CISP-信息安全应急响应

1、信息安全应急响应中国信息安全测评中心CISP-19-信息安全应急响应2009年6月1背景：信息安全管理技术信息安全管理风险管理基本概念信息安全管理技术风险评估业务持续性和灾难恢复定量/定性风险评估风险评估工具和方法知识类知识体知识域知识子域BCP&DRP概念和背景业务持续性计划编制和内容业务持续性计划的技术和管理应急响应背景和组织应急响应流程应急响应2目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备阶段关键措施推荐应急响应服务案例3一、互联网网络安全面临重大挑战4目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响

2、应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例补充材料：如何编制本单位的应急预案5我国互联网环境随着互联网各种应用的不断发展，大量的基础网络成为黑客的攻击目标。我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患：计算机病毒传播和网络非法入侵十分猖獗网络违法犯罪持续大幅上升安全漏洞，黑客病毒技术、网络钓鱼技术、木马间谍程序6互联网安全威胁事例事例2003年：SQL SLAMMER、口令蠕虫事件、冲击波蠕虫事件2004年5月：黑客操控六万台电脑制造 “僵尸网络”发起拒绝服务攻击2005年12月荷兰19岁黑客控制150万台电脑组建僵尸网络从2006年底到2007年初，“

3、熊猫烧香”在短短时间内通过网络传播全国，数百万电脑中毒2008年，黑龙江网民篡改红十字会地震募捐账号被捕2009年，卡巴斯基网站数据库遭黑客攻击机密信息外泄 相互结合，危害无穷Bot、网络蠕虫、计算机病毒、木马程序合为一体7网络安全热点网站仿冒（Phishing）建立假网站通过垃圾邮件发送服务器大量发信引诱用户访问使用中奖、系统升级等手段诱使用户输入个人信息主要针对银行和信用卡服务机构89网络钓鱼的靶心仿冒网络银行 (仿冒中国银行，中国银行真实网址为：) (仿冒中国工商银行，中国工商银行真实网址为：) （仿冒招商银行，招商银行的真实网址为：）等仿冒方式假冒域名、网页、邮件10网络安全热点僵尸网

4、络的具体概念Bot僵尸程序Zombie被植入Bot程序的计算机IRC Bot利用IRC协议进行通信和控制的Bot基于僵尸网络（ Botnet ）的网络敲诈大量主机被安装了BOT黑客可以通过IRC服务器实施控制随时可能发动攻击BOT可以进行升级，扩大攻击能力11网络安全热点手机和无线网络（WLAN）的安全2004年，针对使用Symbian的兰牙手机的病毒出现针对使用PocketPC的验证性攻击程序也被发现手机功能和操作系统通用性不断增强，会有越来越多针对手机的攻击WLAN安全性一直是其应用的关键问题2004年出现了可利用来对IEEE 1278.11b无线接入点进行拒绝服务攻击的漏洞12网络安全热

5、点黑客地下经济产业链13系统越来越复杂工作站中存在信息数据员工移动介质网络中其他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境U盘、无线网络。14网络安全漏洞大量存在Windows十大安全隐患Web服务器和服务工作站服务Windows远程访问服务微软SQL服务器Windows认证Web浏览器文件共享LSAS Exposures电子邮件客户端 即时信息Unix十大安全隐患BIND域名系统Web服务器认证版本控制系统电子邮件传输服务简单网络管理协议开放安全连接通讯层企业服务

6、NIS/NFS 配置不当数据库内核来源SANS研究报告1516攻击复杂度与攻击者的技术水平高低19801985199019952000猜口令自我复制程序口令破解攻击已知漏洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗图形化界面自动扫描拒绝服务www攻击工具攻击者攻击者的知识水平攻击的复杂度隐秘且高级的扫描工具偷窃信息网管探测分布式攻击工具新型的跨主机工具17攻击范围和时间的变化全面框架区域网络多个局域网单个局域网单个pc目标和破坏的范围1980s1990sTodayFuture第一代Boot virusesWeeks第二代Macro virusesDenial of serviceDays第

