互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作回顧與展望ppt課件

1、我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)平安與應(yīng)急呼應(yīng)開展與現(xiàn)狀國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處置協(xié)調(diào)中心運(yùn)轉(zhuǎn)部 張冰2004.12.24 CERNET2004年會(huì)主題互聯(lián)網(wǎng)網(wǎng)絡(luò)平安面臨艱苦挑戰(zhàn)我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)平安應(yīng)急任務(wù)現(xiàn)狀應(yīng)急組織、戰(zhàn)略和方法互聯(lián)網(wǎng)網(wǎng)絡(luò)平安應(yīng)急任務(wù)展望結(jié)論互聯(lián)網(wǎng)網(wǎng)絡(luò)平安面臨艱苦挑戰(zhàn)網(wǎng)絡(luò)平安破綻大量存在數(shù)據(jù)來源CERT/CC網(wǎng)站網(wǎng)絡(luò)平安破綻大量存在Windows十大平安隱患Web效力器和效力任務(wù)站效力Windows遠(yuǎn)程訪問效力微軟SQL效力器Windows認(rèn)證Web閱讀器文件共享LSAS Exposures電子郵件客戶端 即時(shí)信息Unix十大平安隱患BIND域名系統(tǒng)Web效力器認(rèn)證版本控制系統(tǒng)電子郵件傳輸效力簡(jiǎn)

2、單網(wǎng)絡(luò)管理協(xié)議開放平安銜接通訊層企業(yè)效力NIS/NFS 配置不當(dāng)數(shù)據(jù)庫內(nèi)核來源SANS研討報(bào)告網(wǎng)絡(luò)平安破綻放展趨勢(shì)利用破綻發(fā)動(dòng)攻擊的速度加快：Symantec統(tǒng)計(jì)，2004年上半年，破綻公布到攻擊代碼出現(xiàn)時(shí)間：5.8天要挾程度不斷添加2004年1-6月，有攻擊代碼的破綻中64%屬于高度危險(xiǎn)，36%屬于中度危險(xiǎn)破綻利用分析人員興趣的變化Web運(yùn)用的破綻越來越多Symantec統(tǒng)計(jì)，2004年上半年公布了479個(gè)與Web運(yùn)用有關(guān)的破綻，占總數(shù)的39%病毒、蠕蟲、木馬等在互聯(lián)網(wǎng)上大行其道事例1988年11月：Morris蠕蟲，互聯(lián)網(wǎng)主體癱瘓1989年10月：Wank蠕蟲2001年：紅色代碼、尼姆達(dá)蠕

3、蟲事件2003年：SQL SLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：震蕩波蠕蟲事件相互結(jié)合，危害無窮“紅色代碼將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體CNCERT/CC經(jīng)過抽樣監(jiān)測(cè)發(fā)現(xiàn)，僅2004年上半年，我國(guó)遭到Mydoom蠕蟲、利用RPC破綻和LSASS破綻的幾類主要蠕蟲攻擊的主機(jī)數(shù)目接近200萬臺(tái)網(wǎng)絡(luò)平安呵斥損失越來越大網(wǎng)絡(luò)堵塞SQL SLAMMER：2003年1月25日發(fā)作,呵斥大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓，韓國(guó)網(wǎng)絡(luò)根本處于癱瘓形狀,我國(guó)境內(nèi)感染主機(jī)22600余臺(tái)業(yè)務(wù)停頓2001年的紅色代碼蠕蟲就曾經(jīng)導(dǎo)致航空售票系統(tǒng)癱瘓，旅客滯留機(jī)場(chǎng)的事件類似事件還有網(wǎng)上招生停頓

4、、網(wǎng)上買賣中斷等，要挾生命？呵斥的財(cái)富損失難以估計(jì)，數(shù)字絕非聳人聽聞2001年，尼姆達(dá)蠕蟲呵斥的損失估計(jì)大大超越26億美圓報(bào)道：黑客每年給全世界電腦網(wǎng)絡(luò)帶來的損失估計(jì)高達(dá)100多億美圓切膚之痛？攻擊手段越發(fā)“高超破綻發(fā)布到攻擊出現(xiàn)的時(shí)間越來越短Witty蠕蟲事件花樣翻新，防不勝防尼姆達(dá)蠕蟲：經(jīng)過email、共享網(wǎng)絡(luò)資源、IIS效力器傳播變種速度令人驚嘆黑客：從單打獨(dú)斗到“精誠(chéng)協(xié)作Botnet攻擊程序日益自動(dòng)化、并輟手可得攻擊范圍和時(shí)間的變化全面框架區(qū)域網(wǎng)絡(luò)多個(gè)局域網(wǎng)單個(gè)局域網(wǎng)單個(gè)pc目的和破壞的范圍1980s1990sTodayFuture第一代Boot virusesWeeks第二代Macr

