關概念風險評估風險識別、風險分析和風險評價的整個過程，包括風險發(fā)現(xiàn)、識別和描述風險、理解風險本質、確定風險等級，將風險分析的結果與風險準則比較以確定風險和（或）其大小是否可接受或可容忍的過程。風險可以表達為一個二元組，R={P，C}，其中R表示風險，P指的是不良事件發(fā)生的概率，C表示這一事件所產(chǎn)生損失嚴重程度，從風險評估的角度來看，應急響應如圖2-1所示，表述成：內(nèi)外部威脅源在特定條件下會突破保護措施，利用組織信息系統(tǒng)安全漏洞（脆弱性，包括管理、技術等方面，也包括保護措施本身的漏洞），影響系統(tǒng)的正常運的損失，從而保證其能夠提供正常的服務，完成組織的使命。圖2-1 風險要素關系圖風險評估流程資產(chǎn)、業(yè)務、發(fā)展戰(zhàn)略關聯(lián)分析、威脅識別、脆弱性識別、已有安全措施確認、風險計類、重要程度的定義等，以確定資產(chǎn)對業(yè)務系統(tǒng)的支撐重要性，為計算風險值提供基礎；威脅識別階段對內(nèi)部和外部的安全威脅分類，并對各類安全威脅賦值，也是計算風險的依據(jù)；脆弱性識別包括技術和管理上的脆弱性，根據(jù)被利用后對資產(chǎn)的損害進行賦值（即嚴重程度），也是計算風險的參數(shù)之一；確認已有的安全措施能夠避免重復投入，并使這些措施在一定程度上降低系統(tǒng)脆弱性，抵御威脅；最后通過計算安全事件發(fā)生的可能性、造成的損失來計算風險值，得到風險評估結果。風險評估既有定量計算方法，也有定性計算方法，二者也可融合使用，另外，按照評估方式可分為自評估和檢查評估，具體內(nèi)容可參見GB/T20984—2007《信息安全風險評估規(guī)范》。對于安全風險可以采用風險降低，風險轉移，風險規(guī)避，風險承擔，風險接受方式進行處置，如果抵御安全風險的投入大于風險損失，則可選擇接受風險，并關注風險的發(fā)展情況，及時進行進一步的處置，如圖2-2所示。圖2-2 風險評估過程示意圖風險評估與應急響應的關系風險評估是一切網(wǎng)絡安全保障工作的起點，對網(wǎng)絡安全應急響應也不例外，風險識別和處理的過程是應急響應工作準備階段的前序?！爸褐?，百戰(zhàn)不殆”，風險評估過程確保應急準備工作有的放矢，而應急響應又是風險評估工作的一種優(yōu)化反饋輸入，可以說兩者之間是相互結合、互為補充的關系。響應工作有重要的指導意義，且殘余風險的監(jiān)控和應對也是應急響應工作的重要組成部安全事件的處置和反饋，是周期性地開展風險研判風險評估工作的重要輸入。安全事件分級分類網(wǎng)絡安全應急響應技術應急事件類型現(xiàn)、結果等，對信息安全事件進行分類。信息安全事件分為信息安全風險、安全攻擊事件、設備設施故障、災害性事件、其他5個基本分類，每個基本分類又包括若干子類。信息安全風險信息安全風險是指安全管理制度的制定或執(zhí)行上存在的缺陷；系統(tǒng)在設計和建設時遺留下來的安全風險；系統(tǒng)硬件設施存在安全風險。安全管理制度的制定或執(zhí)行上存在的缺陷安全管理制度的制定或執(zhí)行上存在的缺陷，如未定期進行應急演練或未定期更新完善應急預案等情況造成的安全風險。系統(tǒng)在設計和建設時遺留下來的安全風險系統(tǒng)在設計和建設時遺留下來的安全風險，如帶寬設計不足、系統(tǒng)存在漏洞等方面帶來的安全風險。系統(tǒng)硬件設施存在安全風險系統(tǒng)硬件設施存在安全風險，如部件老化或自帶有可被攻擊利用的功能模塊等各種形式的硬件設施安全風險。安全攻擊事件安全攻擊事件是指人為通過網(wǎng)絡或其他技術手段，利用信息系統(tǒng)的缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，或人為使用非技術手段對信息系統(tǒng)進行破壞而造成信息系統(tǒng)異常的事件。安全攻擊事件可以分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件和物理破壞事件等。有害程序事件有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。網(wǎng)絡攻擊事件網(wǎng)絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡掃描竊聽事件、網(wǎng)絡釣魚事件、干擾事件和其他網(wǎng)絡攻擊事件。