安全网管技术概述第6章网络安全事件响应

1、安全网管技术概述1第6章 网络安全事件响应本章主要内容安全事件响应简介风险分析事件响应方法学追踪方法陷阱及伪装手段2参考资料：参考资料：网络安全事件响应，段海新等译，人民邮电出版社3安全事件响应简介计算机时代初期，独立的计算机非常安全只有物理上接触计算机的用户才有威胁Internet化的今天，安全成了大问题Internet缺乏内在的安全机制（因为安全机制通常是繁琐的、混乱的、费钱的）CERT/CC的成立Computer security incident response team/ Coordination Center :/ 为整个Internet服务4事件影响计算机系统和网络安全的不当行

2、为恶意事件：对系统的破坏、某个网络内IP包的泛滥、未经授权的访问、非授权修改网页、毁坏数据。往往是非计划发生的本章不讨论与自然灾害和能源有关的破坏事件5事件的种类破坏CIA（Confidential、Integrity、Availability）特性的事件窃取机密信息，篡改数据，DoS攻击其它类型侦察性扫描抵赖-尤其是电子商务领域传播色情内容欺诈-假的登录界面窃取密码愚弄6事件响应的工作事件响应是事件发生后采取的措施和行为。通常是阻止和减小事件带来的影响。行动可能是人为驱动也可能是由计算机系统自动完成。事件响应不仅仅需要技术技能，还需要管理能力、法律知识、人际关系、甚至心理学等方面的知识和技能

3、7PDR 安全模型策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）8需要事件响应的理由保护网络安全的困难设置很严格的安全政策由于成本和实际约束不可行因此探查安全威胁并迅速恢复是一个必要的保护策略注意：有效的事件响应可以一定程度弥补安全政策的不足，但是不能完全替代安全政策9风险分析计算机和信息安全，总是与处理风险和管理风险相关信息安全实践的起点就是风险分析风险分析确定在计算机系统和网络中每一种资源缺失造成的预期损失如：对一个机构，篡改财务应用程序可能是一种最大的风险，其次是网络基础设施的破坏和中断，接着是外部侵入的风险，以及其他风险10风险

4、分析风险分析可以是定量的或定性的。定量的风险分析，用数字（通常是货币数字）来表示风险代表的数量。风险 = 概率X损失如：一年内客户数据库破坏的概率为0.005，一次破坏的损失是1000万，则风险是1000X0.005=5万定性的风险分析，用高、中等、低来决定某种危险的影响11风险分析的数据来源哪些类型的事件在某个机构经常发生？本机构内部发生事件的相关数据其他机构收集到的事故数据如CERT/CC发布近期事件的小结脆弱性分析通过扫描，找出系统、网络设备、应用程序和数据库的弱点，可以指导风险分析12风险分析的重要性通过风险分析，找出风险高的威胁，提前对相关事件给予更多的关注和分配更多的资源有了这些准

5、备，当相关事件出现时，事件的响应就会更有效风险是动态的，风险分析如果被正确使用也应该是动态的。保持与新的威胁和新的发展同步是进行成功事件紧急响应所必不可少的13事件响应方法学6阶段事件响应方法学准备检测抑制根除恢复跟踪缩写PDCERF14阶段1：准备在事件的发生前为事件响应做好准备，包含基于威胁建立一组合理的防御/控制措施必须保证用于处理事件的系统和应用是安全的建立一组尽可能高效的事件处理程序采取哪些步骤、优先级、任务的分工、可接受的风险限制获得处理问题必须的资源和人员建立一个支持事件响 应活动的基础设施更新联系表非常重要15阶段2：检测对于事件响应，检测和入侵检测不是同义词检测：是否出现了恶

6、意代码、文件和目录是否备篡改或者出现其他特征，问题在哪里，影响范围有多大入侵检测：确定对系统的非授权访问和滥用是否发生如：病毒的检测属于前者检测包含的范围比入侵检测广事件响应过程的其他动作都依赖于检测，检测触发事件响应，因此检测特别重要16检测方法依赖相关软件病毒检测软件、木马检测软件系统完整性检查软件通过一些征兆判断异常活动：下班之后的登录，不活跃或系统缺省账号活动账号异常：出现了不是由管理员创建的账号文件异常：出现了不熟悉的程序、文件，www主页被修改17初步动作和响应当发现异常事件，以下操作可能获得很高的回报花时间分析异常现象启动审计功能或增加审计信息量迅速备份系统，避免攻击者删除痕迹记