7、三代Distributed denial of serviceBlended threatsMinutes下一代Flash threatsMassive worm-driven DDoSDamaging payload wormsSeconds快速变化的威胁18网络安全造成损失越来越大信息泄密“黛蛇事件”：2005年12月15日发现一个利用MS05-051微软高危漏洞传播的“黛蛇”蠕虫，该攻击下载运行键盘记录软件和蠕虫文件包，窃取用户数据。网络堵塞SQL SLAMMER：2003年1月25日发作,造成大面积网络拥塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台业务

8、停顿，网上招生停顿、网上交易中断等造成的财产损失难以估计，数字绝非耸人听闻从2004年10月起，北京一家音乐网站连续3个月遭到一个控制超过6万台电脑的“僵尸网络”的“拒绝服务（DoS）”攻击，造成经济损失达700余万元 切肤之痛？19防止网络故障造成巨大损失和影响2003.2.3阿尔及利亚停电事故2003.3.31伊朗大停电事故 2003.8.14美加大停电事故2003.8.28伦敦大停电2003.9.23瑞典和丹麦停电事故2003.9.28意大利和瑞士大停电2003年11月约旦停电事故2003.11.8利比亚西部停电事故2004年8月的约旦停电事故2005年5月的莫斯科停电事故20从安全事件

9、看网络安全威胁及其发展趋势21大规模蠕虫事件的特点蠕虫大规模爆发时的情形：“风暴”、“飓风”、“攻势凌厉”大规模蠕虫事件的特点：引起突发性的大量异常网络流量感染主机数量多、分布广对互联网用户造成的最直观影响是网络应用缓慢或停止只有从网络上设置访问限制才能遏制蠕虫的发展22蠕虫依然是重大的潜在威胁虽然2006年没有大规模的、造成重大社会影响的案例，但蠕虫依然是重大威胁传统破坏力：关键阶段的服务中断：入学报名或查询、在线证券交易、政府集中业务审批、奥运播报、etc.新破坏力：网络阻塞失泄密威胁严重成为黑客攻击他人的工具：DDoS致使全网DNS或者大型业务系统瘫痪；关键系统或资源被控制23蠕虫事件的

10、对抗爆发前的工作：漏洞分析；探测行为（有时没有）监测；漏洞影响评估；攻击代码监测；补丁、临时工具研制；临时措施研究与实施状态监测：代码特征分析；监测策略；数据分析网络控制：影响评估；可行性尝试；快速部署；隔离后的监测挑战：如果使用了必须的端口？终端清除：防病毒产品问题：主动遏制技术及其适用情况与范围？（对抗式蠕虫；网络自动隔离技术；worm poisoning）附属破坏力的发现与控制：代码分析；控制技术与能力24形势日渐严峻：通过互联网进行窃密的威胁日益增大最主要威胁：遭控制，尤其是关键节点失泄密2004年，6千多个IP2005年：超过2万2千个IP代码类威胁之：木马25传播途径：入侵+手工植

11、入蠕虫携带/蠕虫进入后下载垃圾邮件网页动机变化木马的演变26木马事件的对抗样本收集与分析活动监测：通信监测；操作监测控制切断数据分析：攻击源与动机分析；切取数据的分析新挑战：加密通信与数据保存？协议嵌套？27代码类威胁之：间谍软件2005年被CNCERT/CC列为三大重点关注对象之一2005年发现我国70万IP被植入间谍软件，与美国、韩国的服务器联络市场上已经出现专门的反间谍软件产品主要危害：信息泄漏主要特点：经常是获得用户许可之后运行的，或者借助在线服务等方法“合法”地传送信息28僵尸网络的威胁2005年CNCERT/CC关注的三大重点之一当前最严重的安全威胁之一2005年发现我国超过250

