計算機安全事件處理指南

計算機安全大事處理指南計算機安全大事處理指南〔一〕：預備和預防安全大事響應過程從啟動預備工作到大事后分析可以分為幾個階段。 啟動階段包括建立和培訓安全大事響應小組并獲得必要的工具和資源。在預備工作中，組織也要以風險評估的結果為根底，通過選擇和實施一套把握措施來限制安全大事的發(fā)生次數(shù)。但是即使在實施了安全把握措施后，剩余風險照舊不行避開，而且沒有哪種把握措施是確定安全的， 所以對破壞網(wǎng)絡安全的行為要進行檢測，一旦安全大事發(fā)生要對組織發(fā)岀報警。針對安全大事的嚴峻程度，組織可以實行行動，通過對安全大事進展限制并最終從中恢復來減緩安全大事所造成的影響。 在安全大事得到適當處理后，組織要提交一份報告，具體描述安全大事的起因、造成的損失以及以后對這類安全大事所應實行的防范措施和步驟。圖 1描述了安全大事響應的生命周期。1:安全大事響應生命周期1、預備安全大事響應方法學通常都要強調(diào)預備工作，不僅要建立一個安全大事響應力氣，使組織能夠冷靜響應安全大事，而且要通過確保系統(tǒng)、網(wǎng)絡及應用足夠安全來預防安全大事。

雖然預防安全大事一般不屬于安全大事響應小組的職責， 但是由于它太重要了，以至于現(xiàn)在它已經(jīng)被認為是安全大事響應小組的根底組件工作。

在提出系統(tǒng)安全保護建議時，

安全大事響應小組的專長橙測和分析橙測和分析限消退復和按制是格外有價值的。本節(jié)將針對安全大事處理及預防的預備工作供給指導。預備處理安全大事表1列出了在安全大事處理過程中一些有價值的工具和資源。可以看到對安全大事分析有用的具體軟件信息以及一些包含對安全大事響應有幫助的信息的網(wǎng)站清單。1安全大事處理人員所需工具和資源工具工具/資源安全大事處理人員通信及設施聯(lián)系信息用于小組成員及組織內(nèi)部和外部的其它人員〔包括主要聯(lián)系人和后備人員〕，比方執(zhí)法機構和其它安全大事響應小組；這些信息可能包括號碼、電子郵件地址、公鑰〔依據(jù)下面將要提到的加密軟件〕、以及驗證聯(lián)系人碼、電子郵件地址、公鑰〔依據(jù)下面將要提到的加密軟件〕、以及驗證聯(lián)系人身份的指令安全大事報告機制比方號碼、郵件地址和是網(wǎng)上表格，用戶可以用它們來報告可以大事；至少要有一種方法允許用戶可以用匿名方式報告大事傳呼機或移動小組成員要隨身攜帶的通信工具，保證成員在非工作時間也能聯(lián)系得到。加密軟件被用于小組成員之間在組織內(nèi)部、以及和外部機構之間的通信，必須承受經(jīng)作戰(zhàn)指揮室用于集中式通信和協(xié)調(diào)；假設不需要永久性的作戰(zhàn)指揮室，安全大事響應小組應當制定一個流程用來在需要時獲得一個臨時的作戰(zhàn)指揮室。安全存儲設施用于保護證據(jù)和其它敏感信息安全大事分析硬件和軟件計算機取證工作站計算機取證工作站［1］和/或備份設備用于創(chuàng)立磁盤映象、保存日志文件、保存安全大事其它相關數(shù)據(jù)筆記本計算機由于這種計算機便于攜帶，可用于數(shù)據(jù)分析、監(jiān)聽數(shù)據(jù)包及編寫報告?zhèn)溆霉ぷ髡?、效勞器及網(wǎng)絡設備這些設備可應用于很多用途，比方用備份來恢復系統(tǒng)、測試惡意代碼；假設小組難以推斷額外設備的費用，可以使用現(xiàn)有的試驗設備，或者用操作系統(tǒng)仿真軟件來建立虛擬試驗室空白介質(zhì)比方軟盤、只讀CDDVD便攜式打印機用于從非網(wǎng)絡連接系統(tǒng)中打印日志文件和其它證據(jù)副本。數(shù)據(jù)包監(jiān)聽和協(xié)議分析器捕獲并分析可能包含有大事證據(jù)的網(wǎng)絡流量計算機取證軟件用于分析磁盤映象，查找安全大事證據(jù)軟盤和光盤存放有程序牢靠版本的軟盤和光盤，可用它們從系統(tǒng)中收集證據(jù)證據(jù)收集關心設備通過包括筆記本計算機、數(shù)字像機、錄音機、證據(jù)存放袋和標簽、證據(jù)磁帶等來保護證據(jù)，以備可能發(fā)生的法律行動安全大事分析資源文檔包括操作系統(tǒng)、應用、協(xié)議、入侵檢測特征碼、病毒特征碼的文檔。網(wǎng)絡拓撲圖和關鍵資產(chǎn)清單比方WEB效勞器、郵件效勞器、FTP效勞器。工具/資源基線預期網(wǎng)絡、系統(tǒng)和應用的行為的基線。關鍵文件的加密hash提高安全大事的分析、驗證和消退速度介質(zhì)包括操作系統(tǒng)引導盤和介質(zhì)包括操作系統(tǒng)引導盤和CD、操作系統(tǒng)介質(zhì)及應用介質(zhì)備份映像存儲在二級介質(zhì)上的操作系統(tǒng)、應用和數(shù)據(jù)。很多安全大事響應小組都創(chuàng)立了一個簡便工具箱 〔jumpkit〕,一般是一個輕松的袋子或箱子，里面裝有安全大事處理人員在異地調(diào)查時可能需要的東西。 這種工具箱隨時可用，這樣在發(fā)生嚴重大事時，安全大事處理人員可以拿起來就走， 工具箱中配備了很多表1中所列出的東西。比方每個工具箱中一般都有一臺筆記本計算機并安裝了適當?shù)能浖?〔如包監(jiān)聽和計算機取證等〕 。其它重要材料包括備份設備、空白介質(zhì)、根本網(wǎng)絡設備和線纜以及操作系統(tǒng)和應用介質(zhì)和補丁。 這種工具箱主要是為了工作便利， 所以工具箱中的東西一般不要外借， 還要留意保證工具箱中工具得到不斷升級和更〔比方筆記本計算機要常常安裝的安全補丁，更操作系統(tǒng)介質(zhì)〕。組織要在創(chuàng)立預防安全大事將安全大事發(fā)生次數(shù)保持在一個合理的數(shù)量之下是格外重要的。假設安全把握措施不充分，就可能發(fā)生大量安全大事，超出安全大事響應小組的力氣， 這將使安全大事響應緩慢和響應不完全，從而對組織造成更大的負面業(yè)務影響 〔比方導致更大的破壞、或?qū)е赂L時間的效勞或數(shù)據(jù)中斷〕。一個改善組織的安全生態(tài)并預防安全大事的合理方法是定期對系統(tǒng)和應用進展風險評估。這些評估應當確定威逼和弱點合在一起會帶來什么樣的風險?？梢员粶p緩、轉移或直到到達一個合理的總體風險級別時承受它。

承受或至少檢查一樣組織〔認真負責的〕的把握策略可以供給合理的信念保證， 即別人的哪些工作應當用在本組織里。常常性地進展風險評估另外一個好處就是確定關鍵資源，使人們可以重點對其進展監(jiān)視和響應。組織不能以認為某些資源不重要為借口來無視其安全性， 由于組織安全水平和其最薄弱環(huán)節(jié)一樣。需要留意是，無論風險評估多么有效，它反映的也只是當前的風險而已。由于的威逼和弱點層岀不窮，所以計算機安全是一個持續(xù)的、 要求工作有效的過程。就保護網(wǎng)絡、系統(tǒng)及應用提出具體建議超出了本文檔的爭論范圍。盡管安全大事響應小組一般不負責保護資源，但它可以提出合理的安全實踐。 其它一些文檔中在總體安全概念中、 操作系統(tǒng)和具體應用指南方面給岀了一些建議。行簡要介紹：

下面對網(wǎng)絡、系統(tǒng)和應用方面的一些主要建議實踐進補丁治理很多信息安全專家都同意很大局部安全大事是由于利用了系統(tǒng)和應用中數(shù)量相對較少的弱點所致。大型組織應當落實補丁治理工程來幫助系統(tǒng)治理員確定、承受補丁。

獲得、測試并主機安全全部主機都應當被適當加固。除了保證對主機打上正確的補丁外，還應當對主機進展配置，只允許對適當?shù)挠脩艉椭鳈C開放盡可能少的效勞， 即最小特權原則。對于那些擔憂全的缺省配置〔比方缺省口令、擔憂全的共享〕進展重置。當用戶試圖通過訪問受保護資源時，要顯示一個警告橫幅。主機應當翻開審計功能，并記錄與安全相關的重大大事作系統(tǒng)和應用配置指南來幫助治理員全都且有效地保護主機。

很多組織使用操動才被允許。這包括保護全部的連接點，比方調(diào)制解調(diào)器、織的專線連接。惡意代碼預防應當在整個組織內(nèi)承受能檢測和阻擋惡意代碼