7、录发生的事情18估计事件的范围检测到事件后，需要迅速估计事件影响的范围影响了多少主机涉及到多大范围的网络侵入到网络内部有多远得到了什么权限风险是什么攻击者利用的漏洞存在范围有多大19报告过程确定事件发生后第一事件通知合法的权威机构不幸的是，现实中人们通常不会把信息尽可能的让需要的人知道 通常是首先通知首席信息安全官报告内容：事件的基本信息：攻击的类型、目的、涉及网络攻击源的信息攻击的结果威胁状态20阶段3：抑制目的：限制攻击的范围，限制潜在的损失和破坏抑制的措施可能相对简单，如一个账号的多次登录失败，简单封锁该账号就可以了抑制策略：完全关闭所有系统从网络上断开修改防火墙过滤规则封锁或删除有破坏

8、行为的账号提高系统的监控级别关闭部分服务21抑制事件抑制的一个基本部分是找到攻击者或安装在系统中的恶意程序和后门程序，并进行处理，避免攻击者未经授权再次进入系统22阶段4：根除目标：根除事件的原因找出事件根源并彻底根除，防止发生同样的事件如：对病毒：清除内存、系统、备份中的所有病毒对木马：找出并删除恢复关键的文件和信息23阶段5：恢复目标：把所有被攻破的系统和网络设备彻底地还原到它们正常的任务状态通常的做法：重新安装系统，然后恢复数据从备份中恢复整个系统安装所有操作系统、防火墙的补丁，修补路由器等网络设备的缺陷去除在抑制和根除阶段增加的临时防护措施24阶段6：跟踪目标：回顾并整合发生事件的相关

9、信息跟踪是最有可能被忽略的阶段重要性：有助于事件处理人员总结经验，提高技能有助于评价一个组织机构的事件响应能力所吸取的任何教训都可以当作新成员的培训教材25跟踪内容对每个重要事件进行事后的剖析什么时候发生了什么事事件处理过程中，需要哪些消息，如何得到了这些消息下一次应该怎么做最好其他：比如评估事件造成的损失26网络攻击的追踪含义：广义的，指确定引发事件的攻击者的身份狭义的，找到事件发生的源头，大部分情况下是找到事件源头的IP地址、MAC地址或主机名注意：IP地址、MAC地址都是可以伪造的27和PDCERF方法学的关系在检测、抑制和根除阶段最密切检测阶段：追踪一个特定IP的事件能帮助判断网络中的

10、流量是否是非法的抑制阶段：找到攻击源有助于采取正确的措施根除阶段：如UNIX系统的.文件中的错误记录28追踪方法搜索引擎攻击者可能会在某个地方炫耀自己的攻击经历，甚至会泄漏自己的身份netstat -an察看当前连接，对于Linux系统，netstat可能会被替换，这时cat /proc/net/tcp能看到连接日志数据登录日志、syslog、审计数据、防火墙日志为了防止日志数据被攻击者删除，可以考虑设置日志服务器专用于记录日志29追踪方法入侵检测系统的警报和数据原始的数据包直接在网络上抓包对于交换网络要预先考虑好抓包的手段30构建“攻击路径”攻击路径？由于攻击者可能会把若干台机器作为跳板，因此构建“攻击路径”可能会非常困难31陷阱及伪装手段陷阱和伪装手段就是使用模拟的方法，使一个看起来像是真实的系统、服务、环境等，但事实上它并不是这样的系统的一些方法。伪装手段是为了使攻击及滥用系统和网络的人，得到错误的信息；或与虚拟的或其他非真实环境交互，在这些虚拟或非真实环境里，他们无法造成破坏或只能进行很小的破坏。“陷阱”被设计用于吸引攻击者，并将攻击者的行为和动作记录下来。“陷阱”是伪装手段的一种32“蜜罐” Honey pot