5、o virusesDenial of serviceDays第三代Distributed denial of serviceBlended threatsMinutes下一代Flash threatsMassive worm-driven DDoSDamaging payload wormsSeconds快速變化的要挾攻擊復(fù)雜度與攻擊者的技術(shù)程度高低19801985199019952000猜口令自我復(fù)制程序口令破解攻擊知破綻破壞審計(jì)后門程序干擾通訊手動(dòng)探測(cè)竊聽數(shù)據(jù)包欺騙圖形化界面自動(dòng)掃描回絕效力www攻擊工具攻擊者攻擊者的知識(shí)程度攻擊的復(fù)雜度隱秘且高級(jí)的掃描工具偷竊信息網(wǎng)管探測(cè)分布式攻擊工具新

6、型的跨主機(jī)工具2004年網(wǎng)絡(luò)平安熱點(diǎn)網(wǎng)站仿冒Phishing建立假網(wǎng)站經(jīng)過渣滓郵件發(fā)送效力器大量發(fā)信誘惑用戶訪問運(yùn)用中獎(jiǎng)、系統(tǒng)晉級(jí)等手段誘運(yùn)用戶輸入個(gè)人信息主要針對(duì)銀行和信譽(yù)卡效力機(jī)構(gòu)2004年網(wǎng)絡(luò)平安熱點(diǎn)基于Botnet的網(wǎng)絡(luò)敲詐大量主機(jī)被安裝了BOT黑客可以經(jīng)過IRC效力器實(shí)施控制隨時(shí)能夠發(fā)動(dòng)攻擊BOT可以進(jìn)展晉級(jí)，擴(kuò)展攻擊才干2004年網(wǎng)絡(luò)平安熱點(diǎn)手機(jī)和無線網(wǎng)絡(luò)WLAN的平安2004年，針對(duì)運(yùn)用Symbian的蘭牙手機(jī)的病毒出現(xiàn)針對(duì)運(yùn)用PocketPC的驗(yàn)證性攻擊程序也被發(fā)現(xiàn)手機(jī)功能和操作系統(tǒng)通用性不斷加強(qiáng)，會(huì)有越來越多針對(duì)手機(jī)的攻擊WLAN平安性不斷是其運(yùn)用的關(guān)鍵問題2004年出現(xiàn)了可

7、利用來對(duì)IEEE 1278.11b無線接入點(diǎn)進(jìn)展回絕效力攻擊的破綻我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)平安應(yīng)急任務(wù)現(xiàn)狀國(guó)家整體平安戰(zhàn)略需求國(guó)家信息化指點(diǎn)小組第三次會(huì)議上強(qiáng)調(diào)： “加強(qiáng)信息平安保證任務(wù)，重點(diǎn)在于堅(jiān)持積極防御、綜合防備；全面提高信息平安防護(hù)才干；重點(diǎn)保證信息網(wǎng)絡(luò)和重要信息系統(tǒng)平安；創(chuàng)建平安安康的網(wǎng)絡(luò)環(huán)境；保證和促進(jìn)信息化開展，維護(hù)公眾利益，維護(hù)國(guó)家平安；立足國(guó)情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點(diǎn)；發(fā)揚(yáng)各界積極性，共同構(gòu)筑國(guó)家信息平安保證體系。國(guó)家整體平安戰(zhàn)略需求中辦發(fā)2003 27號(hào)文指出：“信息平安保證任務(wù)的要點(diǎn)在于，實(shí)行信息平安等級(jí)維護(hù)制度，建立基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建立信息平安監(jiān)

