CISP-3-應急響應

《CISP-3-應急響應》由會員分享，可在線閱讀，更多相關《CISP-3-應急響應（48頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,cnitsec,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,信息安全管理應急響應,內(nèi)容提要,應急響應服務背景,什么是應急響應,應急響應組的組建,應急響應服務的過程,應急響應服務的形式和內(nèi)容,應急響應服務的指標,應急響應服務案例,應急響應服務背景,應急響應服務的誕生,CERT/CC,1988,年,Morris,蠕蟲事件直接導致了,CERT/CC,的誕生。,美國國防部,(DoD),在卡內(nèi)基梅隆大學的軟件工程研究所成立了計算機應急響應組協(xié)調(diào)中心,(CERT/CC),以協(xié)

2、調(diào),Internet,上的安全事件處理。目前，,CERT/CC,是,DoD,資助下的抗毀性網(wǎng)絡系統(tǒng)計劃,(Networked Systems Survivability Program),的一部分，下設三個部門：事件處理、脆弱性處理、計算機安全應急響應組（,CSIRT,）。,在,CERT/CC,成立之后的,14,年里，共處理了,28,萬多封,Email,，,2,萬多個熱線電話，其運行模式幫助了,80,多個,CSIRT,組織的建設。,應急響應服務背景,CERT/CC,服務的內(nèi)容,安全事件響應,安全事件分析和軟件安全缺陷研究,缺陷知識庫開發(fā),信息發(fā)布：缺陷、公告、總結、統(tǒng)計、補丁、工具,教育與培訓

3、：,CSIRT,管理、,CSIRT,技術培訓、系統(tǒng)和網(wǎng)絡管理員安全培訓,指導其它,CSIRT,（也稱,IRT,、,CERT,）組織建設,內(nèi)容提要,應急響應服務背景,什么是應急響應,應急響應組的組建,應急響應服務的過程,應急響應服務的形式和內(nèi)容,應急響應服務的指標,應急響應服務案例,事件響應,事件響應：對發(fā)生在計算機系統(tǒng)或網(wǎng)絡上的威脅安全的事件進行響應。,事件響應是信息安全生命周期的必要組成部分。這個生命周期包括：對策、檢測和響應。,網(wǎng)絡安全的發(fā)展日新月異，誰也無法實現(xiàn)一勞永逸的安全服務。,應急響應描述,當安全事件發(fā)生需要盡快解決，而一般技術人員又無法迅速處理的時候，就需要安全服務商提供一種發(fā)現(xiàn)

4、問題、解決問題的有效服務手段來解決問題。,這種服務手段可以描述為：客戶的主機或網(wǎng)絡正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當時解決和追查來源時，安全服務商根據(jù)客戶的要求以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。,什么是應急響應,應急響應也叫緊急響應，是安全事件發(fā)生后迅速采取的措施和行動，它是安全事件響應的一種快速實現(xiàn)方式。,應急響應服務是解決網(wǎng)絡系統(tǒng)安全問題的有效安全服務手段之一。,應急響應的目的,應急響應服務的目的是最快速度恢復系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來的影響。,應急響應服務的特點,技術復雜性與專業(yè)性,各種硬件平臺、操作系統(tǒng)、應用軟件,知

5、識經(jīng)驗的依賴性,由,IRT,中的人提供服務，而不是一個硬件或軟件產(chǎn)品,突發(fā)性強,需要廣泛的協(xié)調(diào)與合作,內(nèi)容提要,應急響應服務背景,什么是應急響應,應急響應組的組建,應急響應服務的過程,應急響應服務的形式和內(nèi)容,應急響應服務的指標,應急響應服務案例,應急響應組的組建,什么是應急響應組,（,IRT,）,應急響應組就是一個或更多的個人組成的團隊，能快速執(zhí)行和處理與安全有關的事件的任務。,為什么需要成立應急響應組,容易協(xié)調(diào)響應工作,提高專業(yè)知識,提高效率,提高先期主動防御能力,更加適合于滿足機構的需要,提高聯(lián)絡功能,提高處理制度障礙方面的能力,應急響應組的分類,國際間的協(xié)調(diào)組織,國內(nèi)的協(xié)調(diào)組織,國內(nèi)的

