CISP-3-应急响应

1、信息平安管理应急响应中国信息平安产品测评认证中心（CNITSEC）CISP-3应急响应（培训样稿）内容提要应急响应效劳背景什么是应急响应应急响应组的组建应急响应效劳的过程应急响应效劳的形式和内容应急响应效劳的指标应急响应效劳案例2应急响应效劳背景应急响应效劳的诞生CERT/CC1988年Morris蠕虫事件直接导致了CERT/CC的诞生。美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的平安事件处理。目前,CERT/CC是DoD资助下的抗毁性网络系统方案(Networked Systems Survivability

2、Program)的一局部,下设三个部门：事件处理、脆弱性处理、计算机平安应急响应组（CSIRT）。在CERT/CC 成立之后的14年里,共处理了28万多封Email,2万多个热线 ,其运行模式帮助了80多个CSIRT组织的建设。3应急响应效劳背景CERT/CC效劳的内容平安事件响应平安事件分析和软件平安缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员平安培训指导其它CSIRT（也称IRT、CERT）组织建设4内容提要应急响应效劳背景什么是应急响应应急响应组的组建应急响应效劳的过程应急响应效劳的形式和内容应急响应效

3、劳的指标应急响应效劳案例5事件响应事件响应：对发生在计算机系统或网络上的威胁平安的事件进行响应。事件响应是信息平安生命周期的必要组成局部。这个生命周期包括：对策、检测和响应。网络平安的开展日新月异,谁也无法实现一劳永逸的平安效劳。6应急响应描述当平安事件发生需要尽快解决,而一般技术人员又无法迅速处理的时候,就需要平安效劳商提供一种发现问题、解决问题的有效效劳手段来解决问题。这种效劳手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹,而又无法当时解决和追查来源时,平安效劳商根据客户的要求以最快的速度赶到现场,协助客户解决问题,查找后门,保存证据和追查来源。 7什么是应急响应应急响应也

4、叫紧急响应,是平安事件发生后迅速采取的措施和行动,它是平安事件响应的一种快速实现方式 。应急响应效劳是解决网络系统平安问题的有效平安效劳手段之一。8应急响应的目的应急响应效劳的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减小平安事件带来的影响。9应急响应效劳的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性由IRT中的人提供效劳,而不是一个硬件或软件产品 突发性强需要广泛的协调与合作10内容提要应急响应效劳背景什么是应急响应应急响应组的组建应急响应效劳的过程应急响应效劳的形式和内容应急响应效劳的指标应急响应效劳案例11应急响应组的组建什么是应急响应组（IRT）

5、应急响应组就是一个或更多的个人组成的团队,能快速执行和处理与平安有关的事件的任务。为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力12应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络效劳提供商 IRT厂商 IRT企业 /政府 IRT如：绿盟科技如：CCERT如：Cisco、IBM如：中国银行、 公安部如CERT/CC, FIRST如CNCERT/CC13国外应急响应组建设情况国外平安事件响应组（CSIRT）建设情况FedCI

6、RC、BACIRT、DFN-CERT等DOE CIAC、 AFCERT、NavyCIRT亚太地区：AusCERT、SingCERT等FIRST（1990）FIRST为IRT组织、厂商和其他平安专家提供一个论坛,讨论平安缺陷、入侵者使用的方法和技巧、建议等,共同的寻找一个可接受的方案。120多个正式成员组织,覆盖20多个国家和地区。FIRST的大量工作都是由来自各成员组织的志愿者完成的,从FIRST 中获益的比例与IRT愿意提供的奉献成比例。14国内应急响应组建设情况计算机网络根底设施已经严重依赖国外由于地理、语言、政治等多种因素,平安效劳不可能依赖国外的组织国内的应急响应效劳组织还处在建设阶段

7、CCERT（1999年5月）,中国教育科研网紧急响应组NJCERT（1999年10月）,中国教育网华东（北）地区网络平安事件响应组中国电信ChinaNet平安小组解放军,公安部商业网络平安效劳公司中国计算机应急响应组/协调中心CNCERT/CC信息产业部平安管理中心 ,2000年3月,北京15国际应急响应组网址美国 清华 欧洲 新加坡 台湾省 印尼 瑞士 澳大利亚 德国 日本 马来西亚 韩国 墨西哥 菲律宾 16内容提要应急响应效劳背景什么是应急响应应急响应组的组建应急响应效劳的过程应急响应效劳的形式和内容应急响应效劳的指标应急响应效劳案例17应急响应效劳的过程准备检测抑制铲除恢复跟踪18应急

