安全網(wǎng)管技術(shù)概述第6章網(wǎng)絡(luò)安全事件響應(yīng)

1、安全網(wǎng)管技術(shù)概述1第6章 網(wǎng)絡(luò)安全事件響應(yīng)本章主要內(nèi)容安全事件響應(yīng)簡介風(fēng)險分析事件響應(yīng)方法學(xué)追蹤方法陷阱及偽裝手段2參考資料：參考資料：網(wǎng)絡(luò)安全事件響應(yīng)，段海新等譯，人民郵電出版社3安全事件響應(yīng)簡介計算機(jī)時代初期，獨(dú)立的計算機(jī)非常安全只有物理上接觸計算機(jī)的用戶才有威脅Internet化的今天，安全成了大問題Internet缺乏內(nèi)在的安全機(jī)制（因?yàn)榘踩珯C(jī)制通常是繁瑣的、混亂的、費(fèi)錢的）CERT/CC的成立Computer security incident response team/ Coordination Center :/ 為整個Internet服務(wù)4事件影響計算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行

2、為惡意事件：對系統(tǒng)的破壞、某個網(wǎng)絡(luò)內(nèi)IP包的泛濫、未經(jīng)授權(quán)的訪問、非授權(quán)修改網(wǎng)頁、毀壞數(shù)據(jù)。往往是非計劃發(fā)生的本章不討論與自然災(zāi)害和能源有關(guān)的破壞事件5事件的種類破壞CIA（Confidential、Integrity、Availability）特性的事件竊取機(jī)密信息，篡改數(shù)據(jù)，DoS攻擊其它類型偵察性掃描抵賴-尤其是電子商務(wù)領(lǐng)域傳播色情內(nèi)容欺詐-假的登錄界面竊取密碼愚弄6事件響應(yīng)的工作事件響應(yīng)是事件發(fā)生后采取的措施和行為。通常是阻止和減小事件帶來的影響。行動可能是人為驅(qū)動也可能是由計算機(jī)系統(tǒng)自動完成。事件響應(yīng)不僅僅需要技術(shù)技能，還需要管理能力、法律知識、人際關(guān)系、甚至心理學(xué)等方面的知識和技能

3、7PDR 安全模型策略（Policy）、防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）8需要事件響應(yīng)的理由保護(hù)網(wǎng)絡(luò)安全的困難設(shè)置很嚴(yán)格的安全政策由于成本和實(shí)際約束不可行因此探查安全威脅并迅速恢復(fù)是一個必要的保護(hù)策略注意：有效的事件響應(yīng)可以一定程度彌補(bǔ)安全政策的不足，但是不能完全替代安全政策9風(fēng)險分析計算機(jī)和信息安全，總是與處理風(fēng)險和管理風(fēng)險相關(guān)信息安全實(shí)踐的起點(diǎn)就是風(fēng)險分析風(fēng)險分析確定在計算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失造成的預(yù)期損失如：對一個機(jī)構(gòu)，篡改財務(wù)應(yīng)用程序可能是一種最大的風(fēng)險，其次是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞和中斷，接著是外部侵入的風(fēng)險，以及其他風(fēng)險10風(fēng)險

4、分析風(fēng)險分析可以是定量的或定性的。定量的風(fēng)險分析，用數(shù)字（通常是貨幣數(shù)字）來表示風(fēng)險代表的數(shù)量。風(fēng)險 = 概率X損失如：一年內(nèi)客戶數(shù)據(jù)庫破壞的概率為0.005，一次破壞的損失是1000萬，則風(fēng)險是1000X0.005=5萬定性的風(fēng)險分析，用高、中等、低來決定某種危險的影響11風(fēng)險分析的數(shù)據(jù)來源哪些類型的事件在某個機(jī)構(gòu)經(jīng)常發(fā)生？本機(jī)構(gòu)內(nèi)部發(fā)生事件的相關(guān)數(shù)據(jù)其他機(jī)構(gòu)收集到的事故數(shù)據(jù)如CERT/CC發(fā)布近期事件的小結(jié)脆弱性分析通過掃描，找出系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫的弱點(diǎn)，可以指導(dǎo)風(fēng)險分析12風(fēng)險分析的重要性通過風(fēng)險分析，找出風(fēng)險高的威脅，提前對相關(guān)事件給予更多的關(guān)注和分配更多的資源有了這些準(zhǔn)