信息破壞事件信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。物理破壞事件物理破壞事件是指蓄意地對保障信息系統(tǒng)正常運行的硬件、軟件等實施竊取、破壞造成的信息安全事件。設施設備故障設備設施故障是指由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息安全事件，以及人為使用非技術手段無意地造成信息系統(tǒng)設備設施損壞的信息安全事件。設備設施故障包括軟硬件自身故障、外圍保障設施故障和其他設備設施故障3個子類，說明如下：軟硬件自身故障軟硬件自身故障是指因信息系統(tǒng)中硬件設備的自然故障、軟硬件設計缺陷或者軟硬件運行環(huán)境發(fā)生變化等而導致的信息安全事件。外圍保障設施故障外圍保障設施故障是指由于保障信息系統(tǒng)正常運行所必需的外部設施自身出現(xiàn)故障而導致的信息安全事件，如電力故障、外圍網(wǎng)絡故障等導致的信息安全事件。其他設備設施故障其他設備設施故障是指不能被包含在以上2個子類之中的設備設施故障而導致的信息安全事件。災害性事件災害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的信息安全事件。網(wǎng)絡安全事件等級《國家網(wǎng)絡安全事件應急預案》根據(jù)網(wǎng)絡安全事件發(fā)生的網(wǎng)絡和信息系統(tǒng)重要程度、損失和社會影響三個分級要素，將信息安全事件劃分為四個級別：特別重大網(wǎng)絡安全事件、重大網(wǎng)絡安全事件、較大網(wǎng)絡安全事件和一般網(wǎng)絡安全事件。特別重大網(wǎng)絡安全事件符合下列情形之一且未達到特別重大網(wǎng)絡安全事件的，為重大網(wǎng)絡安全事件：①重要網(wǎng)絡和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務處理能力。②國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成特別嚴重威脅。③其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡安全事件。重大網(wǎng)絡安全事件符合下列情形之一且未達到特別重大網(wǎng)絡安全事件的，為重大網(wǎng)絡安全事件：①重要網(wǎng)絡和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成系統(tǒng)長時間中斷或局部癱瘓，業(yè)務處理能力受到極大影響。②國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成嚴重威脅。③其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網(wǎng)絡安全事件。較大網(wǎng)絡安全事件符合下列情形之一且未達到重大網(wǎng)絡安全事件的，為較大網(wǎng)絡安全事件：①重要網(wǎng)絡和信息系統(tǒng)遭受較大的系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務處理能力受到影響。②國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成較嚴重威脅。③其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網(wǎng)絡安全事件。一般網(wǎng)絡安全事件除上述情形外，對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成一定威脅、造成一定影響的網(wǎng)絡安全事件，為一般網(wǎng)絡安全事件。網(wǎng)絡攻擊網(wǎng)絡攻擊是指任何非授權而進入或試圖進入他人計算機網(wǎng)絡系統(tǒng)的行為。這種行為包括對整個網(wǎng)絡的攻擊，也包括對網(wǎng)絡中的服務器或單個計算機的攻擊。網(wǎng)絡攻擊是入侵者實現(xiàn)入侵目的所采取的技術手段和方法與流程的統(tǒng)稱。擊行為的“人”稱為攻擊者。