企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案資料講解_第1頁(yè)
企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案資料講解_第2頁(yè)
企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案資料講解_第3頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案事實(shí)證明,事先制定一個(gè)行之有效的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃(在本文后續(xù)描述中簡(jiǎn)稱事件響應(yīng)計(jì)劃),能夠在出現(xiàn)實(shí)際的安全事件之后,幫助你及你的安全處理團(tuán)隊(duì)正確識(shí)別事件類 型,及時(shí)保護(hù)日志等證據(jù)文件,并從中找出受到攻擊的原因,在妥善修復(fù)后再將系統(tǒng)投入正 常運(yùn)行。有時(shí),甚至還可以通過(guò)分析保存的日志文件,通過(guò)其中的任何有關(guān)攻擊的蛛絲馬跡 找到具體的攻擊者,并將他 (她)繩之以法。一、制定事件響應(yīng)計(jì)劃的前期準(zhǔn)備制定事件響應(yīng)計(jì)劃是一件要求嚴(yán)格的工作,在制定之前,先為它做一些準(zhǔn)備工作是非常 有必要的,它將會(huì)使其后的具體制定過(guò)程變得相對(duì)輕松和高效。這些準(zhǔn)備工作包括建立事

2、件 響應(yīng)小姐并確定成員、明確事件響應(yīng)的目標(biāo),以及準(zhǔn)備好制定事件響應(yīng)計(jì)劃及響應(yīng)事件時(shí)所 需的工具軟件。1建立事件響應(yīng)小組和明確小組成員任何一種安全措施,都是由人來(lái)制定,并由人來(lái)執(zhí)行實(shí)施的,人是安全處理過(guò)程中最重 要的因素,它會(huì)一直影響安全處理的整個(gè)過(guò)程,同樣,制定和實(shí)施事件響應(yīng)計(jì)劃也是由有著 這方面知識(shí)的各種成員來(lái)完成的。既然如此,那么在制定事件響應(yīng)計(jì)劃之前,我們就應(yīng)當(dāng)先 組建一個(gè)事件響應(yīng)小組,并確定小組成員和組織結(jié)構(gòu)。至于如何選擇響應(yīng)小組的成員及組織結(jié)構(gòu),你可以根據(jù)你所處的實(shí)際組織結(jié)構(gòu)來(lái)決定, 但你應(yīng)當(dāng)考慮小組成員本身的技術(shù)水平及配合能達(dá)到的默契程度,同時(shí),你還應(yīng)該明白如何 保證小組成員內(nèi)部的

3、安全。一般來(lái)說(shuō),你所在組織結(jié)構(gòu)中的領(lǐng)導(dǎo)者也可以作為小組的最高領(lǐng) 導(dǎo)者,每一個(gè)部門(mén)中的領(lǐng)導(dǎo)者可以作為小組的下一級(jí)領(lǐng)導(dǎo),每個(gè)部門(mén)的優(yōu)秀的IT管理人員可以成為小組成員,再加上你所在的IT部門(mén)中的一些優(yōu)秀成員,就可以組建一個(gè)事件響應(yīng)小組了。響應(yīng)小組應(yīng)該有一個(gè)嚴(yán)密的組織結(jié)構(gòu)和上報(bào)制度,其中,IT人員應(yīng)當(dāng)是最終的事件應(yīng)對(duì)人員,負(fù)責(zé)事件監(jiān)控識(shí)別處理的工作,并向上級(jí)報(bào)告;小組中的部門(mén)領(lǐng)導(dǎo)可作為小組響應(yīng)人員的上一級(jí)領(lǐng)導(dǎo),直接負(fù)責(zé)督促各小組成員完成工作,并且接受下一級(jí)的報(bào)告并將事 件響應(yīng)過(guò)程建檔上報(bào);小組最高領(lǐng)導(dǎo)者負(fù)責(zé)協(xié)調(diào)整個(gè)事件響應(yīng)小組的工作,對(duì)事件處理方法 做出明確決定,并監(jiān)督小組每一次事件響應(yīng)過(guò)程。在確定了

4、事件響應(yīng)小組成員及組織結(jié)構(gòu)后,你就可以將他們組織起來(lái),參與制定事件響 應(yīng)計(jì)劃的每一個(gè)步驟。2、明確事件響應(yīng)目標(biāo)在制定事件響應(yīng)計(jì)劃前,我們應(yīng)當(dāng)明白事件響應(yīng)的目標(biāo)是什么?是為了阻止攻擊,減小損失,盡快恢復(fù)網(wǎng)絡(luò)訪問(wèn)正常,還是為了追蹤攻擊者,這應(yīng)當(dāng)從你要具體保護(hù)的網(wǎng)絡(luò)資源來(lái) 確定。在確定事件響應(yīng)目標(biāo)時(shí),應(yīng)當(dāng)明白,確定了事件響應(yīng)目標(biāo),也就基本上確定了事件響應(yīng) 計(jì)劃的具體方向,所有將要展開(kāi)的計(jì)劃制定工作也將圍繞它來(lái)進(jìn)行,也直接關(guān)系到要保護(hù)的 網(wǎng)絡(luò)資源。因此,先明確一個(gè)事件響應(yīng)的目標(biāo),并在執(zhí)行時(shí)嚴(yán)格圍繞它來(lái)進(jìn)行,堅(jiān)決杜絕違 背響應(yīng)目標(biāo)的處理方式出現(xiàn),是關(guān)系到事件響應(yīng)最終效果的關(guān)鍵問(wèn)題之一。應(yīng)當(dāng)注意的是,事件

