《CISP-3-應(yīng)急響應(yīng)》由會(huì)員分享����,可在線閱讀,更多相關(guān)《CISP-3-應(yīng)急響應(yīng)(48頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索�。
1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,cnitsec,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,信息安全管理應(yīng)急響應(yīng),內(nèi)容提要,應(yīng)急響應(yīng)服務(wù)背景,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)組的組建,應(yīng)急響應(yīng)服務(wù)的過程,應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容,應(yīng)急響應(yīng)服務(wù)的指標(biāo),應(yīng)急響應(yīng)服務(wù)案例,應(yīng)急響應(yīng)服務(wù)背景,應(yīng)急響應(yīng)服務(wù)的誕生,CERT/CC,1988,年,Morris,蠕蟲事件直接導(dǎo)致了,CERT/CC,的誕生����。,美國(guó)國(guó)防部,(DoD),在卡內(nèi)基梅隆大學(xué)的軟件工程研究所成立了計(jì)算機(jī)應(yīng)急響應(yīng)組協(xié)調(diào)中心,(CERT/CC),以協(xié)
2、調(diào),Internet,上的安全事件處理�。目前,,CERT/CC,是,DoD,資助下的抗毀性網(wǎng)絡(luò)系統(tǒng)計(jì)劃,(Networked Systems Survivability Program),的一部分����,下設(shè)三個(gè)部門:事件處理、脆弱性處理�、計(jì)算機(jī)安全應(yīng)急響應(yīng)組(,CSIRT,)。,在,CERT/CC,成立之后的,14,年里�,共處理了,28,萬多封,Email,,,2,萬多個(gè)熱線電話��,其運(yùn)行模式幫助了,80,多個(gè),CSIRT,組織的建設(shè)���。,應(yīng)急響應(yīng)服務(wù)背景,CERT/CC,服務(wù)的內(nèi)容,安全事件響應(yīng),安全事件分析和軟件安全缺陷研究,缺陷知識(shí)庫(kù)開發(fā),信息發(fā)布:缺陷���、公告、總結(jié)��、統(tǒng)計(jì)����、補(bǔ)丁、工具,教育與培訓(xùn)
3��、:,CSIRT,管理�����、,CSIRT,技術(shù)培訓(xùn)���、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn),指導(dǎo)其它,CSIRT,(也稱,IRT,���、,CERT,)組織建設(shè),內(nèi)容提要,應(yīng)急響應(yīng)服務(wù)背景,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)組的組建,應(yīng)急響應(yīng)服務(wù)的過程,應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容,應(yīng)急響應(yīng)服務(wù)的指標(biāo),應(yīng)急響應(yīng)服務(wù)案例,事件響應(yīng),事件響應(yīng):對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。,事件響應(yīng)是信息安全生命周期的必要組成部分����。這個(gè)生命周期包括:對(duì)策�����、檢測(cè)和響應(yīng)�。,網(wǎng)絡(luò)安全的發(fā)展日新月異�����,誰也無法實(shí)現(xiàn)一勞永逸的安全服務(wù)��。,應(yīng)急響應(yīng)描述,當(dāng)安全事件發(fā)生需要盡快解決����,而一般技術(shù)人員又無法迅速處理的時(shí)候,就需要安全服務(wù)商提供一種發(fā)現(xiàn)