12、万IP被控制，分布在140多个僵尸网络中（不包括年初17万和荷兰组织提供的29万）一些国家开始作为专项展开研究；出现一些公司以反僵尸网络作为专门业务；多起专题国际研讨会主要危害：瘫痪基础网络；控制关键系统；信息泄漏；瘫痪或干扰重要应用；金融犯罪；etc.29僵尸网络的主要特点控制者获得超强的攻击能力作为攻击平台，能够使几乎所有其他类型的安全威胁的破坏力大增蠕虫；DDoS；网络钓鱼/在线身份窃取；垃圾邮件；信息窃取；伪造访问量； 敲诈勒索；etc.防火墙完全无能为力30僵尸网络的类型IRC-based Botnet: 绝大多数僵尸网络P2P-based Botnet:这类Bot采用点对点方式相互

13、通信Web-based Botnet:这类Bot利用Http协议向控制服务器传递信息AOL-based Botnet:登录到固定的AOL服务器接受控制命令。31完整僵尸网络的发现控制系统监视控制者追踪控制行为监视控制体系摧毁僵尸程序清除代码获取与数据分析挑战：新协议；P2P；加密僵尸网络事件对抗32恶意代码的特点对比类型特点传播性可控性窃密性危害类型僵尸程序可控传播高度可控有完全控制木马无可控有完全控制蠕虫主动传播无弱无弱主机和网络资源间谍软件无无严重窃密信息泄露病毒干预传播无无破坏文件33非代码类威胁之：网络仿冒国际上增长最快的、最热门的安全事件之一CNCERT/CC2005重点关注的三大威

14、胁之一国际上出现不少专门组织、专题研讨活动CNCERT/CC处理：2004年230；2005年456；主要危害：企业或个人经济利益损失大规模事件时可能导致一定范围金融瘫痪（例如数千万信用卡信息失窃时，银行可能被迫集中更换大批信用卡）34不断变化的技术手段：垃圾邮件+社会工程学方法+相似链接+仿冒网站垃圾邮件+社会工程学方法+隐藏的链接+仿冒网站利用浏览器漏洞做到更好的链接隐藏仿冒网站本身的技术变化恶意代码进驻+修改host文件+仿冒网站恶意代码进驻+监视软件恶意代码进驻：垃圾邮件+邮件工具漏洞；垃圾邮件+浏览器漏洞+陷阱网页蠕虫+恶意代码直接从在线交易环节中窃取信息！网络仿冒35我国网络仿冒的

15、基本情况安全防范能力薄弱安全防范意识对网络仿冒的危害没有了解部分网络业务非实名制度36始终没有解决的一个严重威胁目前敲诈勒索的主要手段之一蠕虫驱动的DDoS，以及大型僵尸网络发动的DDoS，可能严重威胁到基础网络/关键应用/重要应用系统的正常运行非代码类威胁之：拒绝服务攻击37非代码类威胁之：拒绝服务攻击攻击手法单对单：利用协议或协议实现漏洞；利用资源差异；利用基础服务配置和IP伪造多对单：利用资源差异+IP伪造；利用巨大的资源差异驱动力变化38过滤干扰流量；追溯攻击源头；追溯攻击者；公共策略执行：推广相关的基础配置；攻击平台摧毁拒绝服务攻击事件的对抗39非代码类威胁之：网页篡改居高不下：20

16、04年2059/1029；2005年13653/2027 2006年 31378/3589传统危害：政治和社会影响外交纠纷政务中断40网页篡改的演变威胁将不再仅仅局限于造成影响电子政务；网上业务；网上应用的中断“示威”性篡改到功利性篡改利用信誉高的网站设置陷阱新威胁：窃取数据入侵用户主机（可以是有针对性的）滥用作为攻击活动的中转或控制基地41发现：举报；主动搜索挑战：深度、广度的增加；新型恶意代码定位与分析尽早通知用户手段分析攻击者分析宏观分析恢复网页篡改事件的对抗42其他威胁病毒：概念日渐模糊化后门与逻辑炸弹：难以监测发现大量产品和技术严重依赖国外+高度互联的网络使得该隐患尤其严重垃圾邮件：