5、響應(yīng)計(jì)劃的目標(biāo),不是一成不變的,你應(yīng)當(dāng)在制定和實(shí)施的過(guò)程中 不斷地修正它,讓它真正適應(yīng)你的網(wǎng)絡(luò)保護(hù)需要,并且,也不是說(shuō),你只能確定一個(gè)響應(yīng)目 標(biāo),你可以根據(jù)你自身的處理能力,以及投入成本的多少,來(lái)確定一個(gè)或幾個(gè)你所需要的響 應(yīng)目標(biāo),例如,有時(shí)在做到盡快恢復(fù)網(wǎng)絡(luò)正常訪問(wèn)的同時(shí),盡可能地收集證據(jù),分析并找到 攻擊者,并將他(她)繩之以法。3、準(zhǔn)備事件響應(yīng)過(guò)程中所需要的工具軟件對(duì)于計(jì)算機(jī)安全技術(shù)人員來(lái)說(shuō),有時(shí)會(huì)出現(xiàn)三分技術(shù)七分工具情況。不論你的技術(shù)再 好,如果需要時(shí)沒(méi)有相應(yīng)的工具,有時(shí)也只能望洋興嘆。同樣的道理,當(dāng)我們?cè)陧憫?yīng)事件的 過(guò)程當(dāng)中,將會(huì)用到一些工具軟件來(lái)應(yīng)對(duì)相應(yīng)的攻擊方法,我們不可能等到出

6、現(xiàn)了實(shí)際的安 全事件時(shí),才想到要使用什么工具軟件來(lái)進(jìn)行應(yīng)對(duì),然后再去尋找或購(gòu)買(mǎi)這些軟件。這樣一 來(lái),就有可能會(huì)因?yàn)槟骋粋€(gè)工具軟件沒(méi)有準(zhǔn)備好而耽誤處理事件的及時(shí)性,引起事件影響范 圍的擴(kuò)大。因此,事先考慮當(dāng)我們應(yīng)對(duì)安全事件之時(shí),所能夠用得到的工具軟件,將它們?nèi)?部準(zhǔn)備好,不管你通過(guò)什么方法得到,然后用可靠的存儲(chǔ)媒介來(lái)保存這些工具軟件,是非常 有必要的。我們所要準(zhǔn)備的工具軟件主要包括數(shù)據(jù)備份恢復(fù)、網(wǎng)絡(luò)及應(yīng)用軟件漏洞掃描、網(wǎng)絡(luò)及應(yīng) 用軟件攻擊防范,以及日志分析和追蹤等軟件。這些軟件的種類很多,在準(zhǔn)備時(shí),得從你的 實(shí)際情況出發(fā),針對(duì)各種網(wǎng)絡(luò)攻擊方法,以及你的使用習(xí)慣和你能夠承受的成本投入來(lái)決下面列出需

7、要準(zhǔn)備哪些方面的工具軟件:(1) 、系統(tǒng)及數(shù)據(jù)的備份和恢復(fù)軟件。(2) 、系統(tǒng)鏡像軟件。(3) 、文件監(jiān)控及比較軟件。(4) 、各類日志文件分析軟件。(5) 、網(wǎng)絡(luò)分析及嗅探軟件。(6) 、網(wǎng)絡(luò)掃描工具軟件。(7) 、網(wǎng)絡(luò)追捕軟件。(8) 、文件捆綁分析及分離軟件,二進(jìn)制文件分析軟件,進(jìn)程監(jiān)控軟件。(9) 、如有可能,還可以準(zhǔn)備一些反彈木馬軟件。由于涉及到的軟件很多,而且又有應(yīng)用范圍及應(yīng)用平臺(tái)之分,你不可能全部將它們下載 或購(gòu)買(mǎi)回來(lái),這肯定是不夠現(xiàn)實(shí)的。因而在此筆者也不好一一將這些軟件全部羅列出來(lái),但 有幾個(gè)軟件,在事件響應(yīng)當(dāng)中是經(jīng)常用到的,例如,Securebacker備份恢復(fù)軟件,Nikt

8、o網(wǎng)頁(yè)漏洞掃描軟件,Namp網(wǎng)絡(luò)掃描軟件,Tcpdump(WinDump網(wǎng)絡(luò)監(jiān)控軟件,Fport端口監(jiān)測(cè)軟 件,Ntop網(wǎng)絡(luò)通信 監(jiān)視軟 件,RootKitRevealer(Windows 下)文件完 整性檢 查軟件, ArpwatchARP檢測(cè)軟件,OSSECHID入侵檢測(cè)和各種日志分析工具軟件,微軟的BASE分析軟件,SNORT基于網(wǎng)絡(luò)入侵檢測(cè)軟件,SpikeProxy 網(wǎng)站漏洞檢測(cè)軟件,Sara安全評(píng)審助手,NetStumbler是802.11協(xié)議的嗅探工具,以及 Wireshark嗅探軟件等都是應(yīng)該擁有的。還 有一些好用的軟件是操作系統(tǒng)本身帶有的,例如Nbtstat、Ping等等,由于