VPN及到其它組〔如病毒、蠕蟲和特洛伊木馬〕的軟件。應當在主機級〔如效勞器和工作站操作系統(tǒng)〕、應用效勞器級〔如郵件效勞器、WEB弋理〕和應用客戶級〔如郵件客戶端和即時通信客戶端〕 落實惡意代碼保護。用戶意識和培訓用戶應當了解正常使用網(wǎng)絡、 系統(tǒng)和應用的政策和流程， 從以前安全大事中吸取的閱歷教訓應當和用戶共享，這樣他們可以看到他們的行為是如何對組織產(chǎn)生影響的。提高用戶對安全大事的意識應當可以削減安全大事的頻率， 尤其是那些惡意代碼和違反安全政策的大事。應當培訓IT人員，使他們能夠依據(jù)本組織的安全標準來維護網(wǎng)絡、系統(tǒng)和應用。計算機安全大事處理指南〔二〕：檢測和分析圖1:安全大事響應生命周期〔檢測和分析〕1、安全大事分類安全大事的發(fā)生的方式多種多樣，所以想要制定一個具體的綜合流程來處理每一件安全大事是不切實際的。組織能做的最好程度就是從總體上預備處理任何類型的安全大事，

對常見安預備預備限消和大事后活動復全大事類型的處理則更具體一些。 下面所列岀的安全大事分類既不是包羅一切的， 也不打算為安全大事給出明確的分類，相反，它只給出了一個根本指南來指導如何依據(jù)其主要分類來處理安全大事。下面的大事分類列表并不全面，由于這并不是為了對全部的安全大事進展定義和分類，而僅是為了給大家一個初步的概念來指導大家如何依據(jù)大事的不同類型去處理大事：拒絕效勞攻擊：一種攻擊，通過消耗資源的方式來阻擋和破壞對網(wǎng)絡、系統(tǒng)或應用經(jīng)過授權的使用。惡意代碼：能夠感染主機的病毒、蠕蟲、特洛伊木馬或其它基于代碼的惡意實體。未經(jīng)授權訪問：一個人在未經(jīng)允許的狀況下通過規(guī)律的或物理的方式訪問網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)或、其它資源。不當使用：用戶違反可承受計算資源使用政策。復合型安全大事：一個單一安全大事中包含兩種或是兩種以上的安全大事。此外，有些安全大事可以對應以上多個分類。進展分類，比方：

安全大事響應小組可以依據(jù)其傳送機制對安全大事一個病毒在系統(tǒng)中創(chuàng)立了一個后門， 那我們應當把它當作惡意代碼安全大事來處理， 而不是未經(jīng)授權訪問安全大事，由于惡意代碼是唯一用到的傳送機制。 -假設一個病毒創(chuàng)立的后門已經(jīng)被用于未經(jīng)授權訪問，來處理，由于它用到了兩個傳送機制。 ■

那么這個大事應當被當作復合型安全大事本節(jié)主要是針對各種安全大事提出建議實踐，后文基于安全大事分類給出了更為具體的建議。2、大事征兆對于很多組織來說，安全大事響應過程中最困難的一步是準確檢測并評估可能的安全事件，即確定一個安全大事是否會發(fā)生，范圍。造成這一點很困難主要有以下

假設發(fā)生，那它屬于什么類型、3個因素：

影響程度如何以及問題的?安全大事可以通過很多不同的方法來檢測，并獲得不同程度的細節(jié)和真實性自動化檢測力氣有基于網(wǎng)絡的和基于主機的入侵檢測系統(tǒng)、 反病毒軟件以及日志分析工具。也可以通過人工方法來檢測安全大事，比方用戶報告的問題。有些安全大事有隱含的征兆，可以很簡潔被檢測到，而有些假設沒有自開工具幾乎無法檢測到。?安全大事的潛在征兆數(shù)量一般都很高，比方組織每天受到上千甚至百萬條入侵檢測傳感器報過來的告警信息并不少見?對與安全大事相關的數(shù)據(jù)進展正確而有效的分析往往需要高水平的專業(yè)學問和豐富的實踐閱歷。多數(shù)組織內(nèi)，具備這些條件的人很少，并且一般都可能安排到其它工作中去了。安全大事的征兆可以分為兩類： 跡象(indication)和前兆(precursor)。前兆是指將來可能發(fā)生的安全大事的征兆，而跡象是指已經(jīng)發(fā)生或正在發(fā)生的安全大事的征兆。以至于無法一一介紹，以下是其中一些例子：FTP效勞器發(fā)生緩沖區(qū)溢岀時網(wǎng)絡入侵檢測傳感器報警;?反病毒軟件覺察某臺主機被蠕蟲感染時發(fā)出告警；WEB效勞器崩潰;?用戶埋怨上網(wǎng)太慢；?系統(tǒng)治理員覺察文件名有不尋常字符； -

跡象的種類太多,?用戶想求助臺報告收到恫嚇郵件； ”?某主機記錄其日志中的審計配置發(fā)生變化； ”?某應用程序的日志記載了來自未知遠程系統(tǒng)的屢次失敗登錄嘗試；?郵件治理員覺察有大量可疑內(nèi)容郵件流入。?網(wǎng)絡治理員覺察網(wǎng)絡流量發(fā)生不尋常變化。不要認為安全大事檢測只是一種反響式的，有時候組織也可能在安全大事發(fā)生之前就檢測到有關行為。比方網(wǎng)絡入侵檢測傳感器覺察針對一組主機的不尋常端口掃描活動，對某臺主機發(fā)起拒絕效勞攻擊的前兆。以下是其它一些有前兆的例子：WEB效勞器日志顯示，有人使用 WEB效勞器弱點掃描工具； ”

這很可能就是?公開針對組織郵件效勞器弱點的一種黑客攻擊；?某黑客組織聲稱要攻擊該組織。 ”不是全部的攻擊都可以通過前兆檢測到，有的攻擊沒有前兆，有的攻擊前兆則很難被組織覺察的。假設在攻擊之前覺察前兆， 那么該組織還有時機通過承受自動或人工方法來轉變其安全生態(tài)來預防安全大事發(fā)生。但是大多數(shù)嚴峻狀況下， 組織可能要確定實行行動， 就像已經(jīng)發(fā)生了安全大事，從而盡快減緩風險。很少狀況下，組織可以親熱監(jiān)視某些活動，機的連接企圖或某些網(wǎng)絡流量類型。3、前兆和跡象的來源

可能是針對特定主可以通過很多不同的來源來檢測前兆和跡象， 最常用的有計算機安全軟件的告警、 日志、公共渠道獵取的信息及人。表2列岀了每種分類常見的前兆和跡象來源。2前兆和跡象的常見來源前兆和跡象前兆和跡象描述來源計算機軟件告警基于網(wǎng)絡和主機入侵檢測系統(tǒng)就是設計來識別可疑大事并記錄相關數(shù)據(jù)，包括攻擊被檢測到的入侵檢測系統(tǒng) 的日期和時間、攻擊類型、攻擊來源和目的的IP地址以及用戶名〔假設可能獲得的話〕。多數(shù)入侵檢測系統(tǒng)使用攻擊特征庫來識別惡意活動，必需要保持更特征庫，從而能檢測到最的攻擊。入侵檢測系統(tǒng)常常產(chǎn)生誤報，即報警有惡意活動發(fā)生，但是實際上沒有。分析人員應當通過認真檢查記錄數(shù)據(jù)或從其它來源獲得相關數(shù)據(jù)來對入侵檢測系統(tǒng)的告警進展人工驗證。反病毒軟件 通常在檢測到惡意代碼后，反病毒軟件就會向被感染主機和中心反病毒把握臺發(fā)送告警信息。只要保持病毒特征碼不斷更升級，目前的反病毒產(chǎn)品能格外有效地檢測、查殺或是隔離惡意代碼。但是在大型組織中升級特征碼是格外繁重的任務。一種解決方法是配置集中式反病毒軟件，承受推的方式將特征碼升級到各個主機上，而不是靠拉的方式讓各主機自己升級。由于不冋反病毒軟件的檢測效果各異，有的組織為了能夠提咼反病毒的掩蓋面和準確度，通常都會使用多種反病毒軟件。至少應當在兩個層次承受反病毒軟件：網(wǎng)絡邊界〔比方防火墻、郵件效勞器〕和主機層次〔比方工作站、文件效勞器、客戶端軟件〕。文件完整性檢測