網(wǎng)絡攻擊通常遵循一種行為模型，包含偵查、攻擊與侵入、退絕服務攻擊、DNS污染、Wi-Fi劫持、邊界網(wǎng)關協(xié)議（BorderGatewayProtocol，BGP）劫持、廣播欺詐等。拒絕服務攻擊事件拒絕服務攻擊定義：拒絕服務攻擊（Denial-of-ServiceAttack，DoSattack）也稱洪水攻擊，它的目的在于使目標計算機的網(wǎng)上或系統(tǒng)資源耗盡，使服務暫時中斷或停止，導致其正常用戶無法訪問。當攻擊者使用網(wǎng)絡上兩個或以上被攻陷的計算機作為“僵尸機”向特定目標機發(fā)動“拒絕服務”式攻擊時，稱為分布式拒絕服務攻擊（DistributedDenial-of-ServiceAttack，DDoSattack）。拒絕服務攻擊分類：拒絕服務攻擊方式是多樣的，可以分為協(xié)議缺陷型攻擊、流量阻塞型攻擊、CC（ChallengeCollapsar）攻擊。協(xié)議缺陷型攻擊協(xié)議缺陷型攻擊包括SYN洪泛（以下簡稱SYNFLOOD）攻擊、ACK洪泛（以下簡稱ACKFLOOD）攻擊。SYNFLOOD攻擊是在TCP三次握手機制的基礎上實現(xiàn)的，它通過向目標服務器發(fā)送大量偽造的帶有SYN標志位的TCP報文使目標服務器連接耗盡，達到拒絕服務的目的。在服務器中使用Wireshark獲取網(wǎng)絡流量對SYNFLOOD攻擊進行分析，如圖2-3所示，可以看到服務器建立了很多虛假的半開連接，這耗費了服務器大量的連接資源。圖2-3 拒絕服務攻擊流量分析圖ACKFLOOD攻擊同樣是利用TCP三次握手的缺陷實現(xiàn)的攻擊，ACKFLOOD攻擊利用的是三次握手的第二段，攻擊主機偽造海量的虛假ACK包發(fā)送給目標服務器，目標服務器每收到一個帶有ACK標志位的數(shù)據(jù)包時，都會去自己的TCP連接表中查看有沒有與ACK的發(fā)送者建立連接，如果有，則發(fā)送三次握手的第三段ACK+SEQ完成三次握手建立TCP連接；如果沒有，則發(fā)送ACK+RST斷開連接。但是在這個過程中會消耗一定的CPU計算資源，如果服務器瞬間收到海量的SYN+ACK數(shù)據(jù)包將會消耗大量的CPU資源，使得正常的連接無法建立或者增加延遲，甚至造成服務器癱瘓、死機。在服務器中使用Wireshark獲取網(wǎng)絡流量對ACKFLOOD攻擊進行分析，如圖2-4所示。圖2-4 ACKFLOOD流量分析流量阻塞型攻擊流量阻塞型攻擊包括UDP洪泛（以下簡稱UDPFLOOD）攻擊、ICMP洪泛（以下簡稱ICMPFLOOD）攻擊。UDPFLOOD攻擊是利用UDP協(xié)議進行攻擊的，UDPFLOOD攻擊可以是小數(shù)據(jù)包沖擊設備，也可以是大數(shù)據(jù)包阻塞鏈路占盡帶寬。兩種方式的實現(xiàn)很相似，差別在于數(shù)據(jù)包中UDP的數(shù)據(jù)部分帶有多少數(shù)據(jù)。相比TCPFLOOD攻擊，UDPFLOOD攻擊形成一定規(guī)模之后更難防御，因為UDP攻擊的特點就是打出很高的流量。在服務器中使用Wireshark獲取網(wǎng)絡流量對UDPFLOOD攻擊進行分析，圖2-5為大數(shù)據(jù)包的UDPFLOOD攻擊，圖2-6為小數(shù)據(jù)包的攻擊。圖2-5 UDPFLOOD流量圖2-6 “小數(shù)據(jù)包”攻擊流量CC攻擊CC攻擊的原理是通過代理服務器或者大量“僵尸機”模擬多個用戶訪問目標網(wǎng)站的動態(tài)頁面，制造大量的后臺數(shù)據(jù)庫查詢動作，耗盡服務器CPU資源，造成拒絕服務的后果，如圖2-7所示。圖2-7 CC攻擊示意圖僵尸網(wǎng)絡的形成：無論是何種類型的僵尸網(wǎng)絡，“肉雞”都是執(zhí)行各種攻擊的基礎，所以拓展“肉雞”便是黑客要進行的第一步，常見的“肉雞”拓展方法主要有以下幾種：·自動化弱口令爆破，執(zhí)行遠程命令植入木馬，如爆破3389端口?！ぷ詣踊┒蠢?，執(zhí)行遠程命令拓展“肉雞”，如利用CVE-2017-17215攻擊路由設備?！だ壪螺d暗藏后門，如通過系統(tǒng)激活工具捆綁木馬。·蠕蟲病毒傳播等。拒絕服務攻擊流程：①通過自動化腳本爆破服務器，獲得服務器控制權。②2掃描器和僵尸主機分離（掃描器黑客控制、僵尸主機通過黑客的C2服務器控制，掃描器和C2服務器本身也是“肉雞”或黑客部署的Proxy服務器）。③掃描器通過弱口令字典掃描到存在弱口令的服務器植入木馬將服務器變成“肉雞”，木馬讀取內(nèi)置的C2服務器域名或IP，接受服務器攻擊指令。