9、真的太多,就不再在此列出了,其實(shí)上述提到的每個(gè)軟件以及所有需要準(zhǔn)備的軟件,都可以在一些安全類網(wǎng) 站上下載免費(fèi)或試用版本。準(zhǔn)備好這些軟件后,應(yīng)當(dāng)將它們?nèi)客咨票4?。你可以將它們刻錄到光盤(pán)當(dāng)中,也可以 將它們存入移動(dòng)媒體當(dāng)中,并隨身攜帶,這樣,當(dāng)要使用它們時(shí)隨手拿來(lái)就可以了。由于有 些軟件是在不斷的更新當(dāng)中的,而且只有不斷升級(jí)它們才能保證應(yīng)對(duì)最新的攻擊方法,因 此,對(duì)于這些工具軟件,還應(yīng)當(dāng)及時(shí)更新。二、制定事件響應(yīng)計(jì)劃當(dāng)上述準(zhǔn)備工作完成后,我們就可以開(kāi)始著手制定具體的事件響應(yīng)計(jì)劃。在制定時(shí),要 根據(jù)在準(zhǔn)備階段所確立的響應(yīng)目標(biāo)來(lái)進(jìn)行。并且要將制定好的事件響應(yīng)計(jì)劃按一定的格式裝 訂成冊(cè),分發(fā)到每一個(gè)事

10、件響應(yīng)小組成員手中。由于每個(gè)網(wǎng)絡(luò)用戶具體的響應(yīng)目標(biāo)是不相同的,因而就不可能存在任何一個(gè)完全相同的 事件響應(yīng)計(jì)劃。但是,一個(gè)完整的事件響應(yīng)計(jì)劃,下面所列出的內(nèi)容是不可缺少的:(1) 、需要保護(hù)的資產(chǎn);(2) 、所保護(hù)資產(chǎn)的優(yōu)先級(jí);(3) 、事件響應(yīng)的目標(biāo);(4) 、事件處理小組成員及組成結(jié)構(gòu),以及事件處理時(shí)與它方的合作方式;(5) 、事件處理的具體步驟及注意事項(xiàng);(6) 、事件處理完成后文檔編寫(xiě)存檔及上報(bào)方式;(7) 、事件響應(yīng)計(jì)劃的后期維護(hù)方式;(8) 、事件響應(yīng)計(jì)劃的模擬演練計(jì)劃。上述列出項(xiàng)中的第一項(xiàng)和第二項(xiàng)所要說(shuō)明的內(nèi)容應(yīng)該很容易理解,這些在制定安全策略 時(shí)就會(huì)考慮到的,應(yīng)該很容易就能夠完

11、成,還用上述列出項(xiàng)中的第三項(xiàng)和第四項(xiàng),也已經(jīng)在 本文的制定事件響應(yīng)計(jì)劃準(zhǔn)備節(jié)時(shí)說(shuō)明了,就不再在本文中再做詳細(xì)說(shuō)明。至于上述列出項(xiàng) 中的第五、第六、第七和第八項(xiàng),筆者只在此將它們的大概意思列出來(lái),因?yàn)橐谙旅娣謩e 用一個(gè)單獨(dú)的小節(jié),給它們做詳細(xì)的說(shuō)明。在制定事件響應(yīng)計(jì)劃過(guò)程當(dāng)中,還應(yīng)當(dāng)特別注意的是:事件響應(yīng)計(jì)劃要做到盡量詳細(xì)和 條理清晰,以便事件響應(yīng)小組成員能夠很好地明白。這要求,在制定過(guò)程當(dāng)中,應(yīng)當(dāng)從自身 的實(shí)際情況出發(fā),認(rèn)真仔細(xì)地調(diào)查和分析實(shí)際會(huì)出現(xiàn)的各種攻擊事件,組合各種資源,利用 頭腦風(fēng)暴的方法,不斷細(xì)化事件響應(yīng)計(jì)劃中的每一個(gè)具體應(yīng)對(duì)方法,不斷修訂事件響應(yīng)的目 標(biāo),以此來(lái)加強(qiáng)事件響應(yīng)計(jì)劃

12、的可擴(kuò)展性和持續(xù)性,使事件響應(yīng)計(jì)劃真正適應(yīng)實(shí)際的需求 同時(shí),不僅每個(gè)事件響應(yīng)小組的成員都應(yīng)當(dāng)參加進(jìn)來(lái),而且,包括安全產(chǎn)品提供商,各個(gè)合 作伙伴,以及當(dāng)?shù)氐恼块T(mén)和法律機(jī)構(gòu)都應(yīng)當(dāng)考慮進(jìn)來(lái)??傊欢ㄒ獙⑹录憫?yīng)計(jì)劃盡可能地做到與你實(shí)際響應(yīng)目標(biāo)相對(duì)應(yīng)。三、事件響應(yīng)的具體實(shí)施在進(jìn)行事件響應(yīng)之前,你應(yīng)該非常明白一個(gè)道理,就是事件處理時(shí)不能違背你制定的響 應(yīng)目標(biāo),不能在處理過(guò)程中避重就輕。例如,本來(lái)是要盡快恢復(fù)系統(tǒng)運(yùn)行的,你卻只想著如 何去追蹤攻擊者在何方,那么,就算你最終追查到了攻擊者,但此次攻擊所帶來(lái)的影響卻會(huì) 因此而變得更加嚴(yán)重,這樣一來(lái),不僅不能給帶來(lái)什么樣成就感,反而是得不償失的。但如 果你