6、協(xié)調(diào)組織,愿意付費的,任何用戶,產(chǎn)品用戶,網(wǎng)絡接入用戶,企業(yè)部門、用戶,商業(yè),IRT,網(wǎng)絡服務提供商,IRT,廠商,IRT,企業(yè),/,政府,IRT,如：綠盟科技,如：,CCERT,如：,Cisco,、,IBM,如：中國銀行、,公安部,如,CERT/CC,FIRST,如,CNCERT/CC,國外應急響應組建設情況,國外安全事件響應組（,CSIRT,）建設情況,FedCIRC,、,BACIRT,、,DFN-CERT,等,DOE CIAC,、,AFCERT,、,NavyCIRT,亞太地區(qū)：,AusCERT,、,SingCERT,等,FIRST,（,1990,）,FIRST,為,IRT,組織、廠商和其

7、他安全專家提供一個論壇，討論安全缺陷、入侵者使用的方法和技巧、建議等，共同的尋找一個可接受的方案。,120,多個正式成員組織，覆蓋,20,多個國家和地區(qū)。,FIRST,的大量工作都是由來自各成員組織的志愿者完成的，從,FIRST,中獲益的比例與,IRT,愿意提供的貢獻成比例。,國內(nèi)應急響應組建設情況,計算機網(wǎng)絡基礎設施已經(jīng)嚴重依賴國外,由于地理、語言、政治等多種因素，安全服務不可能依賴國外的組織,國內(nèi)的應急響應服務組織還處在建設階段,CCERT,（,1999,年,5,月），中國教育科研網(wǎng)緊急響應組,NJCERT,（,1999,年,10,月），,中國教育網(wǎng)華,東（北）,地區(qū)網(wǎng)絡安全,事件,響應組

8、,中國電信,ChinaNet,安全小組,解放軍，公安部,商業(yè)網(wǎng)絡安全服務公司,中國計算機應急響應組,/,協(xié)調(diào)中心,CNCERT/CC,信息產(chǎn)業(yè)部安全管理中心，,2000,年,3,月，北京,國際應急響應組網(wǎng)址,內(nèi)容提要,應急響應服務背景,什么是應急響應,應急響應組的組建,應急響應服務的過程,應急響應服務的形式和內(nèi)容,應急響應服務的指標,應急響應服務案例,應急響應服務的過程,準備,檢測,抑制,根除,恢復,跟蹤,應急響應服務的過程,準備,基于威脅建立一組合理的防御,/,控制措施,建立一組盡可能高效的事件處理程序,獲得處理問題必須的資源和人員,建立一個支持事件響應活動的基礎設施,應急響應服務的過程,檢

9、測,確定事件是已經(jīng)發(fā)生了還是在進行當中,初步動作和響應,選擇檢測工具，分析異?，F(xiàn)象,激活審計功能,迅速備份完整系統(tǒng),記錄所發(fā)生事件,估計安全事件的范圍,應急響應服務的過程,抑制,限制攻擊的范圍，同時限制了潛在的損失和破壞。,抑制策略,完全關閉所有系統(tǒng)；,將網(wǎng)絡斷開；,修改所有防火墻和路由器的過濾規(guī)則，拒絕來自看起來是 發(fā)起攻擊的主機的所有的流量；,封鎖或刪除被攻擊的登錄賬號；,提高系統(tǒng)或網(wǎng)絡行為的監(jiān)控級別；,設置誘餌服務器作為陷阱；,關閉被利用的服務；,反擊攻擊者的系統(tǒng)等。,應急響應服務的過程,根除,安全事件被抑制后，找出事件根源并徹底根除，即根除事件的原因。,應急響應服務的過程,恢復,把所有

