安全網(wǎng)管技術(shù)概述第6章網(wǎng)絡(luò)安全事件響應(yīng)_第1頁
安全網(wǎng)管技術(shù)概述第6章網(wǎng)絡(luò)安全事件響應(yīng)_第2頁
安全網(wǎng)管技術(shù)概述第6章網(wǎng)絡(luò)安全事件響應(yīng)_第3頁
安全網(wǎng)管技術(shù)概述第6章網(wǎng)絡(luò)安全事件響應(yīng)_第4頁
安全網(wǎng)管技術(shù)概述第6章網(wǎng)絡(luò)安全事件響應(yīng)_第5頁
已閱讀5頁,還剩28頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、安全網(wǎng)管技術(shù)概述1第6章 網(wǎng)絡(luò)安全事件響應(yīng)本章主要內(nèi)容安全事件響應(yīng)簡介風(fēng)險分析事件響應(yīng)方法學(xué)追蹤方法陷阱及偽裝手段2參考資料:參考資料:網(wǎng)絡(luò)安全事件響應(yīng),段海新等譯,人民郵電出版社3安全事件響應(yīng)簡介計算機(jī)時代初期,獨(dú)立的計算機(jī)非常安全只有物理上接觸計算機(jī)的用戶才有威脅Internet化的今天,安全成了大問題Internet缺乏內(nèi)在的安全機(jī)制(因?yàn)榘踩珯C(jī)制通常是繁瑣的、混亂的、費(fèi)錢的)CERT/CC的成立Computer security incident response team/ Coordination Center :/ 為整個Internet服務(wù)4事件影響計算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行

2、為惡意事件:對系統(tǒng)的破壞、某個網(wǎng)絡(luò)內(nèi)IP包的泛濫、未經(jīng)授權(quán)的訪問、非授權(quán)修改網(wǎng)頁、毀壞數(shù)據(jù)。往往是非計劃發(fā)生的本章不討論與自然災(zāi)害和能源有關(guān)的破壞事件5事件的種類破壞CIA(Confidential、Integrity、Availability)特性的事件竊取機(jī)密信息,篡改數(shù)據(jù),DoS攻擊其它類型偵察性掃描抵賴-尤其是電子商務(wù)領(lǐng)域傳播色情內(nèi)容欺詐-假的登錄界面竊取密碼愚弄6事件響應(yīng)的工作事件響應(yīng)是事件發(fā)生后采取的措施和行為。通常是阻止和減小事件帶來的影響。行動可能是人為驅(qū)動也可能是由計算機(jī)系統(tǒng)自動完成。事件響應(yīng)不僅僅需要技術(shù)技能,還需要管理能力、法律知識、人際關(guān)系、甚至心理學(xué)等方面的知識和技能

3、7PDR 安全模型策略(Policy)、防護(hù)(Protection)、檢測(Detection)、響應(yīng)(Response)8需要事件響應(yīng)的理由保護(hù)網(wǎng)絡(luò)安全的困難設(shè)置很嚴(yán)格的安全政策由于成本和實(shí)際約束不可行因此探查安全威脅并迅速恢復(fù)是一個必要的保護(hù)策略注意:有效的事件響應(yīng)可以一定程度彌補(bǔ)安全政策的不足,但是不能完全替代安全政策9風(fēng)險分析計算機(jī)和信息安全,總是與處理風(fēng)險和管理風(fēng)險相關(guān)信息安全實(shí)踐的起點(diǎn)就是風(fēng)險分析風(fēng)險分析確定在計算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失造成的預(yù)期損失如:對一個機(jī)構(gòu),篡改財務(wù)應(yīng)用程序可能是一種最大的風(fēng)險,其次是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞和中斷,接著是外部侵入的風(fēng)險,以及其他風(fēng)險10風(fēng)險