5、備，當(dāng)相關(guān)事件出現(xiàn)時，事件的響應(yīng)就會更有效風(fēng)險是動態(tài)的，風(fēng)險分析如果被正確使用也應(yīng)該是動態(tài)的。保持與新的威脅和新的發(fā)展同步是進(jìn)行成功事件緊急響應(yīng)所必不可少的13事件響應(yīng)方法學(xué)6階段事件響應(yīng)方法學(xué)準(zhǔn)備檢測抑制根除恢復(fù)跟蹤縮寫PDCERF14階段1：準(zhǔn)備在事件的發(fā)生前為事件響應(yīng)做好準(zhǔn)備，包含基于威脅建立一組合理的防御/控制措施必須保證用于處理事件的系統(tǒng)和應(yīng)用是安全的建立一組盡可能高效的事件處理程序采取哪些步驟、優(yōu)先級、任務(wù)的分工、可接受的風(fēng)險限制獲得處理問題必須的資源和人員建立一個支持事件響 應(yīng)活動的基礎(chǔ)設(shè)施更新聯(lián)系表非常重要15階段2：檢測對于事件響應(yīng)，檢測和入侵檢測不是同義詞檢測：是否出現(xiàn)了惡

6、意代碼、文件和目錄是否備篡改或者出現(xiàn)其他特征，問題在哪里，影響范圍有多大入侵檢測：確定對系統(tǒng)的非授權(quán)訪問和濫用是否發(fā)生如：病毒的檢測屬于前者檢測包含的范圍比入侵檢測廣事件響應(yīng)過程的其他動作都依賴于檢測，檢測觸發(fā)事件響應(yīng)，因此檢測特別重要16檢測方法依賴相關(guān)軟件病毒檢測軟件、木馬檢測軟件系統(tǒng)完整性檢查軟件通過一些征兆判斷異?；顒樱合掳嘀蟮牡卿?，不活躍或系統(tǒng)缺省賬號活動賬號異常：出現(xiàn)了不是由管理員創(chuàng)建的賬號文件異常：出現(xiàn)了不熟悉的程序、文件，www主頁被修改17初步動作和響應(yīng)當(dāng)發(fā)現(xiàn)異常事件，以下操作可能獲得很高的回報花時間分析異?，F(xiàn)象啟動審計功能或增加審計信息量迅速備份系統(tǒng)，避免攻擊者刪除痕跡記

7、錄發(fā)生的事情18估計事件的范圍檢測到事件后，需要迅速估計事件影響的范圍影響了多少主機(jī)涉及到多大范圍的網(wǎng)絡(luò)侵入到網(wǎng)絡(luò)內(nèi)部有多遠(yuǎn)得到了什么權(quán)限風(fēng)險是什么攻擊者利用的漏洞存在范圍有多大19報告過程確定事件發(fā)生后第一事件通知合法的權(quán)威機(jī)構(gòu)不幸的是，現(xiàn)實(shí)中人們通常不會把信息盡可能的讓需要的人知道 通常是首先通知首席信息安全官報告內(nèi)容：事件的基本信息：攻擊的類型、目的、涉及網(wǎng)絡(luò)攻擊源的信息攻擊的結(jié)果威脅狀態(tài)20階段3：抑制目的：限制攻擊的范圍，限制潛在的損失和破壞抑制的措施可能相對簡單，如一個賬號的多次登錄失敗，簡單封鎖該賬號就可以了抑制策略：完全關(guān)閉所有系統(tǒng)從網(wǎng)絡(luò)上斷開修改防火墻過濾規(guī)則封鎖或刪除有破壞