8、响应效劳的过程准备基于威胁建立一组合理的防御/控制措施建立一组尽可能高效的事件处理程序获得处理问题必须的资源和人员建立一个支持事件响应活动的根底设施19应急响应效劳的过程检测确定事件是已经发生了还是在进行当中初步动作和响应选择检测工具,分析异常现象激活审计功能迅速备份完整系统记录所发生事件估计平安事件的范围20应急响应效劳的过程抑制限制攻击的范围,同时限制了潜在的损失和破坏。抑制策略完全关闭所有系统；将网络断开；修改所有防火墙和路由器的过滤规则,拒绝来自看起来是 发起攻击的主机的所有的流量；封锁或删除被攻击的登录账号；提高系统或网络行为的监控级别；设置诱饵效劳器作为陷阱；关闭被利用的效劳；还击

9、攻击者的系统等。21应急响应效劳的过程铲除平安事件被抑制后,找出事件根源并彻底铲除,即铲除事件的原因。22应急响应效劳的过程恢复把所有受侵害或被破坏的系统、应用、数据库等彻底地复原到它们正常的任务状态。23应急响应效劳的过程跟踪回忆事件处理过程总结经验教训为管理或法律目的收集损失统计信息建立或补充自己的应急方案24内容提要应急响应效劳背景什么是应急响应应急响应组的组建应急响应效劳的过程应急响应效劳的形式和内容应急响应效劳的指标应急响应效劳案例25应急响应效劳的形式远程应急响应效劳本地应急响应效劳26远程应急响应效劳客户通过 、Email、传真等方式请求平安事件响应,应急响应组通过相同的方式为客

10、户解决问题。经与客户网络相关人员确认后,客户方提供主机或设备的临时支持账号,由应急响应组远程登陆主机进行检测和效劳,问题解决后出具详细的应急响应效劳报告。远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,客户确认后,转到本地应急相应流程,同时此次远程响应无效,归于本地应急响应类型。27本地应急响应效劳应急响应组在第一时间赶往客户网络系统平安事件的事发地点,在现场为客户查找事发原因并解决相应问题,最后出具详细的应急响应效劳报告。 28应急响应效劳的内容病毒事件响应系统入侵事件响应网络故障事件响应拒绝效劳攻击事件响应29内容提要应急响应效劳背景什么是应急响应应急响应组的组建应急响应效劳的过

11、程应急响应效劳的形式和内容应急响应效劳的指标应急响应效劳案例30应急响应效劳的指标远程应急响应效劳 在确认客户的应急响应请求后2小时内,交与相关应急响应人员进行处理。无论是否解决,进行处理的当天必须返回响应情况的简报,直到此次响应效劳结束。 本地应急响应效劳 对本地范围内的客户,3-6小时内到达现场；对异地的客户,24小时加路途时间内到达现场。 31内容提要应急响应效劳背景什么是应急响应应急响应组的组建应急响应效劳的过程应急响应效劳的形式和内容应急响应效劳的指标应急响应效劳案例32应急响应效劳案例国家XX局的主机入侵应急响应XX证券公司“红色代码病毒事件应急响应XX电信公司网络拒绝效劳攻击事件

12、应急响应XX省教育网拒绝效劳攻击事件应急响应33国家XX局应急响应事件描述 该主机位于国家XX局的X层计算机办公室,在2001年11月中曾经连续发生数据库被删除记录的事件,最后该网站管理员认定事件可疑,随即向国家XX局网络平安管理部门报告。主机用途 做为国家XX局计算中心内部网站使用,负责发布计算中心内部信息。操作系统Windows 2000 Server SP2,网站运行IIS5,后台数据库采用ACCESS。34国家XX局应急响应现场分析 主要依据是效劳器的IIS日志,利用查找功能在该日志的文件夹里查找是否有被攻击的行为。 查找漏洞攻击的关键字后发现没有找到任何攻击行为的征兆,只有几次NIM

13、UDA病毒发作的记录,和此次攻击事件无关。然后查找该主机数据库的关键字mynews.mdb后发现该数据库曾经在11月被来自8 IP地址的的浏览者非法下载。进一步的跟踪该IP地址的浏览记录后发现,该IP地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此IP地址的访问并非远程管理员,所以初步疑心为攻击者。35国家XX局应急响应扫描分析发现效劳器采用FAT32的磁盘格式,建议采用NTFS格式的磁盘分区提供更高的平安可靠性能；没有采取端口访问限制策略,远程主机可以随意连接到电脑上的开放端口；开放的SNMP协议暴露效劳