4、分析風(fēng)險分析可以是定量的或定性的。定量的風(fēng)險分析,用數(shù)字(通常是貨幣數(shù)字)來表示風(fēng)險代表的數(shù)量。風(fēng)險 = 概率X損失如:一年內(nèi)客戶數(shù)據(jù)庫破壞的概率為0.005,一次破壞的損失是1000萬,則風(fēng)險是1000X0.005=5萬定性的風(fēng)險分析,用高、中等、低來決定某種危險的影響11風(fēng)險分析的數(shù)據(jù)來源哪些類型的事件在某個機(jī)構(gòu)經(jīng)常發(fā)生?本機(jī)構(gòu)內(nèi)部發(fā)生事件的相關(guān)數(shù)據(jù)其他機(jī)構(gòu)收集到的事故數(shù)據(jù)如CERT/CC發(fā)布近期事件的小結(jié)脆弱性分析通過掃描,找出系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫的弱點(diǎn),可以指導(dǎo)風(fēng)險分析12風(fēng)險分析的重要性通過風(fēng)險分析,找出風(fēng)險高的威脅,提前對相關(guān)事件給予更多的關(guān)注和分配更多的資源有了這些準(zhǔn)

5、備,當(dāng)相關(guān)事件出現(xiàn)時,事件的響應(yīng)就會更有效風(fēng)險是動態(tài)的,風(fēng)險分析如果被正確使用也應(yīng)該是動態(tài)的。保持與新的威脅和新的發(fā)展同步是進(jìn)行成功事件緊急響應(yīng)所必不可少的13事件響應(yīng)方法學(xué)6階段事件響應(yīng)方法學(xué)準(zhǔn)備檢測抑制根除恢復(fù)跟蹤縮寫PDCERF14階段1:準(zhǔn)備在事件的發(fā)生前為事件響應(yīng)做好準(zhǔn)備,包含基于威脅建立一組合理的防御/控制措施必須保證用于處理事件的系統(tǒng)和應(yīng)用是安全的建立一組盡可能高效的事件處理程序采取哪些步驟、優(yōu)先級、任務(wù)的分工、可接受的風(fēng)險限制獲得處理問題必須的資源和人員建立一個支持事件響 應(yīng)活動的基礎(chǔ)設(shè)施更新聯(lián)系表非常重要15階段2:檢測對于事件響應(yīng),檢測和入侵檢測不是同義詞檢測:是否出現(xiàn)了惡

6、意代碼、文件和目錄是否備篡改或者出現(xiàn)其他特征,問題在哪里,影響范圍有多大入侵檢測:確定對系統(tǒng)的非授權(quán)訪問和濫用是否發(fā)生如:病毒的檢測屬于前者檢測包含的范圍比入侵檢測廣事件響應(yīng)過程的其他動作都依賴于檢測,檢測觸發(fā)事件響應(yīng),因此檢測特別重要16檢測方法依賴相關(guān)軟件病毒檢測軟件、木馬檢測軟件系統(tǒng)完整性檢查軟件通過一些征兆判斷異?;顒樱合掳嘀蟮牡卿?,不活躍或系統(tǒng)缺省賬號活動賬號異常:出現(xiàn)了不是由管理員創(chuàng)建的賬號文件異常:出現(xiàn)了不熟悉的程序、文件,www主頁被修改17初步動作和響應(yīng)當(dāng)發(fā)現(xiàn)異常事件,以下操作可能獲得很高的回報花時間分析異?,F(xiàn)象啟動審計功能或增加審計信息量迅速備份系統(tǒng),避免攻擊者刪除痕跡記

7、錄發(fā)生的事情18估計事件的范圍檢測到事件后,需要迅速估計事件影響的范圍影響了多少主機(jī)涉及到多大范圍的網(wǎng)絡(luò)侵入到網(wǎng)絡(luò)內(nèi)部有多遠(yuǎn)得到了什么權(quán)限風(fēng)險是什么攻擊者利用的漏洞存在范圍有多大19報告過程確定事件發(fā)生后第一事件通知合法的權(quán)威機(jī)構(gòu)不幸的是,現(xiàn)實(shí)中人們通常不會把信息盡可能的讓需要的人知道 通常是首先通知首席信息安全官報告內(nèi)容:事件的基本信息:攻擊的類型、目的、涉及網(wǎng)絡(luò)攻擊源的信息攻擊的結(jié)果威脅狀態(tài)20階段3:抑制目的:限制攻擊的范圍,限制潛在的損失和破壞抑制的措施可能相對簡單,如一個賬號的多次登錄失敗,簡單封鎖該賬號就可以了抑制策略:完全關(guān)閉所有系統(tǒng)從網(wǎng)絡(luò)上斷開修改防火墻過濾規(guī)則封鎖或刪除有破壞