安全大事可能導致重要文件被修改；文件完整性檢測軟件可以檢測到這些變化。它通軟件 過一種hash算法來獵取目標文件的加密校驗和。

假設文件被修改或校驗和被重計算過，舊校驗和極可能不會匹配，通過這樣就可以檢測到文件被修改正。第三方監(jiān)視效勞有的組織花錢請即第三方監(jiān)視其公眾可訪問效勞，比方WEB、DNSFTP效勞器。這些第三方組織每隔幾分鐘就會自動嘗試訪問這些效勞。一旦無法訪問，他們就會通過業(yè)主指定的方式向業(yè)主發(fā)岀警報，比方通過、傳呼以及電子郵件等方式。有的監(jiān)視效勞還會檢查某些特定資源是否被篡改并發(fā)岀告警，比方網(wǎng)站主頁。盡管從運行的角度來看監(jiān)視效勞格外有用，但是它還可以被用來檢測拒絕效勞攻擊和效勞器破壞。日志操作系統(tǒng)，效勞和 在大事發(fā)生時，來自操作系統(tǒng)、效勞以及應用〔尤其是審計相關數(shù)據(jù)〕的日志通常是應用軟件的日志 格外有價值的。日志可以供給諸如哪些帳號曾經(jīng)登錄過、登錄之后都做過什么事情等很多有價值的信息。但不幸的是，在大多數(shù)大事中，由于被禁用或錯誤配置，日志并沒能供給出證據(jù)。為幫助大事處理組織應當在所有系統(tǒng)上要求一個日志基線級別，并且在關鍵系統(tǒng)上要求更高的日志基線級別。全部系統(tǒng)都應當翻開審計功能并記錄審計大事，尤其是治理員級別的事件。對全部系統(tǒng)都要定期檢查，以驗證日志的功能一切正常并符合日志標準。網(wǎng)絡設備日志

網(wǎng)絡設備〔比方防火墻、路由器〕的日志一般都不用作安全大事前兆和跡象的首要來源。盡管這些設備通常都記錄了對連接懇求的阻斷，但它們很少提供有關活動性質(zhì)方面的信息。即便如此，在確定趨勢〔比方企圖訪問特定端口的數(shù)量急劇增加〕以及在potlog)

有些組織格外關心對安全大事的前兆進展檢測，并實行哄騙性的方法，比方蜜罐來收集更好的數(shù)據(jù)。所謂蜜罐就是除了蜜罐治理員外沒有任何授權用戶的主機，由于它不供給任何業(yè)務功能。全部針對它的活動都可以看做是可以活動。攻擊者掃描并攻擊蜜罐，就會給治理員留下有關攻擊工具和趨勢，尤其是惡意代碼方面的數(shù)據(jù)。但是，蜜罐只是一種補充手段，并不能代替對尤其是惡意代碼方面的數(shù)據(jù)。但是，蜜罐只是一種補充手段，并不能代替對網(wǎng)絡、系統(tǒng)和應用的保護。假設承受了蜜罐，應當由有力氣的安全大事處理人員和入侵檢測分析人員來治理它。由于目前對使用蜜罐技術的合法性尚未確定，所以各組織在承受蜜罐之前應領先認真爭論相關法律規(guī)定。公眾可獲得信息弱點及利用信準時了解最的弱點及其被利用方法方面的相關信息可以防止某些安全事件發(fā)生，并息還可以用來幫助對攻擊進展檢測和分析。一些特地組織，比方?FedCIRC、CERT?/CC、IAIP及CIAC等組織會定期通過簡報、論壇發(fā)帖以及郵件列表的形式公布最的安全信息。其它組織的安全事其它組織所發(fā)生安全大事的報告會供給格外豐富的信息有一些WEB站點和件信息郵件列表可以被安全大事響應小組和安全專業(yè)人員利用來共享他們所遇安全大事的相關信息。此外，也有一些組織會獲得、合并并分析來自其它組織的日志和入侵檢測的告警信息。人組織內(nèi)部人員兆。對全部報告信息要進展進一步確認。由于不僅一般用戶缺乏專業(yè)學問來推斷是否發(fā)生了安全大事，就算是受過很好培訓的專家也會犯錯誤。一種方法是要問清消息的來源以及消息的牢靠性。將這些估量和所供給信息一起加以記錄在大事分析中，尤其是在覺察沖突數(shù)據(jù)時格外有幫助。其它組織人員雖然從其它組織人員得到的報告不多，但確定要認真對待。一個經(jīng)典例子是有一個黑客覺察了某系統(tǒng)中的嚴峻弱點后，要么是直接告知該組織，要么是公開公布了這個問題。另一種可能是組織可能被外部第三方告知該組織中有人在攻擊它。外界用戶可能還報告一些其他跡象，比方網(wǎng)頁被篡改、效勞被中斷。同時，也有可能收到來自其它安全響應小組的大事報告。要建立一個機制來承受來自外部的大事報告；這可能只需4、安全大事分析假設能夠保證上報來的每一個前兆和跡象的信息都是準確的，那么安全大事的檢測和分析將是格外簡潔的事。但不幸的是，目前這是不行能的。比方當用戶埋怨說某臺效勞器無法供給效勞通常就是不準確的，還有，眾所周知，目前的入侵檢測系統(tǒng)都會產(chǎn)生大量誤報，跡象。這些例子說明白是什么造成安全大事的檢測和分析如此困難。

應當對每個跡象加以評價以確定它是否合理。更糟的是，人和自動來源可能每天都會帶來大量的跡象報告。象中找出那少數(shù)真正發(fā)生的安全大事是一件另人畏懼的任務。

要從全部這些跡即使跡象是準確的，這也并不意味著確定發(fā)生了安全大事。有些跡象，比方一臺務器崩潰，或是某些核心文件被篡改， 可能是由于很多緣由造成的，包括人為錯誤。

WEB服然而假定岀現(xiàn)一個跡象，人們有理由疑心可能發(fā)生了一個安全大事并實行相應行動。處理人員在沒有確定大事是否屬實的時候都應領先假定它是真的發(fā)生了。

特定大事是否真的是安全大事是一個推斷問題， 可能有必要與其它技術和信息安全人員合作出決定。很多狀況下，情形的處理方式都一樣，不管它是否與安全相關。比方假設某個組織每小時網(wǎng)絡就會失去和因特網(wǎng)的連接， 而且沒有人確定緣由，有關人員就會期望盡快解決問題，

12個并使用同樣的資源來診斷問題，而不管它產(chǎn)生的緣由。有些大事很簡潔被檢測到，比方明顯地篡改網(wǎng)站主頁。但是很多安全大事并沒有如此明顯的病癥。水平高的攻擊者都會留神地隱蔽自己的痕跡而不被覺察，者也由于他們所使用的工具都功能格外強大并具有很好的隱蔽性，

即使是那些水平不高的攻擊所以也很難被覺察。安全大事發(fā)生的唯一跡象可能是像一個系統(tǒng)配置文件被作了一點點改動這樣小的征兆。程中，檢測可能是最困難的工作。 安全大事處理人員負責對那些模糊、分析，以確定到底發(fā)生了什么。盡管有些技術方案可以使檢測工作簡潔些，

沖突和不完整的病癥加以但是最好的彌補是建立一支具備高水平技術、閱歷豐富的員工的小組來有效并高效地對前兆和跡象加以分析并實行適當行動。沒有經(jīng)過培訓的合格人員，本錢錢昂揚的錯誤。

就不行能有效地開放安全大事檢測和分析工作，

并且可能造安全大事響應小組應當盡快對每一個安全大事進展分析和驗證，并對所實行每一步驟進行記錄。當安全大事響應小組認為某個大事已經(jīng)發(fā)生時，定安全大事的范圍，比方哪些網(wǎng)絡、系統(tǒng)和應用受到影響；

他們應當快速開放最初的分析工作來確是誰或什么發(fā)起了該安全大事； 安全大事的發(fā)生狀態(tài)如何〔比方用到了什么樣的工具和攻擊方法、利用了什么弱點〕。最初分析應當為小組供給足夠的信息來對后續(xù)活動進展優(yōu)先排序， 比方安全大事的限制以及對安全大事后果的深入分析等。假設仍有疑慮，安全大事處理人員應當作好最壞的打算， 直到其它分析顯示有岀入。對安全大事進展分析和驗證是很困難的。以下將供給一些建議，使安全大事的分析更簡便有效:?描述網(wǎng)絡和系統(tǒng)的特征 特征描述是安全大事分析的最好的技術關心手段之一。 征描述就是對預期活動的特點加以度量， 從而更簡潔地識別其變更。比方在主機上運行文件完整性檢查軟件并對關鍵文件生成校驗和、對網(wǎng)絡帶寬利用狀況和主機資源使用狀況進展監(jiān)視以確定在各個日期和時間的平均和頂峰利用水平。 假設描述過程是自動化的， 那么活動變更可以被快速檢測并報告給治理員。實際工作中，使用大多數(shù)特征描述技術是很難準確檢測安全大事的。 應當將其作為檢測和分析技術之一。rr?了解正常行為安全大事響應小組應當對網(wǎng)絡、

系統(tǒng)和應用加以爭論，以深入了解其正常行為，這樣就可以簡潔覺察那些特別行為。 很多入侵檢測分析人員在某點上被告知要去確定不尋常的大事。但是假設對“尋?！睕]有深入的了解，安全大事處理人員可以全面了解整個環(huán)境中的全部行為，哪些問題。

也就很難定義什么是“不尋?！薄?但是他們起碼要知道哪些專家可以解決rr?使用集中式日志并建立日志保存政策比方防火墻、路由器、基于網(wǎng)絡的入侵檢測系統(tǒng)、

與安全大事相關的信息通常在幾個地方有記錄，基于主機的入侵檢測系統(tǒng)以及應用日志。 組織應當承受一臺或幾臺集中式日志效勞器， 并且對組織內(nèi)全部日志設備進展配置， 將其日志副本送到中心日志效勞器上。安全大事處理人員通過獵取全部相關的日志項受益。 同時這也為日志供給了一個安全的存放地點，削減了攻擊者在他們要破壞的主機上關閉日志功能或修改日志所帶來的后果。此外，要建立并落實日志保存政策來規(guī)定日志信息應當保存多久，這對于分析極有幫助，由于老的日志信息可以提示岀偵察活動或以前的類似攻擊案例。