14、器主机的配置和使用情况；没有禁止的IPC共享连接可以远程得到主机的网络和系统配置文件。36国家XX局应急响应原因分析 由于此名攻击者是直接下载的xx局计算中心网站的数据库文件,之前没有做任何攻击和猜解尝试,说明该攻击者非常熟悉该网站文件和数据库结构,疑心是内部知情人员所为。响应建议由于主机的数据库名称已经暴露,所以建议把该数据库文件名称改为新的名称；由于目标主机完全采用的是默认安装所以建议对该主机做一次全面的平安配置；建议主机打全最新的平安补丁；严格限制该主机的物理访问权限。37XX证券公司应急响应事件描述 2001年8月10日下午4点30分, XX证券信息中心紧急 :证券公司网络传输速度缓慢

15、,严重影响正常业务运作。5点10分,三名应急技术人员到达xx证券信息中心机房。 现场分析 通过检查 “冰之眼入侵检测系统的日志和使用网络监听设备监听网络流量,发现机房中一台清算业务的效劳器网络连接异常,经过仔细检查后,可以做出明确判断： XX证券内部网系统已经遭受“红色代码蠕虫的攻击,有大量Windows效劳器受到感染,并且正在以非常快的速度进行扫描和攻击,造成网络堵塞,严重影响了网络传输速度。 38XX证券公司应急响应原因分析 “红色代码蠕虫不是普通的病毒,不会通过邮件等方式进行传播,很有可能是因为拨号上网等方式传播进内部网,造成“红色代码蠕虫在证券内部网泛滥,严重影响正常的业务运作。 处理

16、过程证券信息中心迅速做出反响,通过 、Email等方式,将我公司发布的关于防范“红色代码蠕虫的公揭发布给各个营业部,并限定了问题处理期限。我公司应急响应人员与信息中心技术人员相互配合,于当晚将信息中心的效劳器进行了仔细的检查,对相关效劳器做了完备的防范措施。 39XX证券公司应急响应响应结论对于新出现的攻击方式应进行及时的跟踪并进行相应的处理。攻击事件发生后,应提高反响速度及处理速度,把可能出现的影响减至最小。建立全网的监控体系,及时发现问题。建立xx证券系统应急响应体系。严格网络平安制度,防止病毒、蠕虫等通过Internet传播进内部网系统。 40XX电信公司应急响应事件描述 2001年3月

17、xx电信公司遭受不明拒绝效劳攻击 ,造成了效劳器所在网段的堵塞,导致效劳器不能正常访问的后果。 现场分析 监听和仔细分析被攻击效劳器,然后利用攻击效劳器上的日志及相应的侦测手段,最后确定攻击者采用的是国内出现的一种新型攻击软件 。 经过仔细查找以及分析,发现攻击者的来源,确认攻击者IP地址为202.105.xxx.xxx,来自xx省,初步判断为拨号用户,攻击时间为2001年3月16日凌晨2点5点。 41XX电信公司应急响应原因分析 本攻击软件可以在互联网上自动查找存在Windows操作系统Unicode漏洞的效劳器,然后利用unicode的漏洞,通过URL地址栏发送攻击指令如下： ping l

18、 攻击包长度 n 重复次数 攻击目标 例如：ping l 65000 n 500 08 大量的互联网主机同时用巨大的ping包针对某台效劳器进行攻击,造成了效劳器所在网段的堵塞,导致效劳器不能正常访问的后果。 42XX电信公司应急响应处理过程 针对效劳器的Unicode漏洞进行修补,补丁说明如下：Windows NT 4.0简体中文版 IIS4 Unicode补丁prmcan4i.exeWindows 2000 简体中文版 IIS5 Unicode补丁 q269862_w2k_sp2_x86_cn.exe 在效劳器上直接运行此程序,然后按提示执行,效劳器重新启动后补丁生效。 43XX电信公司应急响应响应结论 因为此种攻击手段会暴露攻击者IP地址和攻击点IP地址,同时被利用作为攻击点的效劳器会因为负荷问题而产生IIS效劳停止或反响缓慢的病症,攻击者因权限问