17、社会影响用于拒绝服务攻击用于传播恶意代码（邮件蠕虫）43各种威胁的变化趋势小结攻击分类模糊化攻击手段多样化攻击代码集成化/专业化攻击动机趋利化44潜在的其他问题国家利益维护：关键资源的拥有权、控制权，关键策略的话语权联合国中的激烈斗争：互联网治理Root server / Root zone file / 公共政策现状：正在成为国家关键信息基础设施的互联网，其公共政策的制定、关键资源的所有权与运行权，依然不能自主45基础薄弱资源欠缺合作欠缺宏观发现与分析能力欠缺不够重视“软”技术技术挑战潜在的其他问题46低 高高低潜在的破坏出现的可能性200020022005来源: DSB研究报告黑客罪犯间谍

18、恐怖分子国家 赞助潜在的其他问题47网络安全事件的威胁对象基础网络的健康运行国家关键信息基础设施重要应用（失能/失控）敏感信息企业与个人的经济等利益干扰经济秩序敲诈勒索48需要的元素 (x)需要的能力(y)各种威胁的应对(z)组织（专门人员）资源（包括制度）预 X监测控制恢复蠕虫DDoSBotnetSpyware平台（技术设备）资源（包括制度）网络安全保障能力的组成49网络安全保障能力Y-应对能力未雨绸缪：“预” 能力预防/预测/早期评估和警报等心明眼亮：“知”能力事件发现/监测运筹帷幄：“控”能力事件响应与控制/危机管理起死回生：“生”能力恢复/核心生存50网络安全保障能力X-实现要素公欲善

19、其事，必先利其器：技术产品&基础设施巧妇难为无米之炊：基础资源&方法规范（漏洞信息、恶意代码信息、重要应用资源信息以及流程、制度和预案 ）“人”是关键专业队伍&合作体系51网络安全保障能力Z-威胁研究知己知彼，百战不殆：蠕虫僵尸网络间谍软件PhishingDDoS52核心资源知识库信息库：国家网络安全数据资源平台（基础网络拓扑、IP定位、事件库、攻击特征库、病毒库、应用分布信息、漏洞库、攻击方法库）模拟计算平台Etc.53技术挑战：大规模突发事件的及时响应？攻方：漏洞/脆弱性发现恶意代码编写(测试, 可能)释放恶意代码守方：漏洞/脆弱性发现信息分发补丁开发补丁分发以及升级工作风险评估攻击行为监

20、测恶意代码获取和分析扩散控制补丁和工具分发和升级感染主机恢复全面升级、损失评估等54我们的对手有多快?漏洞发现：随时 & 4000个/年出现新的攻击代码：漏洞公布后的几星期甚至更短-0天1030 分钟 足够一个新的蠕虫导致大范围的网络瘫痪僵尸网络带来的新挑战那么，我们有多快？55技术挑战：宏观分析-海量数据56数据的有效性57100万 事件信息 1 万 事件信息 1百 事件信息 58理想化响应工作模式59非技术挑战:现实世界和虚拟世界的矛盾有边界的网络建设与管理，如何面对无边界的网络攻击攻击者可以轻易通过多个不同的网络、地区、或国家发起攻击，使得无论是采取有效措施对抗攻击减少损失，还是追查攻击

21、来源打击犯罪，都需要大范围的协调问题：现有秩序下的效率保持60追踪？隔离？各人自扫门前雪？61综合挑战：动态适应能力网络安全是一个动态的过程如何实现各个环节的动态调整能力？62综合挑战：其他能力建设：打造超人？分散、分工、和无配合的防护力量，如何对抗有组织有计划的攻击行为？面对众多的应用可能面临的众多威胁，如何要求自己的安全管理人员能够熟悉这一切？攻击定位十分困难：无论是虚拟世界的定位还是现实世界的定位。使得防范和追查都十分困难技术以外的问题怎么办：做好自己的事情，不足以保证自己的安全，那么如何确保 “公共卫生”？63是否真正知道我国的网络中正在发生什么？是否掌握国家网络空间安全的真实状态？是