13、事件響應(yīng)的目標(biāo)本身就是為了追查攻擊者,例如網(wǎng)絡(luò)警察,那么對(duì)如何追蹤攻擊者就應(yīng) 當(dāng)是首要目標(biāo)了。事實(shí)證明,按照事先制定的處理步驟來(lái)對(duì)事件進(jìn)行響應(yīng),能減少處理過(guò)程當(dāng)中的雜亂無(wú) 章,減少操作及判斷失誤而引起的處理不及時(shí),因此,所有事件響應(yīng)小組的成員,不僅要熟 習(xí)整個(gè)事件響應(yīng)計(jì)劃,而且要特別熟練事件處理時(shí)的步驟??傮w來(lái)說(shuō),一個(gè)具體的事件響應(yīng)步驟,應(yīng)當(dāng)包括五個(gè)部分:事件識(shí)別,事件分類,事件 證據(jù)收集,網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù),以及事件處理完成后建檔上報(bào)和保存。現(xiàn)將它 們?cè)敿?xì)說(shuō)明如下:1、事件識(shí)別在整個(gè)事件處理過(guò)程當(dāng)中,這一步是非常重要的,你必需從眾多的信息中,識(shí)別哪些是 真正的攻擊事件,哪些是正常的

14、網(wǎng)絡(luò)訪問(wèn)。事件識(shí)別,不僅要依賴安全軟件及系統(tǒng)所產(chǎn)生的各種日志中的異常記錄項(xiàng)來(lái)做出判斷, 而且也與事件識(shí)別者的技術(shù)水平及經(jīng)驗(yàn)有很大的關(guān)系。這是因?yàn)?,不僅安全軟件有誤報(bào)和漏 報(bào)的現(xiàn)象,而且,攻擊者往往會(huì)在成功入侵后,會(huì)用一切手段來(lái)修改這些日志,以掩蓋他的 行蹤,讓你無(wú)法從日志中得到某些重要的信息。這時(shí),一個(gè)有著豐富經(jīng)驗(yàn)的事件識(shí)別者,就 可以通過(guò)對(duì)網(wǎng)絡(luò)及系統(tǒng)中某種現(xiàn)象的判斷,來(lái)決定是否已經(jīng)受到了攻擊。有了可靠的日志,再加上在受到了攻擊時(shí)會(huì)出現(xiàn)各種異常現(xiàn)象,我們就可以通過(guò)分析這 些日志文件中的記錄項(xiàng),以及對(duì)各種現(xiàn)象的判斷來(lái)確定是否受到了真正的攻擊。因此,如果 日志中出現(xiàn)了下面列出項(xiàng)中的記錄,或網(wǎng)絡(luò)和主

15、機(jī)系統(tǒng)出現(xiàn)了下面列出項(xiàng)中的現(xiàn)象,就一定 表明你所監(jiān)控的網(wǎng)絡(luò)或主機(jī)已經(jīng)或正在面臨著某種類別的攻擊:(1) 、日志文件中記錄有異常的沒(méi)有登錄成功的審計(jì)事件;(2) 、日志文件中有成功登錄的不明賬號(hào)記錄;(3) 、日志文件中存在有異常的修改某些特殊文件的記錄;(4) 、日志文件中存在有某段時(shí)間來(lái)自網(wǎng)絡(luò)的不正常掃描記錄;(5) 、日志文件中存在有在某段時(shí)間啟動(dòng)的不明服務(wù)進(jìn)程的記錄;(6) 、日志文件中存在有特殊用戶權(quán)限被修改或添加了不明用戶賬號(hào)的記錄;(7) 、日志文件中存在有添加了某種不明文件的記錄;(8) 、日志文件中存在有不明軟件主動(dòng)向外連接的記錄;(9) 、查看日志文件屬性時(shí),時(shí)間戳不對(duì),或者

16、日志文件大小與你的記錄不相符(10) 、查看日志文件內(nèi)容時(shí),發(fā)現(xiàn)日志文件中的某個(gè)時(shí)間段不存在或被修改;(11) 、發(fā)現(xiàn)系統(tǒng)反應(yīng)速度變慢,或在某個(gè)時(shí)間段突然變慢,但已經(jīng)排除了系統(tǒng)硬件性能 影響的原因;(12) 、發(fā)現(xiàn)系統(tǒng)中安全軟件被停止,正常服務(wù)被停止;(13) 、發(fā)現(xiàn)網(wǎng)站網(wǎng)頁(yè)被篡改或被刪除替換;(14) 、發(fā)現(xiàn)系統(tǒng)變得不穩(wěn)定,突然死機(jī),系統(tǒng)資源占用過(guò)大,不斷重啟;(15) 、發(fā)現(xiàn)網(wǎng)絡(luò)流量突然增大,查看發(fā)現(xiàn)對(duì)外打開(kāi)了不明端口;(16) 、發(fā)現(xiàn)網(wǎng)卡被設(shè)為混雜模式;(17) 、某些正常服務(wù)不能夠被訪問(wèn)等等。能夠用來(lái)做出判斷異常記錄和異?,F(xiàn)象還有很多,筆者就不在這里全部列出了。這要求 事件響應(yīng)人員應(yīng)當(dāng)