④“肉雞”接受攻擊指令（攻擊目標服務器）后開始發(fā)包攻擊，成為DDoS攻擊僵尸源之一，耗光網(wǎng)絡帶寬。DNS污染事件DNS污染的定義：DNS污染，又稱域名服務器緩存污染（DNScachepollution）或者域名服務器快照侵害（DNScachepoisoning），是指一些刻意制造或無意中制造出來的域名服務器數(shù)據(jù)包，把域名指往不正確的IP地址。一般來說，在互聯(lián)網(wǎng)上都有可信賴的網(wǎng)絡域名網(wǎng)域名服務器的緩存受到污染，就會把網(wǎng)域內(nèi)的計算機導向錯誤的服務器或服務器的網(wǎng)址。域名服務器緩存污染可能是因為域名服務器軟件的設計錯誤而產(chǎn)生，但亦可能由別有用心者透過研究開放架構的域名服務器系統(tǒng)來利用當中的漏洞。為防止局域的域名服務器緩存污染，除了要定時更新服務器的軟件以外，可能還需要人手變更某些設置，以控制服務器對可疑的域名數(shù)據(jù)包做出篩選。DNS污染的案例：主機訪問，主機向DNS服務器通過用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol，UDP）方式發(fā)送查詢請求，查詢內(nèi)容為host，這個數(shù)據(jù)包在前往DNS服務器時要經(jīng)過網(wǎng)絡設備（如路由器、交換機），然后繼續(xù)前往DNS服務器。然而在傳輸過程中，網(wǎng)絡設備針對這個數(shù)據(jù)包進行特征分析，（DNS端口為53，進行特定端口監(jiān)視掃描，對UDP明文傳輸?shù)腄NS查詢請求進行特征和關鍵詞匹配分析，比如“”是關鍵詞，也或者是“host記錄”），從而立刻返回一個錯誤的解析結果（比如返回了host百度的IP），如圖2-8所示。圖2-8 DNS污染示意圖Wi-Fi劫持事件Wi-Fi劫持的定義：Wi-Fi劫持是中間人攻擊中的一種類型，指攻擊者與通信兩端連接在同一個Wi-Fi中，攻擊者與通信的兩端分別創(chuàng)建獨立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通信的兩端認為它們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。在Wi-Fi劫持中，攻擊者可以利用惡意軟件、惡意腳本攔截通信雙方的通話并修改內(nèi)容，使得用戶訪問的結果與原先的不一致。在圖2-9所示的項目中，攻擊者可以利用代碼在服務器返回給用戶的數(shù)據(jù)包中加了javascript代碼進行挖礦，一個Wi-Fi劫持能成功的前提條件是攻擊者與通信兩端連接在同一個Wi-Fi中，并且攻擊者能將自己偽裝成每一個參與會話的終端，不被其他終端識破。圖2-9 Wi-Fi劫持項目Wi-Fi劫持的案例：A將手機接入鄰居B中的Wi-Fi并打開劫持軟件，此時鄰居B的電腦也在連接同一個Wi-Fi，鄰居B在電腦上登錄C網(wǎng)站時，A先通過劫持軟件劫持電腦發(fā)給網(wǎng)站C的數(shù)據(jù)包，獲得鄰居B在C網(wǎng)站中使用的賬號密碼，然后再將這個數(shù)據(jù)包發(fā)給C網(wǎng)站，接著A先劫持C網(wǎng)站返回的數(shù)據(jù)包，數(shù)據(jù)包中包含了賬號中的所有信息，再將數(shù)據(jù)包由A發(fā)送給電腦。BGP劫持事件BGP劫持的定義：BGP協(xié)議用在不同的自治系統(tǒng)（AutonomousSystem，AS）之間交換路由信息。當兩個AS需要交換路由信息時，每個AS都必須指定一個運行BGP的節(jié)點，來代表AS與其他的AS交換路由信息。這個節(jié)點可以是一個主機，但通常是路由器來執(zhí)行BGP。由于可能與不同的AS相連，在一個AS內(nèi)部可能存在多個運行BGP的邊界路由器。同一個AS中的兩個或多個對等實體之間運行的BGP被稱為IBGP（Internal/InteriorBGP）。這些子網(wǎng)絡互相連接，通過BGP協(xié)議告訴對方自己子網(wǎng)絡里都包括哪些IP地址段，自己的AS編號（以下簡稱ASNumber）以及一些其他信息。