保存日志的另一個理由是安全事日志保存時間的長短取決于幾個因素， 包括組織的數(shù)據(jù)保存政策以及數(shù)據(jù)量的大小。該至少保存幾個月。

通常，日志數(shù)據(jù)都應當保存至少幾個星期， 抱負狀況下應rr?開展安全大事關聯(lián)分析 某個安全大事的證據(jù)可能在好幾個日志里被捕獲到。 每個日志里包含有關該安全大事的不同類型數(shù)據(jù)，防火墻日志可能包含所用到的源可能包含用戶名。網(wǎng)絡入侵檢測傳感器可能會檢測到針對特定主機的攻擊，是否成功，安全大事分析人員需要檢查主機的日志來確定這一信息。

IP地址，而應用日志但是它無法確定攻擊在多個跡象來源之間進展事件關聯(lián)在驗證某個特定安全大事是否發(fā)生以及快速將各種信息拼在一起時是格外重要的。 使用集中式日志可以使大事關聯(lián)更加簡潔和快速，由于它集合了全部網(wǎng)絡、主機、效勞、應用及安全設備的日志數(shù)據(jù)。?保證全部主機時鐘同步 像NTP這樣的協(xié)議可以在主機之間實現(xiàn)時鐘同步。 這對于安全大事響應來說是格外重要的， 由于假設從各設備報告的大事假設時鐘配置不全都，就很困難。從證據(jù)收集的角度來看，使日志中的時間戳保持全都也是格外重要的，

發(fā)生在12:07:01的大事，假設有3個設備日志對它進展了記錄，假設 3個設備的時鐘不全都，導致3個日志記錄為12:0701、12:10:35和11:07:06，那么后果是可想而知的。?維護和使用信息學問庫 學問庫中應當包括大事處理人員在安全大事分析中需要快速參考的信息。盡管可能建一個構造簡潔的學問庫，但是還是簡潔的方法比較有效。文本文檔、子表格及相對簡潔的數(shù)據(jù)庫可以為小組成員之間共享數(shù)據(jù)供給一個有效而且靈敏的機制。中還應當包含很多其它信息，比方：

電學問庫-1件廠商；-1

?到惡意代碼和哄騙信息的鏈接；最完備和最的來源一般是主要的反病毒軟?到一個被列入垃圾郵件黑名單的域名列表的鏈接；-1?前兆和跡象的重要性和真實性解釋，比方入侵檢測告警、操作系統(tǒng)日志及應用錯誤碼。?利用因特網(wǎng)搜尋引擎進展查找 像Google和AltaVista這樣的綜合因特網(wǎng)搜尋引擎可以幫助找到特別活動的相關信息，尤其是掃描。比方分析人員可能會看到一些針對 TCP22912端口的特別掃描。依據(jù)“TCP、 “端口”、“22912”進展搜尋可能會返回類似活動的日志， 至是關于該端口號意義的解釋。 由于大多數(shù)與安全大事響應和入侵檢測相關的公共郵件列表都有基于網(wǎng)絡的文檔記錄，所以網(wǎng)絡搜尋引擎也會把這些文檔包括在搜尋范圍之內(nèi)。 安全大事處理人員也可以搜尋他們可以訪問的非公共郵件列表和專業(yè)論壇，聯(lián)系其它類似活動。

CSIRT,詢問他們是否見過rr?使用數(shù)據(jù)包監(jiān)聽工具來獵取更多信息 有的時候，大事記錄并沒能記錄足夠的具體信息，使得安全大事處理人員無法確定到底發(fā)生了什么事情。 在這種狀況下，假設該大事是發(fā)生在網(wǎng)絡間的，最快最有效的方法就是利用數(shù)據(jù)包監(jiān)聽工具來捕獲該網(wǎng)絡中的數(shù)據(jù)包， 從而獵取更多的信息。在捕獲之前，應領先配置該工具，只讓它捕獲特定類型的數(shù)據(jù)包，這樣可以盡量削減無用信息攙雜其中。同時，數(shù)據(jù)包監(jiān)聽工具還可以供給最準確，最完整的網(wǎng)絡攻擊的數(shù)據(jù)。在有些狀況下，假設不使用數(shù)據(jù)包監(jiān)聽工具將很難對大事進展處理。?考慮數(shù)據(jù)簡化在很多組織中，只是沒有足夠的時間來檢查和分析全部的跡象。 當數(shù)據(jù)量格外浩大時，人自然就被嚇倒并對這些數(shù)據(jù)不加理睬。 要推動對安全大事進展有效地檢測， 人們有必要抑制上述反響并確保至少要調(diào)查那些最讓人疑心的活動。 一個有效的策略是對跡象加以過濾，這樣那些不怎么重要的跡象類別就不會消滅在安全大事的分析中。象加以過濾，讓那些最重要的跡象類別岀現(xiàn)在安全大事的分析中。

一個有效的策略是對跡但是這種方法比較危急， 惡意活動可能不在所選擇的跡象類別中。 但不管怎么說，這種方法比起根本不檢查跡象好的多。rr

比方確定某個活動的企圖是格外困難的。

你可以想象，當一個安全大事處理人員看到涉及到某臺 DNS效勞器的特別行為，而該行為并非攻擊，只是一些特別流量模式或端口號。這一偵察活動會是針對該DNS效勞器馬上發(fā)起的攻擊嗎？或者是利用該 DNS效勞器為媒介針對另一臺效勞器的攻擊？或者這只是均衡負載所造成的正常狀況？對這一數(shù)據(jù)可能的解釋有很多，而安全大事處理人員可能由于缺乏具體的數(shù)據(jù)信息， 無法最終確定哪個解釋是正確的。確定可以活動企圖的最好方法是盡可能多地獲得安全大事處理閱歷。 安全大事分析是一種技術性格外強的工作，但也是一種藝術。一個閱歷豐富的安全大事處理人員可以對數(shù)據(jù)加以檢查并快速對安全大事的嚴峻性產(chǎn)生直覺。?為沒有閱歷的成員編制一個診斷矩陣 制作這樣一個矩陣可以有效地幫助求助臺、人員、系統(tǒng)治理員及那些自己對前兆和跡象進展分析的人員。 它同樣對那些閱歷缺乏的入侵檢測分析人員和安全大事響應小組成員有幫助。 表3是從一個診斷矩陣范例中摘岀來的， 左邊列岀了潛在病癥，其它每列是安全大事分類。 矩陣中的每一個格子說明白哪些病癥一般與每個安全大事分類有關聯(lián)及其關聯(lián)強度?！皬姸取笨梢杂萌魏畏绞浇o岀，從 “有”或“沒有”到一個百分比。這個矩陣可以為那些閱歷較少、雖然能夠覺察大事的病癥卻無法確定是屬于哪種大事的人供給很3診斷矩陣范例摘錄病癥3診斷矩陣范例摘錄病癥拒絕效勞惡意代碼未經(jīng)授權訪問文件、關鍵、訪問企圖低中1111不當使用高低低1高1低1低低利用率、帶寬、高高中低中利用率、郵件、高低高中中文件、不適當?shù)膬?nèi)容低中主機崩潰中低中端口掃描、輸入、特別端口掃描、輸岀、特別高低低高中中?向其它人尋求幫助 有的狀況下，安全大事響應小組無法確定安全大事的全部原則和性質(zhì)。假設小組缺少足夠的信息來對大事進展限制和消退， 那么他們就應當詢問內(nèi)部資源 〔如信息安全人員〕和外部資源〔如 FedCIRC、其他CSIRT、有安全大事響應專長的承包商〕，來求得分析、限制和消退安全大事方面的幫助。 弄清楚每個安全大事的緣由是格外重要的，只有這樣， 們才能有效地對安全大事進展限制，并且正確地修補弱點，從而防止同樣大事的再次發(fā)生5、安全大事記錄一旦安全大事響應小組疑心正在發(fā)生或已經(jīng)發(fā)生了安全大事，要馬上記錄有關該安全事件的全部事實。日志薄是一個簡潔有效的介質(zhì)方法，但目前個人數(shù)字助理〔 PDA、筆記本計算機、錄音機以及數(shù)碼相機也可以用于這種目的。 把系統(tǒng)大事、交談記錄下來并觀看其中變化可以是問題處理更有效、更系統(tǒng)并且更少犯錯誤。從安全大事被覺察處處理完畢過程中所實行的每一步驟都應當加以記錄， 并注明時間。與安全大事有關的每份文檔都應當讓安全大事處理人員注明日期并簽字。這類性質(zhì)的信息也可以作為法律訴訟相關證據(jù)。 假設有可能，大事處理應當至少保持兩人一組的工作方式，一個人開展技術工作的同時， 另一個人進展日志記錄。安全大事響應小組應當將安全大事狀態(tài)及其它相關信息一起加以保存記錄。為實現(xiàn)這一目的，有必要使用一個應用或數(shù)據(jù)庫系統(tǒng)， 以保證能夠準時地處理和解決安全大事。 比方，安全大事處理人員可能會接到與前一天所解決的安全大事相關的緊急， 而當時的安全大事處理人系統(tǒng)應當包括以下內(nèi)容：?安全大事的當前狀態(tài)?安全大事總結

