事件響應與應急處理

第五章事件響應與應急處理主講：劉承良2008年3月第五章信息安全管理第1節(jié)檢測與迷惑黑客第2節(jié)蜜罐技術(shù)第3節(jié)事件響應第4節(jié)安全事件的預防與事件報告第5節(jié)應急響應體系第6節(jié)應急響應過程第7節(jié)參考資料應急響應的概念“應急響應”對應的英文是“IncidentResponse”或“EmergencyResponse”等，通常是指一個組織為了應對各種意外事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施應急響應的活動應該主要包括兩個方面：未雨綢繆和亡羊補牢操作系統(tǒng)漏洞統(tǒng)計

操作系統(tǒng)漏洞增長趨勢安全應急響應服務(wù)背景應急響應服務(wù)的誕生1988年Morris蠕蟲事件直接導致了CERT的誕生CERT服務(wù)的內(nèi)容安全事件響應安全事件分析和軟件安全缺陷研究缺陷知識庫開發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計、補丁、工具教育與培訓：CSIRT管理、CSIRT技術(shù)培訓、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓指導其它CSIRT（也稱IRT、CERT）組織建設(shè)未雨綢繆未雨綢繆即在事件發(fā)生前事先做好準備，比如風險評估、制定安全計劃、安全意識的培訓、以發(fā)布安全通告的方式進行的預警、以及各種防范措施以前介紹的內(nèi)容多屬于未雨綢繆亡羊補牢亡羊補牢即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最小本章介紹的主要內(nèi)容多為亡羊補牢檢查與迷惑黑客前期檢測自動安全掃描使用登陸腳本自動審計分析Checksum分析迷惑黑客虛假帳號虛假文件懲罰黑客：Chargen服務(wù)的利用蜜罐技術(shù)蜜罐的定義和功能蜜罐的應用Jail蜜罐的由來引子：1986年8月，加州大學伯克利分校一位天文學家發(fā)現(xiàn)他實驗室一臺電腦的帳戶上少了75美分計算機取證學（ComputerForensics）的誕生與發(fā)展計算機跟蹤追擊學是指用來發(fā)現(xiàn)，保存和分析計算機系統(tǒng)上黑客留下的蛛絲馬跡的整套工具和技術(shù)聲勢最浩大的公開“蜜罐”行動要數(shù)“蜜網(wǎng)”（honeynet）計劃蜜罐的定義蜜罐是模擬存在漏洞的系統(tǒng)，為攻擊者提供攻擊目標蜜罐在網(wǎng)絡(luò)中沒有任何用途，因此任何連接都是可能的攻擊由蜜罐的引申和擴展，以及全球針對蜜罐技術(shù)研究的組織化，很快Honeynet應運而生蜜罐的功能蜜罐最初的目的之一是為起訴惡意黑客搜集證據(jù)，但是在一些國家中，是不能利用蜜罐收集證據(jù)起訴黑客的通過建立一個蜜罐網(wǎng)絡(luò)，可以將黑客的注意力從合法的系統(tǒng)上分散開，從而跟蹤并了解大量的有關(guān)這些懷有惡意的黑客的情況蜜罐網(wǎng)絡(luò)的其它信息，可以在/～lspitz/motives上查找蜜罐的應用陷井和蜜罐程序一般分為兩種：一種是只發(fā)現(xiàn)入侵者而不對其采取報復行動，另一種是同時采取報復行動可以根據(jù)系統(tǒng)情況自由搭配，但必須保證蜜罐系統(tǒng)和其它節(jié)點是互相獨立的創(chuàng)建一個蜜罐系統(tǒng)首先選擇平臺（Unix或Windows）確定對象－－“攻擊者”系統(tǒng)準備，獲得輔助軟件系統(tǒng)安裝注意：建議以虛擬機方式安裝JailJails是一個可單獨創(chuàng)建的系統(tǒng)，并且用來延遲黑客行動Jails通常故意地提供一些錯誤的信息，讓管理員有時間檢測和抓住這些黑客Jails有可能成為危險的黑客活動的樂園，主要是因為黑客可能攻破Jail并進入真正的系統(tǒng)中去事件響應原則提前準備作好記錄分析形勢阻斷和牽制黑客活動安全事件的預防應用系統(tǒng)完整性檢查工具COPS（theComputerOracleandPasswordSystem）CrackIfstatusMD5TigertripwireTripwire1992年，還在Purdue大學COAST實驗室的GeneH.Kim和EugeneH.Spafford開發(fā)了tripwire這個工具監(jiān)視一些重要的文件和目錄發(fā)生的任何改變完整性校驗方面，Tripwire對系統(tǒng)中的全部或是部分文件建立并維護一個消息摘要算法生成的數(shù)字簽名數(shù)據(jù)庫，其目的是檢查未經(jīng)授權(quán)的添加、刪除或修改文件的行為事件報告書明確三個要點應急的對象是什么？