8、行為的賬號提高系統(tǒng)的監(jiān)控級別關(guān)閉部分服務(wù)21抑制事件抑制的一個基本部分是找到攻擊者或安裝在系統(tǒng)中的惡意程序和后門程序,并進(jìn)行處理,避免攻擊者未經(jīng)授權(quán)再次進(jìn)入系統(tǒng)22階段4:根除目標(biāo):根除事件的原因找出事件根源并徹底根除,防止發(fā)生同樣的事件如:對病毒:清除內(nèi)存、系統(tǒng)、備份中的所有病毒對木馬:找出并刪除恢復(fù)關(guān)鍵的文件和信息23階段5:恢復(fù)目標(biāo):把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底地還原到它們正常的任務(wù)狀態(tài)通常的做法:重新安裝系統(tǒng),然后恢復(fù)數(shù)據(jù)從備份中恢復(fù)整個系統(tǒng)安裝所有操作系統(tǒng)、防火墻的補(bǔ)丁,修補(bǔ)路由器等網(wǎng)絡(luò)設(shè)備的缺陷去除在抑制和根除階段增加的臨時防護(hù)措施24階段6:跟蹤目標(biāo):回顧并整合發(fā)生事件的相關(guān)

9、信息跟蹤是最有可能被忽略的階段重要性:有助于事件處理人員總結(jié)經(jīng)驗(yàn),提高技能有助于評價一個組織機(jī)構(gòu)的事件響應(yīng)能力所吸取的任何教訓(xùn)都可以當(dāng)作新成員的培訓(xùn)教材25跟蹤內(nèi)容對每個重要事件進(jìn)行事后的剖析什么時候發(fā)生了什么事事件處理過程中,需要哪些消息,如何得到了這些消息下一次應(yīng)該怎么做最好其他:比如評估事件造成的損失26網(wǎng)絡(luò)攻擊的追蹤含義:廣義的,指確定引發(fā)事件的攻擊者的身份狹義的,找到事件發(fā)生的源頭,大部分情況下是找到事件源頭的IP地址、MAC地址或主機(jī)名注意:IP地址、MAC地址都是可以偽造的27和PDCERF方法學(xué)的關(guān)系在檢測、抑制和根除階段最密切檢測階段:追蹤一個特定IP的事件能幫助判斷網(wǎng)絡(luò)中的

10、流量是否是非法的抑制階段:找到攻擊源有助于采取正確的措施根除階段:如UNIX系統(tǒng)的.文件中的錯誤記錄28追蹤方法搜索引擎攻擊者可能會在某個地方炫耀自己的攻擊經(jīng)歷,甚至?xí)孤┳约旱纳矸輓etstat -an察看當(dāng)前連接,對于Linux系統(tǒng),netstat可能會被替換,這時cat /proc/net/tcp能看到連接日志數(shù)據(jù)登錄日志、syslog、審計數(shù)據(jù)、防火墻日志為了防止日志數(shù)據(jù)被攻擊者刪除,可以考慮設(shè)置日志服務(wù)器專用于記錄日志29追蹤方法入侵檢測系統(tǒng)的警報和數(shù)據(jù)原始的數(shù)據(jù)包直接在網(wǎng)絡(luò)上抓包對于交換網(wǎng)絡(luò)要預(yù)先考慮好抓包的手段30構(gòu)建“攻擊路徑”攻擊路徑?由于攻擊者可能會把若干臺機(jī)器作為跳板,因此構(gòu)建“攻擊路徑”可能會非常困難31陷阱及偽裝手段陷阱和偽裝手段就是使用模擬的方法,使一個看起來像是真實(shí)的系統(tǒng)、服務(wù)、環(huán)境等,但事實(shí)上它并不是這樣的系統(tǒng)的一些方法。偽裝手段是為了使攻擊及濫用系統(tǒng)和網(wǎng)絡(luò)的人,得到錯誤的信息;或與虛擬的或其他非真實(shí)環(huán)境交互,在這些虛擬或非真實(shí)環(huán)境里,他們無法造成破壞或只能進(jìn)行很小的破壞?!跋葳濉北辉O(shè)計用于吸引攻擊者,并將攻擊者的行為和動作記錄下來?!跋葳濉笔莻窝b手段的一種32“蜜罐” Honey pot

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論