大事處理人員可以快速了解安全大事。

這種數(shù)據(jù)庫?全部安全大事處理人員在此安全大事中所實行的行動?其它涉及各方的聯(lián)系信息〔比方系統(tǒng)擁有者、系統(tǒng)治理員〕?在調(diào)查該安全大事中所搜集到的證據(jù)清單?安全大事處理人員的建議?下一步要實行的步驟〔比方等待系統(tǒng)治理員給應用打補丁〕安全大事處理組還應當留神保護與安全大事相關的，由于這些數(shù)據(jù)中常常會包括一些敏感信息，比方被利用弱點方面的數(shù)據(jù)、最近的安全違反活動及那些可能實行不適當行動的用戶。要削減敏感信息被不適當外泄的風險， 要小組應當保證嚴格限制對安全大事數(shù)據(jù)的治理， 有經(jīng)過授權的人員才能訪問安全大事數(shù)據(jù)庫。 與安全大事相關的電子郵件以及像安全大事報告這樣的文檔應當加密，保證只有發(fā)送方和目標收件人才能讀懂。6、安全大事的優(yōu)先排序?qū)Π踩笫绿幚磉M展優(yōu)先排序可能是安全大事處理過程中最關鍵的一個打算點。由于資源的限制，安全大事不應當依據(jù)先來先處理的原則進展處理，大事的處理進展優(yōu)先排序：

而應當依據(jù)以下兩個因素來對安全?安全大事當前和潛在的技術影響 安全大事處理人員不僅應當考慮安全大事目前的負面技術影響〔比方對數(shù)據(jù)的未經(jīng)授權的用戶級訪問〕 ，而且還要考慮在安全大事沒有被馬上限制時，它將來的可能技術影響〔如根破壞〕。比方，某個蠕蟲病毒正在組織的網(wǎng)絡中傳播，它當前的影響還格外小，但是可能在幾個小時內(nèi)蠕蟲流量可能導致網(wǎng)絡資源被耗盡。?受影響資源的關鍵程度 受安全大事影響的資源〔比方防火墻、 WEE效勞器、因特網(wǎng)連接、用戶工作站以及應用〕對組織的的關鍵程度各不一樣。 資源的關鍵程度取決于其數(shù)據(jù)或效勞、用戶、與其它資源的信任關系和相互依靠程度以及可視性 〔比方一個公眾WEE效勞器相對于一個內(nèi)部部門的WEE效勞器〕。很多組織已經(jīng)通過業(yè)務連續(xù)性打算工作或他們的效勞等級協(xié)定 〔SLA,其中規(guī)定了恢復每個關鍵資源最多用多長時間〕 確定了資源的關鍵性。只要可能，安全大事響應小組就應當獵取并重用有關資源關鍵性方面的現(xiàn)有有效數(shù)據(jù)。結合受影響資源的關鍵性和安全大事當前工作和潛在的技術影響，就可以確定安全大事的業(yè)務影響，比方用戶工作站的根破壞可能導致生產(chǎn)率的略微下降， 而對公眾WEE效勞器未經(jīng)授權的用戶級訪問則可能在營收、生產(chǎn)率、效勞訪問、名聲及保密數(shù)據(jù)的泄露〔如信用卡號、社會安全號〕等方面產(chǎn)生重大損失。小組應當依據(jù)安全大事所產(chǎn)生的業(yè)務影響估量來優(yōu)先排序?qū)Ω鱾€安全大事的響應。比方，與安全無關的不當使用安全大事一般不需要要比其它安全大事晚些處理，由于其業(yè)務影響相對較低〔第7章將具體介紹如何進展優(yōu)先排序〕。組織應當用像表4中的矩陣范例那樣的格式來記錄優(yōu)先排序指南。每列的開頭列岀資源的關鍵性，每行的開頭列出技術影響分類。 矩陣中的每個值規(guī)定了安全大事響應小組要開頭對安全大事作岀響應的最長時間。這可以被認為是安全大事響應的一個 SLA。一般來說，SLA不規(guī)定解決安全大事的最長時間， 由于處理安全大事所需要的時間長度差異很大， 往往不在安全大事響應小組的把握之中。組織應當依據(jù)其自身需求及其資源關鍵性確定方法來定制這種矩陣?？椏赡苡泻脦讉€關鍵性分類，比方像不會帶來損失的病毒感染略微安全大事最好交給當?shù)?/p>

IT人員來處理，而無須找安全大事響應小組。 抱負上最好有兩個版本的矩陣： 生的安全大事，另一種用于非工作日發(fā)生的安全大事。當前受影響的資源，以及將來可能受大事影響的資源來影響高〔如因特網(wǎng)連WEB服當前受影響的資源，以及將來可能受大事影響的資源來影響高〔如因特網(wǎng)連WEB服中〔如系統(tǒng)治理員的工作站、文件和打印效勞器、XYZ應用數(shù)據(jù)〕低〔如用戶工作站〕務器、防火墻、客戶數(shù)據(jù)〕根級訪問||15分鐘15分鐘30分鐘1小時未經(jīng)授權的數(shù)據(jù)修改30分鐘2小時對敏感數(shù)據(jù)的未經(jīng)授權訪|115分鐘1小時1小時問未經(jīng)授權用用戶級訪問|30分鐘2小時4小時效勞不行用煩人的事[1]30分鐘30分鐘2小時IT人員處理4小時IT人員處理假設一個安全大事影響多個資源〔如系統(tǒng)、應用和數(shù)據(jù)〕，那么可能有多個矩陣項適用于該大事。安全大事處理人員可以確定全部適用的矩陣項并首先實行最緊急的行動。 比方，假設惡意代碼獲造成對高關鍵性資源

〔30分鐘響應〕的未經(jīng)授權用戶級訪問以及對低關鍵性資源

〔1小時響應〕的系統(tǒng)破壞，處理人員應當首先解決高關鍵性資源上的問題， 然后解決低關鍵性資源上的問題。大事處理人員可能期望在指定的一個小時最大期限內(nèi)調(diào)查一下低關鍵性資源，小組認為其中可能含有對其它資源大事處理有幫助的信息時候。

特別是假設矩陣方法鼓舞組織去認真考慮安全大事響應小組在各種環(huán)境下應當如何作出反響。通過供給一個安全大事處理打算框架， 這些矩陣節(jié)約了安全大事處理人員的時間。 在安全大事過程中，處理人員常常要擔當很大的壓力， 格外難以作出決策。安全大事處理人員應當能依據(jù)其推斷對該矩陣作出變化，尤其是在不行預見或特別環(huán)境中。組織還需要建立一個升級過程，以備在安全大事響應小組不能在規(guī)定時間內(nèi)對安全大事做出響應。導致這種狀況有很多緣由， 比方手機或呼機壞了；相關人員可能個人有急事或者安全大事處理人員午夜答復完問題后又睡著了。 升級過程應當規(guī)定應當?shù)榷嚅L時間， 假設沒有人響應時該怎么做。一般來說，第一步是重復聯(lián)系，比方呼叫同一個手機號。短時間后，可能 15分鐘后，主叫方應當將安全大事升級到更高的層次， 比方安全大事響應小組經(jīng)理。 假設那個人在某一時間內(nèi)沒有響應，那么再次將安全大事升級到更高級別的治理人員那里。到回應為止。7、安全大事的通知

不斷重復這一過程，直到得當安全大事被分析完并優(yōu)先排序好后，安全大事響應小組需要通知組織內(nèi)的適當人員，有時也包括組織之外的適當人員。 準時的報告和通知可以使相關人員發(fā)揮其作用。 在目前信息安全威逼的數(shù)量和簡潔性狀況下， 合作處理安全大事可能是最好的方法。括安全大事報告規(guī)定，至少要規(guī)定向誰在什么時間必需報告什么內(nèi)容狀態(tài)更〕。不同機構的通知要求也各不一樣， 通常要向以下各方報告：

安全大事響應政策應當包〔比方最初通知、常常性的?首席信息主管?信息安全主管〔涉及到員工的狀況下，比方通過郵件騷擾〕?公共事務物部門〔對那些可能引發(fā)公共事務的安全大事〕?法律部門〔對那些可能涉及法律問題的安全大事〕在安全大事處理過程中，安全大事響應小組可能需要隨時向某些相關人員通知安全大事的最狀況。某些狀況下，比方發(fā)生了大規(guī)模惡意代碼感染大事， 小組可能需要在整個組織范圍內(nèi)發(fā)出通知。小組應當打算并預備幾個通信方法，并對特定大事選擇最適當?shù)姆椒?。郵件效勞器被惡意代碼破壞了，那么小組應當不要再通過郵件發(fā)岀大事更消息。法有：?電子郵件WEB〔基于內(nèi)聯(lián)網(wǎng)〕??親自出馬