8、控體系，注重信息平安應(yīng)急處置任務(wù)，推進(jìn)信息平安技術(shù)研發(fā)與產(chǎn)業(yè)開展，建立信息平安法制與規(guī)范國(guó)家信息平安戰(zhàn)略的近期目的：經(jīng)過五年的努力，根本建成國(guó)家信息平安保證體系。網(wǎng)絡(luò)平安應(yīng)急任務(wù)的根本目的積極預(yù)防及時(shí)發(fā)現(xiàn)快速呼應(yīng)確保恢復(fù)網(wǎng)絡(luò)平安應(yīng)急任務(wù)的根本原那么加強(qiáng)指點(diǎn)一致指揮分工擔(dān)任 積極預(yù)防常備不懈及時(shí)預(yù)警 協(xié)作配合 快速處置確保恢復(fù) 互聯(lián)網(wǎng)網(wǎng)絡(luò)平安應(yīng)急預(yù)案組織體系和職責(zé)明確責(zé)任、組織保證預(yù)警和預(yù)防機(jī)制事件分級(jí)、監(jiān)測(cè)、預(yù)警預(yù)防、平臺(tái)要求應(yīng)急呼應(yīng)分級(jí)呼應(yīng)、及時(shí)通報(bào)/上報(bào)信息、協(xié)調(diào)配合后期處置總結(jié)、獎(jiǎng)懲評(píng)定及表揚(yáng)應(yīng)急保證預(yù)備預(yù)案、隊(duì)伍、培訓(xùn)、經(jīng)費(fèi)、演練、聯(lián)絡(luò)機(jī)制、監(jiān)視檢查、技術(shù)貯藏互聯(lián)網(wǎng)網(wǎng)絡(luò)平安應(yīng)急預(yù)案提出

9、的要求舉例各運(yùn)營(yíng)性互聯(lián)單位配合CNCERT/CC，每天12時(shí)以前采集其互聯(lián)網(wǎng)24小時(shí)內(nèi)的運(yùn)轉(zhuǎn)形狀數(shù)據(jù)發(fā)生二級(jí)/報(bào)警網(wǎng)絡(luò)平安事件，CNCERT/CC要在8小時(shí)內(nèi)提出建議方案；發(fā)生二級(jí)/報(bào)警網(wǎng)絡(luò)平安事件，12小時(shí)要上報(bào)事件動(dòng)態(tài)如何落實(shí)？我國(guó)公共互聯(lián)網(wǎng)應(yīng)急體系從無到有從小到大從弱到強(qiáng)從點(diǎn)到面正面閱歷：2003.SQL Slammer/口令蠕蟲組織：CNCERT/CC；CCERT；各運(yùn)營(yíng)商CERT；國(guó)際組織效率：兩小時(shí)判別情況，半天控制局勢(shì)總結(jié)：應(yīng)急體系發(fā)揚(yáng)了重要作用潛在的問題還有很多CNCERT/CC簡(jiǎn)介國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)協(xié)調(diào)處置中心2000年成立，2003年7月中編辦同意現(xiàn)名英文“Nation

10、al Computer network Emergency Response technical Team/Coordination Center of China職責(zé)和定位“在信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處置協(xié)調(diào)辦公室的直接指點(diǎn)下,擔(dān)任協(xié)調(diào)我國(guó)各計(jì)算機(jī)網(wǎng)絡(luò)平安事件應(yīng)急小組(CERT)共同處置國(guó)家公共互聯(lián)網(wǎng)上的平安緊急事件，為國(guó)家公共互聯(lián)網(wǎng)、國(guó)家主要網(wǎng)絡(luò)信息運(yùn)用系統(tǒng)以及關(guān)鍵部門提供計(jì)算機(jī)網(wǎng)絡(luò)平安的監(jiān)測(cè)、預(yù)警、應(yīng)急、防備等平安效力和技術(shù)支持,及時(shí)搜集、核實(shí)、匯總、發(fā)布有關(guān)互聯(lián)網(wǎng)平安的權(quán)威性信息,組織國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)平安應(yīng)急組織進(jìn)展國(guó)際協(xié)作和交流的組織。目前具備的主要才干大規(guī)模異常事件的發(fā)現(xiàn)才干實(shí)際上確認(rèn)大