17、不斷學(xué)習(xí),努力提高自身的技術(shù)水平,不斷增加識(shí)別異?,F(xiàn)象的經(jīng)驗(yàn),然 后形成一種適合自己的判斷方法后,再加上日志分析工具以及安全監(jiān)控軟件的幫助,就不難 在這些日志記錄項(xiàng)和現(xiàn)象中找出真正的攻擊事件來(lái)。到目前為止,通過(guò)分析各種日志文件來(lái)識(shí)別事件性質(zhì),依然是最主要的方法之一。你可 以重新設(shè)置這些安全軟件的日志輸出格式,使它們?nèi)菀妆焕斫?;你也可以重新詳?xì)設(shè)置安全軟件的過(guò)濾規(guī)則,減少它們的誤報(bào)和漏報(bào),增加可識(shí)別強(qiáng)度;你還可以使用一些專業(yè)的日志文件分析工具,例如 OSSECHID,S來(lái)加快分析大體積日志文件的速度,提高識(shí)別率,同時(shí)也 會(huì)減輕你的負(fù)擔(dān)。至于擔(dān)心日志會(huì)被攻擊者刪除或修改,你可以將所有的日志文件都保

18、存到 受防火墻保護(hù)的存儲(chǔ)系統(tǒng)之中,來(lái)減少這種風(fēng)險(xiǎn)??傊?,為了能從日志文件中得到我們想要 的信息,就應(yīng)該想法使日志文件以我們需要的方式來(lái)工作。所有這些,都得要求事件響應(yīng)人員在平時(shí)經(jīng)常檢查網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行情況,不斷分析日 志文件中的記錄,查看各種網(wǎng)絡(luò)或系統(tǒng)異?,F(xiàn)象,以便能及時(shí)真正的攻擊事件做出正確的判 斷。另外,你應(yīng)當(dāng)在平時(shí)在對(duì)網(wǎng)絡(luò)系統(tǒng)中的某些對(duì)象進(jìn)行操作時(shí),應(yīng)當(dāng)詳細(xì)記錄下你所操作 過(guò)的所有對(duì)象的內(nèi)容及操作時(shí)間,以便在識(shí)別時(shí)有一個(gè)判斷的依據(jù)。在工作當(dāng)中,經(jīng)常用筆 記錄下這些操作是一個(gè)事件響應(yīng)人員應(yīng)當(dāng)養(yǎng)成的好習(xí)慣。當(dāng)發(fā)現(xiàn)了上述出現(xiàn)的異常記錄或異?,F(xiàn)象,就說(shuō)明攻擊事件已經(jīng)發(fā)生了,因而就可以立 即進(jìn)入到

19、下一個(gè)環(huán)節(jié)當(dāng)中,即對(duì)出現(xiàn)的攻擊事件的嚴(yán)重程度進(jìn)行分類。2、事件分類當(dāng)確認(rèn)已經(jīng)發(fā)現(xiàn)攻擊事件后,就應(yīng)當(dāng)立即對(duì)已經(jīng)出現(xiàn)了的攻擊事件做出嚴(yán)重程度的判 斷,以明確攻擊事件到達(dá)了什么地步,以便決定下一步采取什么樣的應(yīng)對(duì)措施。例如,如果 攻擊事件是涉及到服務(wù)器中的一些機(jī)密數(shù)據(jù),這肯定是非常嚴(yán)重的攻擊事件,就應(yīng)當(dāng)立即斷 開(kāi)受到攻擊的服務(wù)器的網(wǎng)絡(luò)連接,并將其隔離,以防止事態(tài)進(jìn)一步的惡化及影響網(wǎng)絡(luò)中其它 重要主機(jī)。對(duì)攻擊事件進(jìn)行分類,一直以來(lái),都是沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)的,各安全廠商都有他自己 的一套分類方法,因此,你也可以自行對(duì)攻擊事件的嚴(yán)重程度進(jìn)行分類。一般來(lái)說(shuō),可以通 過(guò)確認(rèn)攻擊事件發(fā)展到了什么地步,以及造成了

20、什么樣的后果來(lái)進(jìn)行分類,這樣就可以將攻 擊事件分為以下幾個(gè)類別:(1) 、試探性事件;(2) 、一般性事件;(3) 、控制系統(tǒng)事件;(4) 、拒絕服務(wù)事件;(5) 、得到機(jī)密數(shù)據(jù)事件。對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行試探性掃描,都可以認(rèn)為是試探性質(zhì)的事件,這些都是攻擊者為了 確認(rèn)網(wǎng)絡(luò)中是否有可以被攻擊的主機(jī),而進(jìn)行的最基本的工作。當(dāng)攻擊者確認(rèn)了要攻擊的目 標(biāo)后,他就會(huì)進(jìn)一步地對(duì)攻擊目標(biāo)進(jìn)行更加詳細(xì),更加有目的的掃描,這時(shí),所使用的掃描 方式就會(huì)更加先進(jìn)和不可識(shí)別性,例如半連接式掃描及FIN方式掃描等,這種掃描完成后,就可以找到一些是否可以利用的漏洞信息,由于現(xiàn)在的一些整合性防火墻和IDS也能夠識(shí)別這些方式的