8、行為的賬號提高系統(tǒng)的監(jiān)控級別關(guān)閉部分服務(wù)21抑制事件抑制的一個基本部分是找到攻擊者或安裝在系統(tǒng)中的惡意程序和后門程序，并進(jìn)行處理，避免攻擊者未經(jīng)授權(quán)再次進(jìn)入系統(tǒng)22階段4：根除目標(biāo)：根除事件的原因找出事件根源并徹底根除，防止發(fā)生同樣的事件如：對病毒：清除內(nèi)存、系統(tǒng)、備份中的所有病毒對木馬：找出并刪除恢復(fù)關(guān)鍵的文件和信息23階段5：恢復(fù)目標(biāo)：把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底地還原到它們正常的任務(wù)狀態(tài)通常的做法：重新安裝系統(tǒng)，然后恢復(fù)數(shù)據(jù)從備份中恢復(fù)整個系統(tǒng)安裝所有操作系統(tǒng)、防火墻的補(bǔ)丁，修補(bǔ)路由器等網(wǎng)絡(luò)設(shè)備的缺陷去除在抑制和根除階段增加的臨時防護(hù)措施24階段6：跟蹤目標(biāo)：回顧并整合發(fā)生事件的相關(guān)

9、信息跟蹤是最有可能被忽略的階段重要性：有助于事件處理人員總結(jié)經(jīng)驗(yàn)，提高技能有助于評價一個組織機(jī)構(gòu)的事件響應(yīng)能力所吸取的任何教訓(xùn)都可以當(dāng)作新成員的培訓(xùn)教材25跟蹤內(nèi)容對每個重要事件進(jìn)行事后的剖析什么時候發(fā)生了什么事事件處理過程中，需要哪些消息，如何得到了這些消息下一次應(yīng)該怎么做最好其他：比如評估事件造成的損失26網(wǎng)絡(luò)攻擊的追蹤含義：廣義的，指確定引發(fā)事件的攻擊者的身份狹義的，找到事件發(fā)生的源頭，大部分情況下是找到事件源頭的IP地址、MAC地址或主機(jī)名注意：IP地址、MAC地址都是可以偽造的27和PDCERF方法學(xué)的關(guān)系在檢測、抑制和根除階段最密切檢測階段：追蹤一個特定IP的事件能幫助判斷網(wǎng)絡(luò)中的

10、流量是否是非法的抑制階段：找到攻擊源有助于采取正確的措施根除階段：如UNIX系統(tǒng)的.文件中的錯誤記錄28追蹤方法搜索引擎攻擊者可能會在某個地方炫耀自己的攻擊經(jīng)歷，甚至?xí)孤┳约旱纳矸輓etstat -an察看當(dāng)前連接，對于Linux系統(tǒng)，netstat可能會被替換，這時cat /proc/net/tcp能看到連接日志數(shù)據(jù)登錄日志、syslog、審計數(shù)據(jù)、防火墻日志為了防止日志數(shù)據(jù)被攻擊者刪除，可以考慮設(shè)置日志服務(wù)器專用于記錄日志29追蹤方法入侵檢測系統(tǒng)的警報和數(shù)據(jù)原始的數(shù)據(jù)包直接在網(wǎng)絡(luò)上抓包對于交換網(wǎng)絡(luò)要預(yù)先考慮好抓包的手段30構(gòu)建“攻擊路徑”攻擊路徑？由于攻擊者可能會把若干臺機(jī)器作為跳板，因此構(gòu)建“攻擊路徑”可能會非常困難31陷阱及偽裝手段陷阱和偽裝手段就是使用模擬的方法，使一個看起來像是真實(shí)的系統(tǒng)、服務(wù)、環(huán)境等，但事實(shí)上它并不是這樣的系統(tǒng)的一些方法。偽裝手段是為了使攻擊及濫用系統(tǒng)和網(wǎng)絡(luò)的人，得到錯誤的信息；或與虛擬的或其他非真實(shí)環(huán)境交互，在這些虛擬或非真實(shí)環(huán)境里，他們無法造成破壞或只能進(jìn)行很小的破壞?！跋葳濉北辉O(shè)計用于吸引攻擊者，并將攻擊者的行為和動作記錄下來?！跋葳濉笔莻窝b手段的一種32“蜜罐” Honey pot