11、規(guī)模網(wǎng)絡(luò)平安事件所需求時(shí)間不到原來的非常之一艱苦網(wǎng)絡(luò)平安事件的初步監(jiān)測(cè)分析才干包括感染范圍和速度、控制效果、對(duì)網(wǎng)絡(luò)的影響情況等攻擊事件的分布式自動(dòng)驗(yàn)證拓?fù)浒l(fā)現(xiàn)和定位分析分布式問題網(wǎng)站發(fā)現(xiàn)系統(tǒng)2004年1-10月接到事件報(bào)告情況與國(guó)際應(yīng)急組織親密協(xié)作Global Problem, Global Solution：跨國(guó)進(jìn)展的計(jì)算機(jī)攻擊事件的處置推進(jìn)了國(guó)際應(yīng)急組織的協(xié)作2002年8月，成為FIRST正式成員APCERT開創(chuàng)成員和指點(diǎn)委員會(huì)成員同韓國(guó)、日本、馬來西亞、巴西、澳大利亞多個(gè)國(guó)家CERT組織堅(jiān)持親密的協(xié)作開場(chǎng)與東盟、泛美、歐洲等地域CERT組織建立協(xié)作渠道應(yīng)急組織、戰(zhàn)略和方法一些建議面臨的根

12、本問題如何用合理的投入，使組織面臨的整體網(wǎng)絡(luò)平安風(fēng)險(xiǎn)降低到可以接受的程度平安是相對(duì)的，不是絕對(duì)的不同層面：國(guó)家、企業(yè)、個(gè)人能否真正知道面臨哪些風(fēng)險(xiǎn)？如何描畫風(fēng)險(xiǎn)？平安的程度不是用投入多少來衡量？如何保證整體的平安有明確整體的網(wǎng)絡(luò)平安戰(zhàn)略適宜組織需求的網(wǎng)絡(luò)平安應(yīng)急小組至少應(yīng)該有POC詳細(xì)的規(guī)章、流程、手冊(cè)，并真正得到貫徹建立監(jiān)測(cè)技術(shù)平臺(tái)與應(yīng)急工具庫開展應(yīng)急培訓(xùn)、演練網(wǎng)絡(luò)平安知識(shí)、信息、閱歷積累、共享與交換提高組織和個(gè)人網(wǎng)絡(luò)平安認(rèn)識(shí)一切都要真正得到貫徹和執(zhí)行！網(wǎng)絡(luò)平安應(yīng)急組織根底計(jì)算機(jī)平安事件相應(yīng)小組CSIRT: Computer Security Incident Response Team擔(dān)任

13、在確定的組織范圍內(nèi)，執(zhí)行、協(xié)調(diào)、支持對(duì)計(jì)算機(jī)實(shí)際做出呼應(yīng)的小組CNCERT/CC、CCERT了解組織本身的需求為什么需求CSIRT?組織的現(xiàn)狀?部門之間如何聯(lián)絡(luò)？擔(dān)任人？需求壓服那些關(guān)鍵人物?現(xiàn)有的根底：內(nèi)部的和外部的?事件處置小組？平安流程?平安戰(zhàn)略?法規(guī)?規(guī)范?帶來哪些益處，存在哪些妨礙?CSIRT對(duì)整體整體目的帶來哪些益處？商業(yè)優(yōu)勢(shì)、投資報(bào)答?看看國(guó)外的情況全球應(yīng)急組織論壇亞太應(yīng)急組織歐洲平安事件交換方案事件處置的普通階段第一階段：預(yù)備讓我們嚴(yán)陣以待第二階段：確認(rèn)對(duì)情況綜合判別第三階段：封鎖制止事態(tài)的擴(kuò)展第四階段：根除徹底的補(bǔ)救措施第五階段：恢復(fù)備份，頂上去！第六階段：跟蹤還會(huì)有第二次嗎

14、Handling the Incident恢復(fù)Recovery根除Eradication發(fā)現(xiàn)Identification預(yù)防Preparation控制Containment跟蹤Follow up AnalysisIncident Response Life Cycle第一階段預(yù)備預(yù)防為主協(xié)助效力對(duì)象建立平安政策協(xié)助效力對(duì)象按照平安政策配置平安設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到答應(yīng)，建立監(jiān)控設(shè)備應(yīng)急聯(lián)絡(luò)機(jī)制建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流程和規(guī)范IntranetPhoneWho?What?When?Where?How?Reporting Mechanisms第二階段確認(rèn)確定事件