可能的通信方預備預備檢測和分析制除恢大事后活動?語音信箱〔比方為安全大事更配置特地的語音信箱，并隨時更大事最狀況〕?書面通知〔比方在公告欄或門上張貼通知， 在每個入口點發(fā)岀通知〕計算機安全大事處理指南〔三〕：限制、消退和恢復1、選擇限制策略在安全大事被檢測并分析完畢后，要在它超岀把握或造成更大的破壞之前就對它加以限制。 對大多數(shù)的安全大事都要加以限制，所以每次安全大事處理過程中要盡早考慮到這一點。限制的一個必要環(huán)節(jié)就是作出打算〔比方關機、從有線或無線網(wǎng)絡中斷接、斷開 modem線、禁用某些功能〕。假設已經(jīng)預先確定了安全大事限制策略和流程，做岀打算就簡潔的多組織應當在安全大事處理中定義什么樣的風險是可承受的，并據(jù)此制定策略。限制策略隨安全大事類型不同而不同。比方，針對郵件病毒感染大事的限制策略和針對基于網(wǎng)絡的分布式拒絕效勞的限制策略就很不一樣。猛烈建議組織要針對各個主要安全大事類型制定單獨的限制策略。相關標準應當被明確記錄下來，以便便利快速有效地作出打算。確定適當策略的標準有：?資源的潛在破壞和失竊?證據(jù)的保存需求?效勞的可用性〔比方網(wǎng)絡連接、對外供給的效勞〕?執(zhí)行策略所需的資源和時間?策略的有效性〔如局部限制了安全大事、完全限制了安全大事〕?解決方案的持續(xù)時間〔比方緊急工作區(qū)需要在4小時內(nèi)撤除、臨時工作區(qū)需要在2周內(nèi)撤除、永久的〕某些狀況下，有些組織可能會推遲對安全大事進展限制以便對攻擊行為加以監(jiān)視，往往來收集更多的證據(jù)。安全大事響應小組必需先同法律部門協(xié)商，以確定這種推延是否可行。假設組織在覺察到系統(tǒng)被破壞后，還允許這種破壞行為連續(xù)進展，那么它要對攻擊者利用已被破壞的系統(tǒng)來攻擊其它行動的后果承擔責任。這種推延限制策略是格外危急的，由于攻擊者可能提高未經(jīng)授權的訪問級別或很快去破壞其它系統(tǒng)。只有閱歷豐富的安全大事響應小組在能夠監(jiān)視全部的攻擊行為并能快速切斷攻擊者的連接的前提下才能試用這一策略。即便如此，推延限制的好處往往夠不上它所帶來的風險。與限制相關的另一個潛在問題是有些攻擊在被限制時可能會帶來其它破壞。比方一個被破壞的主機可能運行一個惡意進程，定期ping另一個主機，當安全大事處理人員為了限制安全大事而切斷該主機與網(wǎng)絡的連接時，以后的ping將無法發(fā)揮作用，結果該惡意進程可能將全部數(shù)據(jù)寫到主機的硬盤中。安全大事處理人員不應當假定僅僅由于主機從網(wǎng)絡中斷接了，就防止了對主機的進一步破壞。2、證據(jù)收集和處理盡管在安全大事中收集證據(jù)的主要理由是解決安全大事，但是這還需要法律行動。這些狀況下，要明確記錄全部證據(jù)，包括被破壞系統(tǒng)是如何得到保存的。應當依據(jù)確定的流程來收集證據(jù)，這些流程要符合全部適用法律和條例，并依據(jù)和法律人員或適當?shù)膱?zhí)法機構的爭論結果制定出來，這樣才能在法庭上被承受。此外，對證據(jù)要隨時給以說明，當證據(jù)從一個人交到另一人手上時，應當在保管鏈表上對交接要詳加說明并要有各方的簽名。要為全部證據(jù)保存一份具體的日志，包括如下內(nèi)容：?識別信息〔比方位置、序列號、型號、主機名介質(zhì)訪問把握地址以及主機的IP地址〕?在調(diào)查中每個參與收集或處理證據(jù)的人員姓名、職稱和號碼?每次處理證據(jù)的時間和日期〔包括時區(qū)〕從計算資源中收集證據(jù)有很大困難。通常人們傾向于一旦疑心發(fā)生了安全大事時，就從相關系統(tǒng)中查找證據(jù)。很多安全大事都會引發(fā)一系列的動態(tài)大事；初始系統(tǒng)快照對找出問題及其來源比起這一階段可以實行的大多數(shù)其它行動幫助更大。從證據(jù)的角度看，獲得系統(tǒng)快照比事后讓安全大事處理人員、系統(tǒng)管理員及其它人員在調(diào)查中漫不經(jīng)心地供給機器狀態(tài)要好的多。用戶和系統(tǒng)治理員應當知道保存證據(jù)應當采取的步驟。在從受影響主機上復制文件之前，人們常常想捕獲那些在文件系統(tǒng)和映像備份中沒有記錄的易失信息，比方當前的網(wǎng)絡連接、進程、登錄會話、翻開文件、網(wǎng)絡接口配置及內(nèi)存內(nèi)容。這些數(shù)據(jù)可能會保存攻擊者的身份或其所用到的攻擊方法等線索。記錄本地時間與實際時間的偏差也很有用。但是，在從運行系統(tǒng)中獵取信息也伴隨著風險，?證據(jù)的存放位置由于對主機本身的任何操作都可能會在確定程度上轉變機器狀態(tài)。而且，攻擊者當時可能正在系統(tǒng)中并留意處處理人員的活動， 這可能會造成災難性的結果。一個訓練有素，心思縝密的安全大事處理人員通常都使用完量少的命令，在不轉變“犯罪現(xiàn)場”的狀況下來獵取盡可能多的證據(jù)和信息。由于，即使是誤用了任何一個命令都有可能導致證據(jù)永久的被破壞；比方只是簡潔的用命令來顯示一個名目內(nèi)的文件就會把日志中最終一次訪問的文件的記錄轉變。而且，在出安全大事主機上執(zhí)行命令會轉變或是掩蓋一些重要的信息或是造成其它額外的破壞。所以，安全大事處理人員應當用配置寫入保護的安全的系統(tǒng)啟動磁盤或光盤，在保證主機系統(tǒng)不被轉變的狀況下執(zhí)行一些必要的命令。安全大事處理人員還可以使用一些防止轉變主機系統(tǒng)信息的軟件來對此進展進一步的防護。受過良好培訓的并且心細的安全大事處理人員應當能夠只使用獲得動態(tài)證據(jù)所必需的命令， 而不會由于疏忽而改動其它證據(jù)。一個選擇不好的命令可能導致證據(jù)不行恢復的破壞。比方僅僅顯示一下名目內(nèi)容可能轉變每個列出文件的最近訪問時間。而且在受影響主機上運行命令是很危急的，由于它們可能已經(jīng)被改動或替換〔比方特洛伊木馬、根工具件〕而隱蔽信息或?qū)е缕渌茐摹０踩笫绿幚砣藛T應當使用有寫保護的軟盤或光盤來存放可信命令及全部相關文件，從而可以在無需使用受影響主機上的命令前提下運行全部必需的命令。安全大事處理人員可以使用寫阻擋程序防止主機寫自己的硬盤。在獲得易失性數(shù)據(jù)后，受過計算機取證培訓的安全大事處理人員應當馬上將全盤映像到一個干凈的寫保護或一次性寫介質(zhì)上。磁盤映像在磁盤上保存了全部數(shù)據(jù)，包括被刪除文件和文件碎片。假設可能需要用于訴訟或內(nèi)部懲罰行動，大事處理人員應當至少做兩個全盤映像，適當打上標簽，并安全存放其中之一只作為證據(jù)用?！踩孔C據(jù)，不僅僅限于磁盤映像，都應當被作上標記并存放在安全位置〕。有時侯，處理人員可能要求并取得原始磁盤作為證據(jù)，那么另一個映像就可作為系統(tǒng)恢復的一局部被重恢復到另一張磁盤上。對計算機取證來說，獲得磁盤映像要比標準的文件系統(tǒng)備份重要的多，由于它記錄了更多的數(shù)據(jù)。映像之所以好的另一個緣由是由于在映像上進展分析工作要比在原件上操作更為安全，分析可能由于疏忽而轉變或破壞原件。假設卸載系統(tǒng)帶來的業(yè)務影響超過了保持系統(tǒng)連續(xù)運行的風險，有可能就不做磁盤映像了。標準的文件系統(tǒng)備份可以從現(xiàn)有的獵取足夠的信息，這些信息可能足以用來處理很多安全大事，尤其是那些不期望引起訴訟的安全大事。無論是否要起訴攻擊者，磁盤映像和文件系統(tǒng)備份都格外有價值，由于它們都允許對目標進展重裝，而調(diào)查還可以承受映像或備份來連續(xù)。計算機犯罪取證軟件的價值不僅在于它可以對磁盤進展映像，而且它還可以自動進展很多分析過程，比方：?識別并從任何位置恢復文件碎片、隱蔽或被刪除的文件和文件夾〔比方已用空間、未用空間、間隙空間〕?對文件構造、頭及其它特征加以檢查，以確定每個文件所包含的數(shù)據(jù)類型， 而不是依據(jù)文件擴展名〔.doc.jpg、.mp3等〕?顯示圖形文件的內(nèi)容?進展簡潔的搜尋?用圖形化的方式顯示驅(qū)動器的名目構造?生成報表在證據(jù)獵取過程中，從其它資源獵取支持性日志文件的副本時常常要慎重，如防火墻日志顯示出攻擊者用到了什么樣的IP地址。對于硬盤或其它介質(zhì)，應當將日志復制到干凈的可以寫保護的或一些性寫介質(zhì)上。應當將一份日志副本保存為證據(jù)，而另一個副本可以恢復到另一個系統(tǒng)上作進一步分析。很多安全大事處理人員還會為日志文件和其它數(shù)字證據(jù)創(chuàng)立一個消息摘要。這是指為文件生成一個加密校驗和。如果該文件被修改并且校驗和被重計算，那么校驗和不太可能不變。消息摘要應當用經(jīng)過FIPS140-2和FIPS180-2驗證過的軟件和消息摘要算法來生成，〔消息摘要對其它計算機取證也格外有用，比方當獲得介質(zhì)時，處理人員能夠生成原始介質(zhì)的校驗和及副本，以說明在映像過程中完整性得到保持〕。安全大事處理人員還應當記錄每個日志主機上的本地時鐘及其與實際時間的偏差〔假設有的話〕。為了有助于對安全大事進展分析，處理人員可能期望重復安全大事沒有被適當記錄的一個方面，比如，某個用戶訪問過一個惡意WEB站點，而使工作站遭到破壞。工作站上沒有任何關于該攻擊的記錄。處理人員可能會配置另一臺工作站來訪問同一 WEB占點，并用包偵聽和基于主機的安全軟件對其活動進展記錄和分析，通過這一活動來確定到底發(fā)生了什么事。在重復這種攻擊的時候，處理人員應當要格外留神，從而不要引發(fā)另一個安全大事。另一種重現(xiàn)安全大事的例子是發(fā)生在當一個內(nèi)網(wǎng)用戶被疑心下載了不適當?shù)奈募r。 假設防火墻對其訪問的FTP效勞器進展了記錄，那么安全大事處理人員就可能會登錄該 FTP效勞器來看看該效勞器上到底供給什么類型的東西，并確定該用戶工作站上的文件名是否與