22、否掌握国家可能面临什么样的网络危机？国家信息化发展的相关决策缺乏依据信息化及其安全保障的计划可能陷入盲目缺乏准备，将来可能导致灾难性损失仅仅知道了一些事件，但是这些事件带来的危害和损失还不知道；模拟、分析、预测、评估能力还比较弱虽然有一个良好的起点，但是目前的水平还没有达到基本要求64小结很多问题还需要积极探索各方面合作的形成十分重要国际交流的重要性技术交流标准的话语权国际影响力65二、什么是应急响应66目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备阶段关键措施推荐应急响应服务案例67什么是应急响应Emergency Resp

23、onse/Incident Response:安全人员在遇到突发事件后所采取的措施和行动突发事件：影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题。这种情况包括常见的黑客入侵、信息窃取等，也包括拒绝服务攻击、网络流量异常等。68事件响应事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。69应急响应描述当安全事件发生需要尽快解决，而一般技术人员又无法迅速处理的时候，就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。这种服务手段可以描述为：客户的主机或网络正

24、遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全服务商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。 70应急响应的目的应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。71积极预防风险评估及时发现检测通报积极预防风险评估快速反应迅即救助积极预防风险评估及时发现检测通报确保恢复起死回生积极预防风险评估及时发现检测通报快速反应及时救助业务应急响应目标72积极预防凡是预则立，不预则废事件预防是事件应急响应能力的重要前提组织现有的

25、信息安全保障能力识别公司风险准备主机、采取网络安全措施制订应急响应目标的策略和规程73及时发现：安全保障的第一要求根本性的问题在于当事件发生的时候，有关人员能否及时发现，以及能否做出准确判断事后：部分用户投诉事件；事中：大规模网络攻击事件、 部分用户投诉事件事前：异常检测的分析结果、 关联事件、 根据其他情报获悉74快速响应不但对已知事件快速响应，对未知事件也可及时处理并采取相应措施75确保恢复：安全保障的第一目标应急处理的两个根本性目标：确保恢复、追究责任除非是“事后”处理的事件，否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能追究责任涉及到法律问题，一般用户单位或第三方

26、支援的应急处理人员主要起到配合分析的作用，因为展开这样的调查通常需要得到司法许可。76从应急组织到应急体系：网络安全保障的必要条件现实表明，单一的应急组织已经不能应对当今的网络安全威胁，我国的应急体系正是在实际工作的经验总结中逐渐形成的：平台从点到环到面；应急体系从点到树到网“现实世界中发生的任何事情，在网络世界中都可以找到与之对应的事件”SARS事件反映出社会防疫应急体系的重要红色代码、尼姆达、SQL杀手、口令蠕虫等具有和现实世界中的疫病相同的特点处理方式也具有同样的特点：隔离-分析-治疗不同之处：“病人”不自知；隔离缺乏法律依据或技术手段；应急缺乏成熟体系和工作制度.77“莫里斯事件”又称

27、“蠕虫事件”。1988年11月，美国Cornell大学学生Morris编写一个“圣诞树”蠕虫程序，该程序可以利用因特网上计算机的sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进入系统并自我繁殖，鲸吞因特网的带宽资源，造成全球10%的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学术界全球第一个计算机应急处理协调中心八八年的“莫里斯事件”美国能源部成立了自已的CIAC美国其他部门的情况在莫里斯事件发生之后，美国国防部高级计划研究署（DARPA）出资在卡内基-梅隆大学（CMU）的软件工程研究所（SEI）建立了计算机应急处理协调中心。该中心现在仍然由美国国防部