15、的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處置此事件給予必要的資源確定事件的性質(zhì)誤解？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度估計(jì)采用什么樣的公用資源來修復(fù)？第三階段封鎖即時(shí)采取的行動(dòng)防止進(jìn)一步的損失，確定后果確定適當(dāng)?shù)姆怄i方法咨詢平安政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化可列出假設(shè)干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由效力對(duì)象選擇第四階段根除長(zhǎng)期的補(bǔ)救措施確定緣由，定義征兆分析破綻加強(qiáng)防備消除緣由修正平安政策第五階段恢復(fù)被攻擊的系統(tǒng)由備份來恢復(fù)作一個(gè)新的備份把一切平安上的變卦作備份效力重新上線繼續(xù)監(jiān)控第六階段跟蹤關(guān)注系統(tǒng)恢復(fù)以后的平安情況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對(duì)呼應(yīng)效果給出評(píng)價(jià)網(wǎng)絡(luò)平安應(yīng)急

16、技術(shù)根底入侵檢測(cè)系統(tǒng)調(diào)查分析系統(tǒng)事件描畫與交換系統(tǒng)事件管理系統(tǒng)備份恢復(fù)系統(tǒng)應(yīng)急公用工具(掃描器、補(bǔ)丁管理)網(wǎng)絡(luò)平安管理平臺(tái)(SOC)更多響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場(chǎng)事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)測(cè)與安全審計(jì)評(píng)估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開發(fā)入侵檢測(cè)服務(wù)安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識(shí)教育/培訓(xùn)產(chǎn)品評(píng)估或認(rèn)證應(yīng)急是一種效力應(yīng)急人員的根本素質(zhì)根本的專

17、業(yè)知識(shí)，最好擁有專門的認(rèn)證超強(qiáng)的學(xué)習(xí)才干，跟上網(wǎng)絡(luò)平安事件開展良好的溝通交流才干豐富的事件處置、分析、調(diào)查閱歷撰寫規(guī)范的事件處置報(bào)告的才干互聯(lián)網(wǎng)網(wǎng)絡(luò)平安應(yīng)急任務(wù)展望道高？魔高？攻擊者：發(fā)現(xiàn)破綻編寫攻擊代碼(測(cè)試)執(zhí)行攻擊防御者：發(fā)現(xiàn)破綻發(fā)布音訊開發(fā)補(bǔ)丁程序發(fā)布補(bǔ)丁風(fēng)險(xiǎn)檢查監(jiān)測(cè)攻擊分析惡意代碼控制傳播Propagation Control發(fā)布補(bǔ)丁和工具恢復(fù)被入侵系統(tǒng)晉級(jí)/調(diào)整/評(píng)價(jià)對(duì)手有多快？破綻隨時(shí)被發(fā)現(xiàn)攻擊代碼出現(xiàn)加快:6天甚至更快零日攻擊開場(chǎng)出現(xiàn)10到30分鐘使整個(gè)互聯(lián)網(wǎng)癱瘓?jiān)?jīng)成為能夠Well, how fast can we be, then ?很長(zhǎng)的路要走典型破綻引發(fā)的平安事件數(shù)量變

18、化曲線Time事件數(shù)量發(fā)現(xiàn)破綻公布破綻公布補(bǔ)丁程序?qū)嵤┭a(bǔ)丁安裝CSIRT廠商/協(xié)調(diào)機(jī)構(gòu)職責(zé)劃分CSIRT開場(chǎng)行動(dòng)CSIRT開場(chǎng)行動(dòng)CSIRT開場(chǎng)行動(dòng)CSIRT開場(chǎng)行動(dòng)CSIRT開場(chǎng)行動(dòng)應(yīng)對(duì)大規(guī)模的自動(dòng)攻擊如何對(duì)付DDoS、BotNet等大范圍跨域的大規(guī)模網(wǎng)絡(luò)攻擊？快速控制、清查源頭、徹底去除、調(diào)查取證被利用來進(jìn)展犯罪活動(dòng)，DDoS攻擊呵斥損失越來越大經(jīng)濟(jì)影響和社會(huì)影響如何真正處理這些問題？實(shí)時(shí)跨網(wǎng)防御概念Real-time Inter-network Defense (RID)Trace Security Incidents to the SourceStop or Mitigate the Effects of an Attack or Security IncidentFacilitate Communications between Network ProvidersIntegrate with existing and future network componentsSystems to trace traffic a