FTP效勞器能對應起來。處理人員應當只考慮對外部效勞的訪問，假設它們對公眾是開放的〔比方允許匿名登錄的

FTP效勞器〕。盡管通過對網(wǎng)絡流量進展監(jiān)視以確定用戶用到什么樣的FTP效勞器往往是不行承受的。

FTP帳號和口令可能是可以承受的，但是通過重用這些信息來訪問3、確定攻擊者在安全大事處理期間，系統(tǒng)擁有者和其它人一般都想知道攻擊者是誰。盡管這個信息很重要，特別是假設組織期望能對其進展起訴時，但是安全大事處理人員應當將精力集中在對安全大事的限制、消退和恢復上。查詢攻擊者身份可能是一個耗時而有無效的過程，它可能阻礙小組實現(xiàn)其主要目標：將業(yè)務影響減小到最低程度。下面內(nèi)容描述了在識別攻擊者過程中最常實行的活動：?確認攻擊者的IP地址安全大事處理方面的手通常都會把留意力都集中在攻擊者的IP地址上，試圖使pingtracerouteIP不是假冒的。但是，這樣做意義不大，最多也只是說明這個地址ping或是traceroute。此外，攻擊者的地址可能是動態(tài)獲得的〔比方來自撥號也〕，

modem該地址可能又被安排給另外一個人。更重要的是，假設IP地址是真實的，那么小組ping它的時候會讓攻擊者覺察到組織已經(jīng)檢測到他的活動。假設這是在安全大事被完全限制之前，那么攻擊者可能還會制造其它破壞，比方去除硬盤上的攻擊證據(jù)。在實行像地址確認這樣的動作時，小組應當考慮并使用其它組織的IP地址〔ISP〕，這樣確認活動的真實源頭就對攻擊者隱蔽起來了。pingtracerouteIP些措施：他們可能會使用端口掃描工具、弱點掃描及其它一些工具來收集更多關于攻擊者的信息。比方掃描活動可能會覺察系統(tǒng)中有特洛伊木馬正在監(jiān)聽，意味著攻擊主機本身已經(jīng)被破壞了。在使用這些掃描工具之前，安全大事處理人員應領先與組織的法律代表進展爭論，由于這類掃描可能會和組織的政策沖突，甚至觸犯法律。?使用網(wǎng)絡搜尋引擎查找攻擊者在大多數(shù)攻擊中，安全大事處理人員至少會有一些關于攻擊者可能身份的一些信息，比方IP源地址、電子郵件地址、或是 IRC上的昵稱。利用這些數(shù)據(jù)在因特網(wǎng)上進展搜索可能會搜尋到更多的攻擊者信息，如有關類似攻擊的郵件列表消息，或者甚至是攻擊者的些搜尋工作并不需要在安全大事被完全限制之前進展。