4���、問題��、解決問題的有效服務(wù)手段來解決問題�。,這種服務(wù)手段可以描述為:客戶的主機(jī)或網(wǎng)絡(luò)正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡�����,而又無法當(dāng)時(shí)解決和追查來源時(shí)�����,安全服務(wù)商根據(jù)客戶的要求以最快的速度趕到現(xiàn)場(chǎng)����,協(xié)助客戶解決問題,查找后門�,保存證據(jù)和追查來源。,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)也叫緊急響應(yīng)�����,是安全事件發(fā)生后迅速采取的措施和行動(dòng)����,它是安全事件響應(yīng)的一種快速實(shí)現(xiàn)方式。,應(yīng)急響應(yīng)服務(wù)是解決網(wǎng)絡(luò)系統(tǒng)安全問題的有效安全服務(wù)手段之一�。,應(yīng)急響應(yīng)的目的,應(yīng)急響應(yīng)服務(wù)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性����,阻止和減小安全事件帶來的影響。,應(yīng)急響應(yīng)服務(wù)的特點(diǎn),技術(shù)復(fù)雜性與專業(yè)性,各種硬件平臺(tái)�����、操作系統(tǒng)、應(yīng)用軟件,知
5����、識(shí)經(jīng)驗(yàn)的依賴性,由,IRT,中的人提供服務(wù),而不是一個(gè)硬件或軟件產(chǎn)品,突發(fā)性強(qiáng),需要廣泛的協(xié)調(diào)與合作,內(nèi)容提要,應(yīng)急響應(yīng)服務(wù)背景,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)組的組建,應(yīng)急響應(yīng)服務(wù)的過程,應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容,應(yīng)急響應(yīng)服務(wù)的指標(biāo),應(yīng)急響應(yīng)服務(wù)案例,應(yīng)急響應(yīng)組的組建,什么是應(yīng)急響應(yīng)組,(,IRT,),應(yīng)急響應(yīng)組就是一個(gè)或更多的個(gè)人組成的團(tuán)隊(duì)�����,能快速執(zhí)行和處理與安全有關(guān)的事件的任務(wù)��。,為什么需要成立應(yīng)急響應(yīng)組,容易協(xié)調(diào)響應(yīng)工作,提高專業(yè)知識(shí),提高效率,提高先期主動(dòng)防御能力,更加適合于滿足機(jī)構(gòu)的需要,提高聯(lián)絡(luò)功能,提高處理制度障礙方面的能力,應(yīng)急響應(yīng)組的分類,國(guó)際間的協(xié)調(diào)組織,國(guó)內(nèi)的協(xié)調(diào)組織,國(guó)內(nèi)的
6��、協(xié)調(diào)組織,愿意付費(fèi)的,任何用戶,產(chǎn)品用戶,網(wǎng)絡(luò)接入用戶,企業(yè)部門��、用戶,商業(yè),IRT,網(wǎng)絡(luò)服務(wù)提供商,IRT,廠商,IRT,企業(yè),/,政府,IRT,如:綠盟科技,如:,CCERT,如:,Cisco,����、,IBM,如:中國(guó)銀行、,公安部,如,CERT/CC,FIRST,如,CNCERT/CC,國(guó)外應(yīng)急響應(yīng)組建設(shè)情況,國(guó)外安全事件響應(yīng)組(,CSIRT,)建設(shè)情況,FedCIRC,���、,BACIRT,����、,DFN-CERT,等,DOE CIAC,�、,AFCERT,�、,NavyCIRT,亞太地區(qū):,AusCERT,�����、,SingCERT,等,FIRST,(,1990,),FIRST,為,IRT,組織�、廠商和其
7���、他安全專家提供一個(gè)論壇��,討論安全缺陷��、入侵者使用的方法和技巧���、建議等,共同的尋找一個(gè)可接受的方案����。,120,多個(gè)正式成員組織,覆蓋,20,多個(gè)國(guó)家和地區(qū)��。,FIRST,的大量工作都是由來自各成員組織的志愿者完成的��,從,FIRST,中獲益的比例與,IRT,愿意提供的貢獻(xiàn)成比例����。,國(guó)內(nèi)應(yīng)急響應(yīng)組建設(shè)情況,計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)嚴(yán)重依賴國(guó)外,由于地理�����、語言����、政治等多種因素�,安全服務(wù)不可能依賴國(guó)外的組織,國(guó)內(nèi)的應(yīng)急響應(yīng)服務(wù)組織還處在建設(shè)階段,CCERT,(,1999,年,5,月),中國(guó)教育科研網(wǎng)緊急響應(yīng)組,NJCERT,(,1999,年,10,月)����,,中國(guó)教育網(wǎng)華,東(北),地區(qū)網(wǎng)絡(luò)安全,事件,響應(yīng)組