應急響應做什么？應急響應由誰來做？事件控制保護現(xiàn)場：斷開網(wǎng)絡(luò)連接，保護事發(fā)現(xiàn)場，然后詳細記錄下面相關(guān)事項現(xiàn)場控制根除問題恢復：整個事件處理過程的目的就是要恢復或重構(gòu)系統(tǒng)總結(jié)經(jīng)驗教訓應急響應體系遏制事態(tài)發(fā)展－－控制了解入侵響應過程入侵事件響應策略和程序的建立響應行為的優(yōu)先級和順序響應行為的權(quán)威性入侵響應的資源應急響應過程事件響應的準備工作確定入侵特征發(fā)現(xiàn)異常組織通報收集和保護相關(guān)資料調(diào)用暫時解決方案消除入侵路徑恢復系統(tǒng)判定為入侵排除入侵可能怎樣從被攻破的系統(tǒng)中恢復（1）重新獲得控制權(quán)從網(wǎng)絡(luò)中斷開備份被攻破的系統(tǒng)鏡像分析入侵尋找被修改的程序或配置文件#find/\(-perm-004000-o-perm-002000\)-typef-print尋找被修改的數(shù)據(jù)，如webpages,尋找入侵者留下的工具和數(shù)據(jù)sniffer,TrojanHorses,backdoor檢查日志文件messages,xferlog,utmp,wtmp,~/.history怎樣從被攻破的系統(tǒng)中恢復（2）尋找sniffer:cpm,ifstatus/advisories/CA-94.01.work.monitoring.attacks.html檢查其他的系統(tǒng)是否也被入侵與相關(guān)的IRT聯(lián)系報告,申請援助、調(diào)查通知相關(guān)站點恢復安裝一份干凈的操作系統(tǒng)關(guān)掉所有不必要的服務(wù)安裝所有的補丁怎樣從被攻破的系統(tǒng)中恢復（3）查閱IRT相關(guān)的公告謹慎使用數(shù)據(jù)備份修改所有用戶口令提高系統(tǒng)的安全性根據(jù)UNIX/NT的安全配置指南文件檢查系統(tǒng)安全性/tech_tips/unix_configuration_guidelines.html.au/Information/Auscert_info/Papers/win_configuration_guidelines.html檢查工具與文檔安裝安全工具激活記賬功能配置防火墻怎樣從被攻破的系統(tǒng)中恢復（4）重新連接到INTERNET更新的安全政策記錄從事件中吸取的教訓計算損失修改安全策略國內(nèi)安全事件響應組織建設(shè)情況計算機網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)嚴重依賴國外由于地理、語言、政治等多種因素，安全服務(wù)不可能依賴國外的組織國內(nèi)的應急響應服務(wù)還處在起步階段CCERT（1999年5月），中國第一個安全事件響應組織NJCERT（1999年10月）中國電信ChinaNet安全小組解放軍，公安部安全救援服務(wù)公司中國計算機應急響應組/協(xié)調(diào)中心CNCERT/CC信息產(chǎn)業(yè)部安全管理中心，2000年3月，北京安全應急響應組的分類國際間的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織愿意付費的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提供商IRT廠商IRT企業(yè)/政府IRT如：安全服務(wù)公司如：CCERT如：cisco,IBM如：中國銀行、公安部如CERT/CC,FIRST如CNCERT/CC安全應急響應服務(wù)組織的服務(wù)內(nèi)容CSIRT的服務(wù)內(nèi)容應急響應安全公告咨詢風險評估入侵檢測教育與培訓追蹤與恢復安全應急響應服務(wù)的特點技術(shù)復雜性與專業(yè)性各種硬件平臺、操作系統(tǒng)、應用軟件知識經(jīng)驗的依賴性由IRT中的人提供服務(wù)，而不是一個硬件或軟件產(chǎn)品；突發(fā)