21、掃描,因此,如果在日志文件中找到了與此相應(yīng)的記錄,就表明攻擊已經(jīng)發(fā)展到 了一般性事件的地步了。當(dāng)攻擊者得到可以利用的漏洞信息后,他就會(huì)利用各種手段對(duì)攻擊 目標(biāo)進(jìn)行滲透,這時(shí),如果你沒(méi)有及時(shí)發(fā)現(xiàn),滲透的成功性是非常大的,網(wǎng)絡(luò)中已經(jīng)存在有 太多的這類滲透工具,使用這些工具進(jìn)行滲透工作是輕而易舉的事,在滲透成功后,攻擊者 就會(huì)想法提高自己在攻擊目標(biāo)系統(tǒng)中的權(quán)限,并安裝后門(mén),以便能隨心所欲地控制已經(jīng)滲透 了的目標(biāo),此時(shí),就已經(jīng)發(fā)展到了控制系統(tǒng)的地步。到這里,如果你還沒(méi)有發(fā)現(xiàn)攻擊行為, 那么,你所保護(hù)的機(jī)密資料將有可能被攻擊者完全得到,事態(tài)的嚴(yán)重性就可想而知了。攻擊 者在控制了攻擊目標(biāo)后,有時(shí)也不一定能

22、夠得到機(jī)密數(shù)據(jù),由此而產(chǎn)生一些報(bào)復(fù)性行為,例 如進(jìn)行一些 DOS或 DDOS攻擊等,讓其他正常用戶也不能夠訪問(wèn),或者,攻擊者控制系統(tǒng)的 目的,就是為了對(duì)其它系統(tǒng)進(jìn)行DOS或 DDO敦?fù)?。此時(shí)的你,就應(yīng)該從日志文件的記錄項(xiàng)中,迅速對(duì)攻擊事件發(fā)展到了哪種地步做出明確 的判斷,并及時(shí)上報(bào)小組領(lǐng)導(dǎo),以及通報(bào)給其他小組成員,以便整個(gè)小組中的所有成員能夠 明確此次攻擊事件的嚴(yán)重程度,然后決定采取什么樣的應(yīng)對(duì)方法來(lái)進(jìn)行響應(yīng),以防止事態(tài)向 更加嚴(yán)重的程度發(fā)展,或者盡量減小損失,及時(shí)修補(bǔ)漏洞,恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行,并盡快 收集好所有的證據(jù),以此來(lái)找到攻擊者。3、攻擊事件證據(jù)收集為了能為析攻擊產(chǎn)生的原因及攻擊所產(chǎn)

23、生的破壞,也為了能找到攻擊者,并提供將他繩 之以法的證據(jù),就應(yīng)該在恢復(fù)已被攻擊的系統(tǒng)正常之前,將這些能提供證據(jù)的數(shù)據(jù)全部收集 起來(lái),妥善保存。至于如何收集,這要視你所要收集的證據(jù)的多少及大小,以及收集的速度要求來(lái)定。如 果只收集少量的數(shù)據(jù),你可以通過(guò)簡(jiǎn)單的復(fù)制方法將這些數(shù)據(jù)保存到另外一些安全的存儲(chǔ)媒 介當(dāng)中;如果要收集的數(shù)據(jù)數(shù)量多且體積大,而且要求在極少的時(shí)間來(lái)完成,你就可以通過(guò) 一些專業(yè)的軟件來(lái)進(jìn)行收集。對(duì)于這些收集的數(shù)據(jù)保存到什么樣的存儲(chǔ)媒介之中,也得根據(jù) 所要收集的數(shù)據(jù)要求來(lái)定的,還得看你現(xiàn)在所擁有的存儲(chǔ)媒介有哪些,一般保存到光盤(pán)或磁 帶當(dāng)中為好。具體收集哪些數(shù)據(jù),你可以將你認(rèn)為能夠?yàn)楣?/p>

24、擊事件提供證據(jù)的數(shù)據(jù)全部都收集起來(lái), 也可以只收集其中最重要的部分,下面是一些應(yīng)該收集的數(shù)據(jù)列表:(1) 、操作系統(tǒng)事件日志;(2) 、操作系統(tǒng)審計(jì)日志;(3) 、網(wǎng)絡(luò)應(yīng)用程序日志;(4) 、防火墻日志;(5) 、入侵檢測(cè)日志;(6) 、受損系統(tǒng)及軟件鏡像。在進(jìn)行這一步之前,如果你的首要任務(wù)是將網(wǎng)絡(luò)或系統(tǒng)恢復(fù)正常,為了防止在恢復(fù)系統(tǒng) 備份時(shí)將這些證據(jù)文件丟失,或者你只是想為這些攻擊留個(gè)紀(jì)念,你應(yīng)當(dāng)先使用一些系統(tǒng)鏡 像軟件將整個(gè)系統(tǒng)做一個(gè)鏡像保存后,再進(jìn)行恢復(fù)工作。收集的數(shù)據(jù)不僅是作為指證攻擊者的證據(jù),而且,在事件響應(yīng)完成后,還應(yīng)將它們統(tǒng)計(jì) 建檔,并上報(bào)給相關(guān)領(lǐng)導(dǎo)及其它合作機(jī)構(gòu),例如安全軟件提供