10、受侵害或被破壞的系統(tǒng)、應用、數(shù)據(jù)庫等徹底地還原到它們正常的任務狀態(tài)。,應急響應服務的過程,跟蹤,回顧事件處理過程,總結經(jīng)驗教訓,為管理或法律目的收集損失統(tǒng)計信息,建立或補充自己的應急計劃,內(nèi)容提要,應急響應服務背景,什么是應急響應,應急響應組的組建,應急響應服務的過程,應急響應服務的形式和內(nèi)容,應急響應服務的指標,應急響應服務案例,應急響應服務的形式,遠程應急響應服務,本地應急響應服務,遠程應急響應服務,客戶通過電話、,Email,、傳真等方式請求安全事件響應，應急響應組通過相同的方式為客戶解決問題。,經(jīng)與客戶網(wǎng)絡相關人員確認后，客戶方提供主機或設備的臨時支持賬號，由應急響應組遠程登陸主機進行

11、檢測和服務，問題解決后出具詳細的應急響應服務報告。,遠程系統(tǒng)無法登陸，或無法通過遠程訪問的方式替客戶解決問題，客戶確認后，轉(zhuǎn)到本地應急相應流程，同時此次遠程響應無效，歸于本地應急響應類型。,本地應急響應服務,應急響應組在第一時間趕往客戶網(wǎng)絡系統(tǒng)安全事件的事發(fā)地點，在現(xiàn)場為客戶查找事發(fā)原因并解決相應問題，最后出具詳細的應急響應服務報告。,應急響應服務的內(nèi)容,病毒事件響應,系統(tǒng)入侵事件響應,網(wǎng)絡故障事件響應,拒絕服務攻擊事件響應,內(nèi)容提要,應急響應服務背景,什么是應急響應,應急響應組的組建,應急響應服務的過程,應急響應服務的形式和內(nèi)容,應急響應服務的指標,應急響應服務案例,應急響應服務的指標,遠程

12、應急響應服務,在確認客戶的應急響應請求后,2,小時內(nèi)，交與相關應急響應人員進行處理。無論是否解決，進行處理的當天必須返回響應情況的簡報，直到此次響應服務結束。,本地應急響應服務,對本地范圍內(nèi)的客戶，,3-6,小時內(nèi)到達現(xiàn)場；對異地的客戶，,24,小時加路途時間內(nèi)到達現(xiàn)場。,內(nèi)容提要,應急響應服務背景,什么是應急響應,應急響應組的組建,應急響應服務的過程,應急響應服務的形式和內(nèi)容,應急響應服務的指標,應急響應服務案例,應急響應服務案例,國家,XX,局的主機入侵應急響應,XX,證券公司“紅色代碼”病毒事件應急響應,XX,電信,公司網(wǎng)絡拒絕服務攻擊事件應急響應,XX,省教育網(wǎng)拒絕服務攻擊事件應急響應

13、,國家,XX,局應急響應,事件描述,該主機位于國家,XX,局的,X,層計算機辦公室，在,2001,年,11,月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫被刪除記錄的事件，最后該網(wǎng)站管理員認定事件可疑，隨即向國家,XX,局網(wǎng)絡安全管理部門報告。,主機用途,做為國家,XX,局計算中心內(nèi)部網(wǎng)站使用，負責發(fā)布計算中心內(nèi)部信息。操作系統(tǒng),Windows 2000 Server SP2,，網(wǎng)站運行,IIS5,，后臺數(shù)據(jù)庫采用,ACCESS,。,國家,XX,局應急響應,現(xiàn)場分析,主要依據(jù)是服務器的,IIS,日志，利用查找功能在該日志的文件夾里查找是否有被攻擊的行為。,查找漏洞攻擊的關鍵字后發(fā)現(xiàn)沒有找到任何攻擊行為的征兆，只有幾次