28、支持，并且作为国际上的骨干组织积极开展相关方面的培训工作。1989年，美国能源部（DoE）成立了自已的计算机事件处理组织，称为CIAC（Computer Incident Advisory Capability)，专门保证能源部计算机系统的安全。至此，各有关部门纷纷开始成立自己的计算机安全事件处理组织。作为发起国，美国在国防部、能源部、空军、海军、众议院、国家宇航局、国家标准与技术局、部分重点大学、IT界知名公司先后成立了六十余个计算机安全事件相应组织。重在响应、协调、研究/分析与统计计算机安全事件。网络蠕虫事件导致应急处理组织的诞生78应急处理的国际化FIRST计算机应急组织的国际舞台FIR

29、ST的宗旨FIRST成员的情况 1990年11月，在美国等的发起下，一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”，简称 FIRST Forum of Incident Response and Security Team。 FIRST的基本目的是使各成员能就安全漏洞、安全技术、安全管理等方面进行交流与合作，以实现国际间的信息共享、技术共享，最终达到联合防范计算机网络上的攻击行为的目标。 截止到2001年底，加入FIRST的CERT组织共有110个，涉及到的国家有24个，仅美国自身就有56个成员，因此说，FIRST组织是以美国为主体所构成。 截止到2006年4月底，FIRS

30、T的正式成员达到191个。CNCERT/CC于2002年8月成为FIRST的正式成员，处理.CN的安全事件。FIRST的工作规范FIRST组织有两类成员，一是正式成员，二是观察员。FIRST组织有一个由十人构成的指导委员会，负责对重大问题做出讨论，包括接受新的成员。新成员的加入必须有推荐人，并且需要得到指导委员会三分之二的成员同意。该委员会每月进行一次电话会议。FIRST的技术活动除了各成员之间通过保密通信进行信息交流外， FIRST组织每季度开一次内部技术交流会议，每年开一次开放型会议。通常是在美国与非美国国家交替进行。这是因为要照顾到美国代表的利益。79我国的应急处理体系信息产业部互联网应

31、急处理协调办公室国家计算机病毒应急处理中心（天津市公安局）国家计算机网络入侵防范中心（中科院研究生院）骨干网的CERT商业的安全服务提供商IDC的CERT国外CERT互联网安全服务试点单位国外政府部门（APEC经济体）国家计算机网络应急技术处理协调中心（CNCERT/CC）信息产业部(MII)其他管理部门CNCERT/CC地方分中心从点状到树状到网状，提供更快速的覆盖全国的应急支撑体系80CNCERT/CC发展历程（1）2000年10月，信息产业部组建成立了“计算机网络应急处理协调中心”，目的主要是与其他国家的计算机应急响应组织(CERT)进行交流加入专业化的国际组织“国际计算机事件响应与安全

32、工作组论坛（简称FIRST）协调全国的CERT组织共同处理大规模网络安全事件提高我国在计算机事件响应方面的技术水平和能力等。 81CNCERT/CC发展历程（2）2001年8月，原国信安办下发了关于成立“国家计算机网络应急处理协调中心”的决定（国信安办200123号），明确组建“国家计算机网络应急处理协调中心”，作为全国计算机网络应急处理体系中的牵头单位。根据国际惯例，该协调中心英文名称为“China National Computer Emergency Response Team Coordination Center”，简称CNCERT/CC。同时明确了CNCERT/CC的具体业务范围：

33、收集、核实、汇总、发布有关网络安全的权威性信息；为国家关键部门提供应急处理服务；协调和指导国内其它应急处理单位的工作；与国际上的应急处理组织进行合作和交流。 82应急响应服务背景CERT/CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设8384三、应急响应组的组建85目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备阶段关键措施推荐应急响应服务案