8、,中國(guó)電信,ChinaNet,安全小組,解放軍�,公安部,商業(yè)網(wǎng)絡(luò)安全服務(wù)公司,中國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)組,/,協(xié)調(diào)中心,CNCERT/CC,信息產(chǎn)業(yè)部安全管理中心,,2000,年,3,月���,北京,國(guó)際應(yīng)急響應(yīng)組網(wǎng)址,內(nèi)容提要,應(yīng)急響應(yīng)服務(wù)背景,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)組的組建,應(yīng)急響應(yīng)服務(wù)的過程,應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容,應(yīng)急響應(yīng)服務(wù)的指標(biāo),應(yīng)急響應(yīng)服務(wù)案例,應(yīng)急響應(yīng)服務(wù)的過程,準(zhǔn)備,檢測(cè),抑制,根除,恢復(fù),跟蹤,應(yīng)急響應(yīng)服務(wù)的過程,準(zhǔn)備,基于威脅建立一組合理的防御,/,控制措施,建立一組盡可能高效的事件處理程序,獲得處理問題必須的資源和人員,建立一個(gè)支持事件響應(yīng)活動(dòng)的基礎(chǔ)設(shè)施,應(yīng)急響應(yīng)服務(wù)的過程,檢
9��、測(cè),確定事件是已經(jīng)發(fā)生了還是在進(jìn)行當(dāng)中,初步動(dòng)作和響應(yīng),選擇檢測(cè)工具��,分析異?�,F(xiàn)象,激活審計(jì)功能,迅速備份完整系統(tǒng),記錄所發(fā)生事件,估計(jì)安全事件的范圍,應(yīng)急響應(yīng)服務(wù)的過程,抑制,限制攻擊的范圍��,同時(shí)限制了潛在的損失和破壞�����。,抑制策略,完全關(guān)閉所有系統(tǒng)��;,將網(wǎng)絡(luò)斷開��;,修改所有防火墻和路由器的過濾規(guī)則�����,拒絕來自看起來是 發(fā)起攻擊的主機(jī)的所有的流量����;,封鎖或刪除被攻擊的登錄賬號(hào)���;,提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別���;,設(shè)置誘餌服務(wù)器作為陷阱;,關(guān)閉被利用的服務(wù)�����;,反擊攻擊者的系統(tǒng)等。,應(yīng)急響應(yīng)服務(wù)的過程,根除,安全事件被抑制后���,找出事件根源并徹底根除��,即根除事件的原因�����。,應(yīng)急響應(yīng)服務(wù)的過程,恢復(fù),把所有
10����、受侵害或被破壞的系統(tǒng)�、應(yīng)用、數(shù)據(jù)庫(kù)等徹底地還原到它們正常的任務(wù)狀態(tài)����。,應(yīng)急響應(yīng)服務(wù)的過程,跟蹤,回顧事件處理過程,總結(jié)經(jīng)驗(yàn)教訓(xùn),為管理或法律目的收集損失統(tǒng)計(jì)信息,建立或補(bǔ)充自己的應(yīng)急計(jì)劃,內(nèi)容提要,應(yīng)急響應(yīng)服務(wù)背景,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)組的組建,應(yīng)急響應(yīng)服務(wù)的過程,應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容,應(yīng)急響應(yīng)服務(wù)的指標(biāo),應(yīng)急響應(yīng)服務(wù)案例,應(yīng)急響應(yīng)服務(wù)的形式,遠(yuǎn)程應(yīng)急響應(yīng)服務(wù),本地應(yīng)急響應(yīng)服務(wù),遠(yuǎn)程應(yīng)急響應(yīng)服務(wù),客戶通過電話、,Email,�����、傳真等方式請(qǐng)求安全事件響應(yīng)�����,應(yīng)急響應(yīng)組通過相同的方式為客戶解決問題。,經(jīng)與客戶網(wǎng)絡(luò)相關(guān)人員確認(rèn)后��,客戶方提供主機(jī)或設(shè)備的臨時(shí)支持賬號(hào)�����,由應(yīng)急響應(yīng)組遠(yuǎn)程登陸主機(jī)進(jìn)行