14、,NIMUDA,病毒發(fā)作的記錄，和此次攻擊事件無關。然后查找該主機數(shù)據(jù)庫的關鍵字,mynews.mdb,后發(fā)現(xiàn)該數(shù)據(jù)庫曾經(jīng)在,11,月被來自,10.71.1.98 IP,地址的的瀏覽者非法下載。進一步的跟蹤該,IP,地址的瀏覽記錄后發(fā)現(xiàn)，該,IP,地址的訪問者之后曾經(jīng)非法訪問了該網(wǎng)站的在線管理系統(tǒng)。由于攻擊者下載的網(wǎng)站數(shù)據(jù)庫中明文存放著該管理員的管理密碼,經(jīng)和管理員確認后認定來自此,IP,地址的訪問并非遠程管理員，所以初步懷疑為攻擊者。,國家,XX,局應急響應,掃描分析,發(fā)現(xiàn)服務器采用,FAT32,的磁盤格式，建議采用,NTFS,格式的磁盤分區(qū)提供更高的安全可靠性能；,沒有采取端口訪問限制策略

15、，遠程主機可以隨意連接到電腦上的開放端口；,開放的,SNMP,協(xié)議暴露服務器主機的配置和使用情況；,沒有禁止的,IPC,共享連接可以遠程得到主機的網(wǎng)絡和系統(tǒng)配置文件。,國家,XX,局應急響應,原因分析,由于此名攻擊者是直接下載的,xx,局計算中心網(wǎng)站的數(shù)據(jù)庫文件，之前沒有做任何攻擊和猜解嘗試，表明該攻擊者非常熟悉該網(wǎng)站文件和數(shù)據(jù)庫結構，懷疑是內(nèi)部知情人員所為。,響應建議,由于主機的數(shù)據(jù)庫名稱已經(jīng)暴露，所以建議把該數(shù)據(jù)庫文件名稱改為新的名稱；,由于目標主機完全采用的是默認安裝所以建議對該主機做一次全面的安全配置；,建議主機打全最新的安全補?。?嚴格限制該主機的物理訪問權限。,XX,證券公司應急響

16、應,事件描述,2001,年,8,月,10,日下午,4,點,30,分，,XX,證券信息中心緊急電話,:,證券公司網(wǎng)絡傳輸速度緩慢，嚴重影響正常業(yè)務運作。,5,點,10,分，三名應急技術人員到達,xx,證券信息中心機房。,現(xiàn)場分析,通過檢查“冰之眼”入侵檢測系統(tǒng)的日志和使用,網(wǎng)絡監(jiān)聽設備,監(jiān)聽網(wǎng)絡流量，發(fā)現(xiàn)機房中一臺清算業(yè)務的服務器網(wǎng)絡,連接異常，經(jīng)過仔細檢查后，可以做出明確判斷：,XX,證券內(nèi)部網(wǎng)系統(tǒng)已經(jīng)遭受“紅色代碼”蠕蟲的攻擊，有大量,Windows,服務器受到感染，并且正在以非?？斓乃俣冗M行掃描和攻擊，造成網(wǎng)絡堵塞，嚴重影響了網(wǎng)絡傳輸速度。,XX,證券公司應急響應,原因分析,“紅色代碼”蠕蟲不是普通的病毒，不會通過郵件等方式進行傳播，很有可能是因為撥號上網(wǎng)等方式傳播進內(nèi)部網(wǎng)，造成“紅色代碼”蠕蟲在證券內(nèi)部網(wǎng)泛濫，嚴重影響正常的業(yè)務運作。,處理過程,證券信息中心迅速做出反應，通過電話、,Email,等方式，將我公司發(fā)布的關于防范“紅色代碼”蠕蟲的公告發(fā)布給各個營業(yè)部，并限定了問題處理期限。,我公司應急響應人員與信息中心技術人員相互配合，于當晚將信息中心的服務器進行了仔細的檢查，對相關