25、商,合作伙伴,以及當(dāng)?shù)氐姆?律機(jī)構(gòu),同時(shí)也可以作為事后分析學(xué)習(xí)之用。因此,這個(gè)事件響應(yīng)操作步驟也是必不可少 的,收集到的數(shù)據(jù)也應(yīng)當(dāng)保存完整。4、網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)在收集完所有的證據(jù)后,就可以將被攻擊影響到的對(duì)象全部恢復(fù)正常運(yùn)行,以便可以正 常使用。是否能夠及時(shí)的恢復(fù)系統(tǒng)到正常狀態(tài),得依靠另一個(gè)安全手段,就是備份恢復(fù)計(jì) 劃,對(duì)于一些大型企業(yè),有時(shí)也被稱為災(zāi)難恢復(fù)計(jì)劃,不管怎么說(shuō),事先對(duì)所保護(hù)的重要數(shù) 據(jù)做一個(gè)安全的備份是一定需要的,它直接影響到事件響應(yīng)過(guò)程中恢復(fù)的及時(shí)性和可能性。在恢復(fù)系統(tǒng)后,你應(yīng)當(dāng)確保系統(tǒng)漏洞已經(jīng)被修補(bǔ)完成,系統(tǒng)已經(jīng)更新了最新的補(bǔ)丁包, 并且已經(jīng)重新對(duì)修補(bǔ)過(guò)的系統(tǒng)做了

26、新的備份,這樣,才能讓這些受到攻擊恢復(fù)正常后的系統(tǒng) 重新連入到網(wǎng)絡(luò)當(dāng)中。如果當(dāng)時(shí)還沒(méi)有最新的安全補(bǔ)丁,而又必需馬上恢復(fù)系統(tǒng)運(yùn)行的話, 你可以先實(shí)施一些針對(duì)性的安全措施,然后再將系統(tǒng)連入到網(wǎng)絡(luò)當(dāng)中,但要時(shí)刻注意,并在 有補(bǔ)丁時(shí)馬上更新它,并重新備份?;謴?fù)的方法及恢復(fù)內(nèi)容的多少,得看你的系統(tǒng)受損的情況來(lái)決定,例如,系統(tǒng)中只是開(kāi) 放了一些不正常的端口,那就沒(méi)有必要恢復(fù)整個(gè)系統(tǒng),只要將這些端口關(guān)閉,然后堵住產(chǎn)生 攻擊的漏洞就可以了。如果系統(tǒng)中的重要文件已經(jīng)被修改或刪除,系統(tǒng)不能正常運(yùn)行,而這 些文件又不能夠被修復(fù),就只能恢復(fù)整個(gè)系統(tǒng)了。恢復(fù)時(shí),即可以通過(guò)手工操作方式來(lái)達(dá)到 恢復(fù)目的,也可以通過(guò)一些專業(yè)

27、的備份恢復(fù)軟件來(lái)進(jìn)行恢復(fù),甚至,在有些大中型企業(yè),由 于數(shù)據(jù)多,而且非常重要,對(duì)系統(tǒng)穩(wěn)定性和連續(xù)性有很高的要求,例如一些網(wǎng)站類企業(yè),就 會(huì)使用一個(gè)備用系統(tǒng),來(lái)提供冗余,當(dāng)一套系統(tǒng)遭到攻擊停運(yùn)后,另一套系統(tǒng)就會(huì)自動(dòng)接替 它運(yùn)行,這樣,就能讓事件響應(yīng)小組人員有足夠多的時(shí)間進(jìn)行各項(xiàng)操作,而且不會(huì)影響到網(wǎng) 絡(luò)系統(tǒng)的正常訪問(wèn)?;謴?fù)在整個(gè)事件處理步驟當(dāng)中是比較獨(dú)特的,將它放在哪一步來(lái)執(zhí)行,你應(yīng)當(dāng)以你的保 護(hù)目標(biāo)來(lái)決定,例如,當(dāng)你保護(hù)的首要目標(biāo)是為了盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)或服務(wù)能夠正常訪問(wèn), 如果有備用系統(tǒng)的,因?yàn)閭溆孟到y(tǒng)已經(jīng)接替受攻擊的系統(tǒng)運(yùn)行了,就可以按上述步驟中的順 序來(lái)進(jìn)行操作,而對(duì)于只有備份文件的,如果