互聯(lián)網(wǎng)的IP地址分配是中心化的，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構（TheInternetCorporationforAssignedNamesandNumbers，ICANN）把IP地址大段分給區(qū)域互聯(lián)網(wǎng)注冊管理機構（RegionalInternetRegistry，RIR）。RIR再把IP地址段細分后分給互聯(lián)網(wǎng)服務提供商（InternetServiceProvider，ISP）們。大部分情況下，ASNumber和分給該AS哪個IP段是沒有任何關系的。BGP協(xié)議里雖然有一些簡單的安全認證的部分，但是對于兩個已經(jīng)成功建立BGP連接的AS，基本會無條件地相信對方AS所傳來的信息，包括對方聲稱所擁有的IP地址范圍。對于ISP分配給大公司客戶的地址段，ISP往往會對BGP做一些有限的過濾，但是對于大型ISP來說，因為對方所擁有的IP地址段可能過于分散，所以一般是按最大范圍設置BGP前綴（prefix）地址過濾。一般ISP分配到的IP地址段都是連續(xù)的，但是基本也都有可操作的空間，可以把數(shù)百到幾萬個不屬于自己的IP合法加到自己的BGP信息里。BGP劫持的分類：BGP劫持分為兩類，分別是前綴劫持（PrefixHijacking，以下簡稱Prefix劫持）和子前綴劫持（SubprefixHijacking，以下簡稱Subprefix劫持）。Prefix劫持：在Prefix劫持中，當受害者被正當分配IP前綴（IPPrefix）時，劫持的AS申請同樣的前綴，假冒的BGP聲明來自劫持的AS，消息通過路由系統(tǒng)散播，其他的AS就用本地的策略選擇正當AS路線還是假冒的BGP路線，如圖2-10所示。圖2-10 Prefix劫持示意圖Subprefix劫持：在Subprefix劫持中，攻擊者可以截獲受害IP的全部流量，劫持的AS創(chuàng)建一個受害IP前綴的子前綴，所以prefix就被受害者的IPprefix覆蓋了，如圖2-11所示。圖2-11 Subprefix劫持示意圖BGP劫持的案例：2017年8月，擁有AS號碼的Google錯誤地廣播稱，在其網(wǎng)絡中發(fā)現(xiàn)日本ISP的IP地址段。其他ISP（例如Verizon）開始將預先前往日本的流量發(fā)送至Google服務器，然而谷歌服務器卻不知道如何處理這些流量。這導致日本許多網(wǎng)絡服務癱瘓，用戶無法訪問網(wǎng)上銀行門戶網(wǎng)站、訂票系統(tǒng)、政府門戶網(wǎng)站等。除此之外，日本以外的用戶無法連接到任天堂網(wǎng)絡或日本多個在線市場。廣播欺詐事件ARP欺騙的定義：ARP欺騙（ARPSpoofing）又稱ARP毒化（ARPPoisoning）或ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議（以下簡稱ARP）的一種攻擊技術。這種攻擊可讓攻擊者獲取局域網(wǎng)上的數(shù)據(jù)包甚至可篡改數(shù)據(jù)包，且可讓網(wǎng)絡上特定計算機或所有計算機無法正常連線。ARP欺騙的原理：ARP欺騙的原理是由攻擊者主動發(fā)送虛假的ARP數(shù)據(jù)包到網(wǎng)絡上，尤其是發(fā)送到網(wǎng)關上。其目的是讓送至特定的IP地址的流量被錯誤地送到攻擊者所取代的地方。因此，攻擊者可將這些流量另行轉送到真正的網(wǎng)關（被動式數(shù)據(jù)包嗅探，PassiveSniffing）或是篡改后再轉送（中間人攻擊，Man-in-the-middleAttack）。攻擊者亦可將ARP數(shù)據(jù)包引導至不存在的MAC地址以達到阻斷服務攻擊的效果。例如，某一臺主機的IP地址是54，其MAC地址為00-11-22-33-44-55，網(wǎng)絡上的計算機內(nèi)ARP表會有這一條ARP記錄。攻擊者發(fā)動攻擊時，會大量發(fā)出已將54的MAC地址篡改為00-55-44-33-22-11的ARP數(shù)據(jù)包。那么網(wǎng)絡上的計算機若將此偽造的ARP寫入自身的ARP表后，計算機若要透過網(wǎng)絡網(wǎng)關聯(lián)到其他計算機時，數(shù)據(jù)包將被導到00-55-44-33-22-11這個MAC地址，因此攻擊者可從此MAC地址截收到數(shù)據(jù)包，篡改后再送回真正的網(wǎng)關，或是什么也不做，讓網(wǎng)絡無法連線。Ethernet數(shù)據(jù)包，ARP欺騙會篡改數(shù)