11����、檢測(cè)和服務(wù),問題解決后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報(bào)告�����。,遠(yuǎn)程系統(tǒng)無法登陸����,或無法通過遠(yuǎn)程訪問的方式替客戶解決問題����,客戶確認(rèn)后,轉(zhuǎn)到本地應(yīng)急相應(yīng)流程�����,同時(shí)此次遠(yuǎn)程響應(yīng)無效,歸于本地應(yīng)急響應(yīng)類型�。,本地應(yīng)急響應(yīng)服務(wù),應(yīng)急響應(yīng)組在第一時(shí)間趕往客戶網(wǎng)絡(luò)系統(tǒng)安全事件的事發(fā)地點(diǎn),在現(xiàn)場(chǎng)為客戶查找事發(fā)原因并解決相應(yīng)問題�����,最后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報(bào)告�����。,應(yīng)急響應(yīng)服務(wù)的內(nèi)容,病毒事件響應(yīng),系統(tǒng)入侵事件響應(yīng),網(wǎng)絡(luò)故障事件響應(yīng),拒絕服務(wù)攻擊事件響應(yīng),內(nèi)容提要,應(yīng)急響應(yīng)服務(wù)背景,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)組的組建,應(yīng)急響應(yīng)服務(wù)的過程,應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容,應(yīng)急響應(yīng)服務(wù)的指標(biāo),應(yīng)急響應(yīng)服務(wù)案例,應(yīng)急響應(yīng)服務(wù)的指標(biāo),遠(yuǎn)程
12��、應(yīng)急響應(yīng)服務(wù),在確認(rèn)客戶的應(yīng)急響應(yīng)請(qǐng)求后,2,小時(shí)內(nèi)�,交與相關(guān)應(yīng)急響應(yīng)人員進(jìn)行處理。無論是否解決�,進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡(jiǎn)報(bào),直到此次響應(yīng)服務(wù)結(jié)束����。,本地應(yīng)急響應(yīng)服務(wù),對(duì)本地范圍內(nèi)的客戶,,3-6,小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)�����;對(duì)異地的客戶,,24,小時(shí)加路途時(shí)間內(nèi)到達(dá)現(xiàn)場(chǎng)����。,內(nèi)容提要,應(yīng)急響應(yīng)服務(wù)背景,什么是應(yīng)急響應(yīng),應(yīng)急響應(yīng)組的組建,應(yīng)急響應(yīng)服務(wù)的過程,應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容,應(yīng)急響應(yīng)服務(wù)的指標(biāo),應(yīng)急響應(yīng)服務(wù)案例,應(yīng)急響應(yīng)服務(wù)案例,國(guó)家,XX,局的主機(jī)入侵應(yīng)急響應(yīng),XX,證券公司“紅色代碼”病毒事件應(yīng)急響應(yīng),XX,電信,公司網(wǎng)絡(luò)拒絕服務(wù)攻擊事件應(yīng)急響應(yīng),XX,省教育網(wǎng)拒絕服務(wù)攻擊事件應(yīng)急響應(yīng)
13、,國(guó)家,XX,局應(yīng)急響應(yīng),事件描述,該主機(jī)位于國(guó)家,XX,局的,X,層計(jì)算機(jī)辦公室��,在,2001,年,11,月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫(kù)被刪除記錄的事件����,最后該網(wǎng)站管理員認(rèn)定事件可疑,隨即向國(guó)家,XX,局網(wǎng)絡(luò)安全管理部門報(bào)告���。,主機(jī)用途,做為國(guó)家,XX,局計(jì)算中心內(nèi)部網(wǎng)站使用��,負(fù)責(zé)發(fā)布計(jì)算中心內(nèi)部信息��。操作系統(tǒng),Windows 2000 Server SP2,�����,網(wǎng)站運(yùn)行,IIS5,,后臺(tái)數(shù)據(jù)庫(kù)采用,ACCESS,�。,國(guó)家,XX,局應(yīng)急響應(yīng),現(xiàn)場(chǎng)分析,主要依據(jù)是服務(wù)器的,IIS,日志,利用查找功能在該日志的文件夾里查找是否有被攻擊的行為�����。,查找漏洞攻擊的關(guān)鍵字后發(fā)現(xiàn)沒有找到任何攻擊行為的征兆,只有幾次