28、想要系統(tǒng)最快速度地恢復(fù)正常運(yùn)行,可以先將 整個(gè)受損系統(tǒng)做一個(gè)鏡像,然后就可以迅速恢復(fù)備份,投入運(yùn)行。其實(shí),任何處理步驟,說(shuō)白了,就只是讓你養(yǎng)成一種對(duì)某種事件處理過(guò)程的通用習(xí)慣性 思維和工作流程而已。5、事件處理過(guò)程的建檔保存在將所有事件都已調(diào)查清楚,系統(tǒng)也恢復(fù)正常運(yùn)行后,你就應(yīng)當(dāng)將所有與這次事件相關(guān) 的所有種種都做一個(gè)詳細(xì)的記錄存檔。建檔的目的有二點(diǎn),一是用來(lái)向上級(jí)領(lǐng)導(dǎo)報(bào)告事件起 因及處理方法,二是用來(lái)做學(xué)習(xí)的例子,用來(lái)分析攻擊者的攻擊方法,以便以后更加有效地 防止此類攻擊事件的發(fā)生。具體要記錄保存的內(nèi)容涉及到整個(gè)事件響應(yīng)過(guò)程,要記錄的內(nèi)容 比較多,而且響應(yīng)過(guò)程有時(shí)比較長(zhǎng),因此,這就要求安全事

29、件響應(yīng)人員在事件處理過(guò)程當(dāng) 中,應(yīng)當(dāng)隨時(shí)記錄下響應(yīng)過(guò)程中發(fā)現(xiàn)的點(diǎn)點(diǎn)滴滴和所有的操作事件,以便建檔時(shí)能使用。建檔格式是可以由你自行來(lái)規(guī)定,沒(méi)有具體的標(biāo)準(zhǔn)的,只要能夠清楚地記錄下所有應(yīng)該 記錄的內(nèi)容就可以了。也可以將文檔做成一式三份,一份上報(bào)領(lǐng)導(dǎo),一份保存,一份用來(lái)分 析學(xué)習(xí)用。也可以將這些文檔交給一些專業(yè)的安全公司和系統(tǒng)及應(yīng)用軟件提供商,以便它們 能夠及時(shí)地了解這種攻擊方法,并發(fā)布相應(yīng)的防范產(chǎn)品和安全補(bǔ)丁包,還可以向一些合作伙 伴通報(bào),讓它們也能夠加強(qiáng)這方面的防范。具體要建檔的內(nèi)容如下所示:(1) 、攻擊發(fā)生在什么時(shí)候,什么時(shí)候發(fā)現(xiàn)的,發(fā)現(xiàn)人是誰(shuí)?(2) 、攻擊者利用的是什么漏洞來(lái)攻擊的,這種漏

30、洞是已經(jīng)發(fā)現(xiàn)了的,還現(xiàn)在才出事的,漏洞的具體類別及數(shù)量?(3) 、攻擊者在系統(tǒng)中進(jìn)行了哪些方面的操作,有哪些數(shù)據(jù)或文件被攻擊者攻擊了(4) 、攻擊的大體發(fā)展順序是怎么進(jìn)行的?(5) 、造成此次事件的關(guān)鍵因素是什么?(6) 、解決此次事件的具體流程是什么?(7) 、攻擊造成了什么后果,嚴(yán)重程度如何,攻擊者得到了什么權(quán)限和數(shù)據(jù)?(8) 、攻擊者是如何突破安全防線的?(9) 、用什么工具軟件解決的 ?(10) 、此次事件在發(fā)現(xiàn)及處理時(shí)有哪些人員參與,上報(bào)給了哪些部門(mén)及人員?(11) 、事件發(fā)生后,損失的恢復(fù)情況如何?(12) 、此次攻擊有了什么新的改變,是否可以預(yù)防和應(yīng)對(duì)?(13) 、以后應(yīng)該如何應(yīng)

31、對(duì)這種安全事件,給出一個(gè)具體的方案附后等等。以上所列出的,都是建檔時(shí)應(yīng)當(dāng)記錄的內(nèi)容。建檔人員可以自由安排記錄的順序,但是 得和事件處理的順序相對(duì)應(yīng),以便讓其它人員更好地理解和學(xué)習(xí)。當(dāng)然,你還可以記錄其它 沒(méi)有在上述項(xiàng)中提到的內(nèi)容,只要你認(rèn)為有記錄下這些內(nèi)容的必要,或者是你的響應(yīng)小組領(lǐng) 導(dǎo)要求記錄下這些內(nèi)容。四、事件響應(yīng)計(jì)劃后期維護(hù)及演練1、事件響應(yīng)計(jì)劃后期維護(hù)制定好一個(gè)事件響應(yīng)計(jì)劃后,就應(yīng)當(dāng)及時(shí)嚴(yán)格地組織實(shí)施,將事件響應(yīng)計(jì)劃束之高格, 或者雖然實(shí)施了但卻從來(lái)不對(duì)它進(jìn)行維護(hù),這些都等同于沒(méi)有一樣,甚至比沒(méi)有時(shí)更壞。這 是因?yàn)?,不斷有新的攻擊手段出現(xiàn),如果你不對(duì)已經(jīng)制定的事件響應(yīng)計(jì)劃做出相應(yīng)調(diào)整的 話,那么,你也就不會(huì)對(duì)這些新的攻擊方法做出正確的響應(yīng),事件響應(yīng)也就沒(méi)有了真正意 義,甚至

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論