WE吐頁。這?使用安全大事數(shù)據(jù)庫有幾個小組收集來自各個組織的入侵檢測和防火墻日志數(shù)據(jù)并將它們合并到安全大事數(shù)據(jù)庫中。有些這樣的數(shù)據(jù)庫允許人們搜尋對應一個特定IP地址的記錄。安全大事處理人員可以使用該數(shù)據(jù)庫來查看是否有其它組織正在報告來自一樣來源的可疑活動。組織也可以檢查自己的安全事件追蹤系統(tǒng)或數(shù)據(jù)庫來查找相關活動。?對攻擊者可能的通信信道進展監(jiān)視有些安全大事處理人員用來確定攻擊者的另一種方法是監(jiān)視攻擊者可能使用的通信信道。比方，攻擊者可能聚攏在某個 IRC頻道上，吹噓他們已經(jīng)篡改了哪些 WEBfc頁。但是安全大事處理人員應當只他們得到的這類信息看作是深入調(diào)查和證明的潛在線索，而不是事實。4、消退和恢復在安全大事被之后，就要開頭著手消退安全大事的各個局部，比方去除惡意代碼、禁用違規(guī)帳號對有些安全大事，消退工作或者沒必要或者要在恢復過程中開展。在恢復過程中，治理員要把系統(tǒng)恢復到正常狀態(tài)，并且對系統(tǒng)進展加固〔假設可行的話〕防止類似安全大事?；謴凸ぷ魍ǔ婕暗揭韵禄顒?，比方從干凈的備份上對系統(tǒng)進展恢復、從頭重建系統(tǒng)、用干凈的版原來替換被破壞的文件、安裝補丁、更換口令并加強絡邊界安全〔比方防火墻規(guī)章集、邊界路由器的訪問把握列表〕。最好承受更高級別的系統(tǒng)日志或網(wǎng)絡監(jiān)視，作為恢復過程的一局部。一旦某個資源被成功攻擊，那么它往往還會再次遭到攻擊；或者同一組織中的其它資源可能會遭到類似的攻擊。因特網(wǎng)上有很多用于恢復和保護系統(tǒng)的有用資源。由于消退和恢復工作通常是與操作系統(tǒng)或應用具體相關，有關它們的具體建議和指南超出了本文檔的范圍。預備檢測和分析預備檢測和分析制賒復1、吸取閱歷學習和改進是安全大事響應中最重要也是最常常被無視的局部。每個安全大事響應小組都應當不斷進步以應對的威逼、適應的技術并吸取閱歷教訓。很多組織都覺察在發(fā)生嚴峻安全大事后和各相關方面共同舉辦一次“閱歷吸取”會議，對改善安全措施以及安全大事處理過程本身是格外有幫助的。這類會議通過回憶發(fā)生何種大事、實行了何種活動來解決問題以及解決程度如何等供給一次時機來給安全大事作岀結論。這類會議應當在安全大事發(fā)生后的幾天內(nèi)進展。 在會議中要答復的問題有：?到底發(fā)生了什么安全大事，在什么時間發(fā)生的？?在安全大事處理中員工和治理人員的表現(xiàn)如何？是否遵循了書面流程？是否充分??哪些信息是最迫切需要的？?是否有任何所實行的措施會影響恢復工作？?假設下次發(fā)生同類安全大事，員工和治理層需要有哪些改進？?可以實行哪些訂正措施來防止將來同類安全大事的發(fā)生？?還需要哪些工具來對將來安全大事進展檢測、分析和減緩？對小的安全大事要進展有限的安全大事后分析， 同時要想到那些通過影響比較大的攻擊方法所展開的攻擊。在發(fā)生了嚴峻攻擊后，往往都值得召開一次事后會議，該會議應當超越小組和機構邊界，供給一種信息共享機制。召開此類會議中一個主要的考慮是要保證適宜的人員參與。不僅僅是要邀請那些已經(jīng)涉足被分析大事的人員，而且也要考慮邀請那些對將來合作有幫助的人。這類會議是否能成功還取決于會議的日程安排。在會議之前，收集參與人員的期望和需求〔包括被提議要爭論的話題〕可以使參與人員的需求得到滿足的可能性提高。此外，在會議開頭之前或過程中確定好挨次規(guī)章可以將混亂降低到最小。安排一個或多個閱歷豐富的調(diào)解人員可以產(chǎn)生很好的效果。最終，要記錄協(xié)議主要點和活開工程，并通報給那些沒有參與會議的方面。閱歷吸取會議還有其它的好處，這些會議的報告是培訓小組成員的極佳材料， 告知他們那些閱歷豐富的小組成員是如何對安全大事作岀響應的。對安全大事響應政策和流程進展更是閱歷吸取過程的另 一個重要方面。對安全大事處理方式的事后分析常常能暴露遺漏的步驟或某個流程中的不當之處，并成為變更的推動力。由于信息技術性質(zhì)的變更和人員的變更，安全大事響應小組應當每隔一段指定時間檢查所有的安全大事處理相關文檔和流程。另一個重要的安全大事后活動是針對每個安全大事創(chuàng)立一個隨后的報告，這對將來使用格外有用。首先，該報告供給了一個參考，用于幫助處理類似安全大事。創(chuàng)立一個正式的大事年表〔包括像系統(tǒng)日志信息這樣的時間戳信息〕也是出于很重要的法律緣由，如同為由于軟件和文件喪失、硬件破壞以及人員成本而帶來的損失進展金錢方面的估量。這些估量可能作為日后像美國總檢查長辦公室等實體進展起訴活動的根底。后續(xù)報告應當依據(jù)記錄保存政策中所規(guī)定的時間進展保存。2、使用收集到的數(shù)據(jù)閱歷吸取活動應當產(chǎn)生與每個安全大事相關的一套主觀和客觀數(shù)據(jù)。一段時間后，這些被收集的安全大事數(shù)據(jù)應當在多個方面都有用。這些數(shù)據(jù)，尤其是大事總消耗時間和本錢可能會被用來說明安全大事響應小組額外資金的合理性。安全大事特征爭論可能會提示出系統(tǒng)安全弱點和威逼，以及安全趨勢的變化。這些數(shù)據(jù)也可以反響會風險評估過程中，并最終指引著對補充安全把握的選擇和實現(xiàn)。對這些數(shù)據(jù)的另一種善加利用的方法是對安全大事響應小組的成功加以度量。假設安全大事數(shù)據(jù)得以適當收集和存放，它應該供給幾種對安全大事響應小組成功性〔或至少是活動〕的度量方法。進一步說，那些被要求對安全大事信息進展報告的組織〔比方像聯(lián)邦機構〕要收集必要的數(shù)據(jù)來滿足其要求。組織在收集數(shù)據(jù)的時候應當著重于收集那些對提起訴訟有用的數(shù)據(jù)，而不是僅僅由于數(shù)據(jù)可以獲得就收集它們。比方，對每周發(fā)生的預端口掃描次數(shù)進展計數(shù)，并在年末產(chǎn)生一張圖表顯示端口掃描增長了八個百分點，這類活動沒有多大意義，而且格外鋪張時間。數(shù)據(jù)本身不能供給任何信息，了解它們?nèi)绾螌M織的業(yè)務過程形成威逼才是重要的。組織應當依據(jù)報告要求和預期投資回報來打算收集什么樣的安全事件數(shù)據(jù)〔比方在相關弱點被利用之前識別的威逼并減緩它們〕，與安全大事相關的可能度量包括：?所處理安全大事的數(shù)量處理的安全大事數(shù)量多并不愿定更好，比方由于承受了更好的網(wǎng)絡和主機安全把握而不是由于安全大事響應小組無視，使得所處理的安全大事數(shù)量削減。處理安全大事的數(shù)是對安全大事響應小組工作量的最好度量，而不是對小組工作質(zhì)量的度量。針對每個安全大事分類〔如未經(jīng)授權的訪問〕生成單獨的安全大事計數(shù)要更有效些。也可以利用子分類來供給更多的信息。比方，由內(nèi)部人員發(fā)起的未經(jīng)授權的訪問安全大事可能促使在人員背景調(diào)查和計算資源濫用方面更強的政策規(guī)定，并對內(nèi)部網(wǎng)絡實行更強的安全把握〔如對更多的內(nèi)部網(wǎng)絡和主機實行入侵檢測軟件〕。?每個安全大事所消耗時間對每個安全大事，可以用幾種方式來度量其時間：▲在處理安全大事中所花費的總勞動量；▲從安全大事發(fā)生處處理完畢的時間；▲安全大事處理過程中的每個階段的時間；▲從安全大事響應小組作出響應到提交最初的安全大事報告用了多長時間?對安全大事的客觀評估對已解決安全大事所作出的響應可以加以分析，以確定其效果如何。以下是一些對安全大事進展客觀評估的例子：▲對安全大事日志、表格、報告以及其它安全大事文檔進展檢查，看是否符合已經(jīng)建立的安全大事響應政策和流程；▲確認安全大事的哪些前兆和跡象被記錄了下來，從而確定安全大事如何被有效地記入日志了；▲確定安全大事在被覺察前是否已經(jīng)產(chǎn)生了破壞；▲確定安全大事的真正起因是否已被找到；▲計算安全大事所帶來的金錢損失；▲確定實行哪些措施〔假設有的話〕可以預防這類安全大事。?對安全大事的主觀評估安全大事響應小組成員可能會被要求對其自己的以及其他成員和整個小組的績效進展評估；另一個有價值的輸入源是被攻擊資源的擁有者，用來確定擁有者是否認為安全大事已得到有效處理，以及結果是否令人滿足。除了承受這些測度方法來對小組是否成功進展度量外，組織還會覺察定期對其安全大事響應工程進行審計格外有用。通過審計可以覺察問題和缺陷，然后加以訂正。最低限度上，安全大事響應審計應當依據(jù)現(xiàn)有的適用條例、政策及最正確實踐對以下工程進展評價：?安全大事響應政策和流程；?工具和資源；?小組模式和構造；?安全大事處理人員培訓和教育；?安全大事文檔和報告；?本節(jié)前面所爭論的對成功與否的度量。3、證據(jù)保存組織應當建立安全時間證據(jù)應當保存多長時間的政策。多數(shù)組織選擇在安全大事完畢后將全部證據(jù)保存幾個月或幾年。在創(chuàng)立政策過程中應當考慮以下因素：?起訴假設對攻擊者進展起訴是可能的，那么可能需要對證據(jù)加以保存，直到全部的法律動作結束為止。有些狀況下，這可能會經(jīng)受幾年時間。而且現(xiàn)在看起來沒有意義的證據(jù)可能在將來變得格外重要。比方，假設攻擊者能夠依據(jù)從一次攻擊中收集到的學問又發(fā)起更為嚴峻的攻擊，那么來自第一次攻擊的證據(jù)在解釋其次次攻擊是如何實現(xiàn)時就格外關鍵。?數(shù)據(jù)保存多數(shù)組織都有數(shù)據(jù)保存政策，規(guī)定某些類型的數(shù)據(jù)要保存多久。比方，某個組織規(guī)定電子郵件消息最多保存180天。假設磁盤映像中包含幾千封電子郵件，組織可能不期望此映像的保存期超過180天，除非確實有必要。一般記錄時間表〔GSR24規(guī)定安全大事處理記錄應當保存三年。?本錢作為證據(jù)存放的原始硬件〔如硬盤、遭破壞系統(tǒng)〕以及用來保存磁盤映像的硬盤和其它設備對多數(shù)組織來講都不貴。但是，假設組織常年保存著大量這種設備，那本錢就高了。組織還必需保存專門的計算機，可以使用這些被保存的硬件〔如硬盤〕和介質(zhì)〔如備份磁帶〕；一旦所存放證據(jù)不能被讀岀，那么它也就失去它的價值了。4、安全大事處理核對表表1中的核對表給岀了在安全大事初期處理過程中的主要步驟。 表中的各項僅提到了對安全大事的檢測和分析；在這些完成之后，安全大事處理人員應當使用核對表來協(xié)作特定類型的安全大事。表對不屬于任何一個分類的安全大事處理給岀了一個一般性核對表。

2中針要留意實際步驟可能會隨被處理安全大事類型及每個大事的性質(zhì)而不同。比方，假設安全大事處理人員通過對跡象進展分析〔表11.1〕。核對表在應當執(zhí)行的主要步驟上為安全大事處理人員供給了一個指南。這并不意味著總是要遵循嚴格的步驟挨次。1初期安全大事處理核對表動作動作完成檢測與分析1確認是否發(fā)生安全大事1.1分析安全大事的前兆和跡象1.2查找相關信息1.31.4開放搜尋〔比方通過搜尋引擎、學問庫等〕2一旦安全大事處理人員信任發(fā)生了安全大事，開頭對調(diào)查進行記錄并收集證據(jù)依據(jù)類別〔比方拒絕效勞攻擊、惡意代碼、未經(jīng)授權訪問、不當使用、復合型安全大事〕對安全大事進展分類3遵循適當?shù)陌踩笫路诸惡藢Ρ?；假設安全大事不屬于任何一個類別，遵循一般性核對表2針對未分類安全大事的一般性安全大事處理核對表動作 完成檢測與分析1 依據(jù)業(yè)務影響對安全大事的處理進展優(yōu)先排序1.11.22限

確定哪些資源受到影響并推想哪些資源將受到影響 「估量安全大事當前和潛在的技術后果依據(jù)技術后果以及受影響的資源，從優(yōu)先級矩陣中找到適當?shù)膯卧獙踩笫聢蟾娼o適當?shù)膬?nèi)部人員和外部組織制 、 消 除