14���、,NIMUDA,病毒發(fā)作的記錄��,和此次攻擊事件無關(guān)���。然后查找該主機(jī)數(shù)據(jù)庫(kù)的關(guān)鍵字,mynews.mdb,后發(fā)現(xiàn)該數(shù)據(jù)庫(kù)曾經(jīng)在,11,月被來自,10.71.1.98 IP,地址的的瀏覽者非法下載。進(jìn)一步的跟蹤該,IP,地址的瀏覽記錄后發(fā)現(xiàn)�,該,IP,地址的訪問者之后曾經(jīng)非法訪問了該網(wǎng)站的在線管理系統(tǒng)。由于攻擊者下載的網(wǎng)站數(shù)據(jù)庫(kù)中明文存放著該管理員的管理密碼,經(jīng)和管理員確認(rèn)后認(rèn)定來自此,IP,地址的訪問并非遠(yuǎn)程管理員���,所以初步懷疑為攻擊者�。,國(guó)家,XX,局應(yīng)急響應(yīng),掃描分析,發(fā)現(xiàn)服務(wù)器采用,FAT32,的磁盤格式��,建議采用,NTFS,格式的磁盤分區(qū)提供更高的安全可靠性能�����;,沒有采取端口訪問限制策略
15�����、,遠(yuǎn)程主機(jī)可以隨意連接到電腦上的開放端口�����;,開放的,SNMP,協(xié)議暴露服務(wù)器主機(jī)的配置和使用情況��;,沒有禁止的,IPC,共享連接可以遠(yuǎn)程得到主機(jī)的網(wǎng)絡(luò)和系統(tǒng)配置文件����。,國(guó)家,XX,局應(yīng)急響應(yīng),原因分析,由于此名攻擊者是直接下載的,xx,局計(jì)算中心網(wǎng)站的數(shù)據(jù)庫(kù)文件,之前沒有做任何攻擊和猜解嘗試����,表明該攻擊者非常熟悉該網(wǎng)站文件和數(shù)據(jù)庫(kù)結(jié)構(gòu),懷疑是內(nèi)部知情人員所為��。,響應(yīng)建議,由于主機(jī)的數(shù)據(jù)庫(kù)名稱已經(jīng)暴露�,所以建議把該數(shù)據(jù)庫(kù)文件名稱改為新的名稱;,由于目標(biāo)主機(jī)完全采用的是默認(rèn)安裝所以建議對(duì)該主機(jī)做一次全面的安全配置����;,建議主機(jī)打全最新的安全補(bǔ)丁�;,嚴(yán)格限制該主機(jī)的物理訪問權(quán)限。,XX,證券公司應(yīng)急響
16����、應(yīng),事件描述,2001,年,8,月,10,日下午,4,點(diǎn),30,分,,XX,證券信息中心緊急電話,:,證券公司網(wǎng)絡(luò)傳輸速度緩慢���,嚴(yán)重影響正常業(yè)務(wù)運(yùn)作���。,5,點(diǎn),10,分,三名應(yīng)急技術(shù)人員到達(dá),xx,證券信息中心機(jī)房��。,現(xiàn)場(chǎng)分析,通過檢查“冰之眼”入侵檢測(cè)系統(tǒng)的日志和使用,網(wǎng)絡(luò)監(jiān)聽設(shè)備,監(jiān)聽網(wǎng)絡(luò)流量���,發(fā)現(xiàn)機(jī)房中一臺(tái)清算業(yè)務(wù)的服務(wù)器網(wǎng)絡(luò),連接異常��,經(jīng)過仔細(xì)檢查后����,可以做出明確判斷:,XX,證券內(nèi)部網(wǎng)系統(tǒng)已經(jīng)遭受“紅色代碼”蠕蟲的攻擊��,有大量,Windows,服務(wù)器受到感染���,并且正在以非?��?斓乃俣冗M(jìn)行掃描和攻擊��,造成網(wǎng)絡(luò)堵塞��,嚴(yán)重影響了網(wǎng)絡(luò)傳輸速度���。,XX,證券公司應(yīng)急響應(yīng),原因分析,“紅色代碼”蠕蟲不是普通的病毒,不會(huì)通過郵件等方式進(jìn)行傳播�,很有可能是因?yàn)閾芴?hào)上網(wǎng)等方式傳播進(jìn)內(nèi)部網(wǎng),造成“紅色代碼”蠕蟲在證券內(nèi)部網(wǎng)泛濫�����,嚴(yán)重影響正常的業(yè)務(wù)運(yùn)作���。,處理過程,證券信息中心迅速做出反應(yīng)�,通過電話���、,Email,等方式��,將我公司發(fā)布的關(guān)于防范“紅色代碼”蠕蟲的公告發(fā)布給各個(gè)營(yíng)業(yè)部���,并限定了問題處理期限。,我公司應(yīng)急響應(yīng)人員與信息中心技術(shù)人員相互配合,于當(dāng)晚將信息中心的服務(wù)器進(jìn)行了仔細(xì)的檢查�,對(duì)相關(guān)
CISP-3-應(yīng)急響應(yīng)