34、例86什么是应急响应组（IRT） 应急响应组就是机构可以借助的网络安全专业组织。为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力应急响应组的组建87应急小组的分类和工作范围形式多样、规模大小不一服务的对象和范围不同我国的国家互联网中心（ CNCERT/CC ）日本计算机应急响应协调中心（JPCERT/CC）IBM安全管理服务（IBM-MSS）工作范围按其工作方式来确定88应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提

35、供商 IRT厂商 IRT企业 /政府 IRT如：绿盟科技如：CCERT如：Cisco、IBM如：中国银行、 公安部如CERT/CC, FIRST如CNCERT/CC89关于加强信息安全保障工作的意见（中办发【2003】27号）第五部分 重视信息安全应急处理工作。国家和社会都有充分重视信息安全应急处理工作。要进一步完善国家信息安全应急处理协调机制，加强信息安全事件的应急处置工作。要加强信息安全应急支援服务队伍建设，鼓励社会力量参与灾难备份设施建设和提供技术服务，提供信息安全应急响应能力。国内的应急响应政策90国内的应急响应政策为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月

36、发布了网络与信息安全信息通报暂行办法、2004年9月发布了关于做好重要信息系统灾难备份工作的通知，2004年8月发布了关于建立健全基础信息网络和重要信息系统应急协调机制的意见等文件。这些文件对推动灾难备份和应急响应的发展起到了重要作用。91国际应急响应组网址美国 清华 欧洲 新加坡 台湾省 印尼 瑞士 澳大利亚 德国 日本 马来西亚 韩国 墨西哥 菲律宾 92四、应急响应服务的过程93目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备阶段关键措施推荐应急响应服务案例94应急响应的一般阶段第一阶段：准备让我们严阵以待第二阶段：确认对

37、情况综合判断第三阶段：封锁制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复备份，顶上去！第六阶段：跟踪还会有第二次吗95第一阶段准备预防为主微观（一般观点）：帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定96准备阶段制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统97人力资源准备指挥调度人员协作人员技术人员专家设备、系统和服务提供商98软硬件设备准备硬件设

38、备准备数据保护设备磁盘、磁带、光盘SAN冗余设备网络链路、网络设备关键计算机设备Any else?99 100软硬件设备准备软件工具准备备份软件日志处理软件系统软件网络软件应急启动盘Any else?病毒/恶意软件查杀软件101建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneEmailWho?What?When?Where?How?Reporting Mechanisms102第二阶段确认（检测和分析）确定事件性质和处理人微观（负责具体网络的CERT）：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程

39、度预计采用什么样的专用资源来修复？宏观（除了微观的工作外）：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急方案103快速分析事故的标志事故的标志分为两类：征兆和预兆Web服务器崩溃 用户抱怨主机连接网络速度过慢 子邮件管理员可以看到大批的反弹电子邮件与可疑内容 网络管理员通告了一个不寻常的偏离典型的网络流量流向 来源网络和主机IDS 、防病毒软件 、文件完整性检查软件系统、网络、蜜罐日志公开可利用的信息第三方监视服务104确认事故（1）确认网络和系统轮廓： 分析事故的最好技术方法之一理解正常的行为基于处理事故的良好准备使用集中的日志管理并创建日志保留策略： 执行事件

40、关联： 保持所有主机时钟同步： 105确认事故（2）维护和使用信息知识库 分析事故时的快速参考使用互联网搜索引擎进行研究运行包嗅探器以搜集更多的数据 过滤数据 经验是不可替代的 建立诊断矩阵寻求帮助106矩阵实例征兆拒绝服务恶意代码非授权访问不正确使用文件，关键，访问尝试低中高低文件，不适当的内容低中低高主机崩溃中中中低端口扫描，输入的，不正常的 高低中低端口扫描，输出的，不正常的 低高中低利用，带宽，高高中低中利用，电子邮件，高中高中中107事故优先级服务水平协议服务水平协议（SLA）定义服务目标及双方的预期及责任服务水平协议指标类别质量指标作用对象业务无关可用性业务接入点、应用、设备、传输

41、设备平均业务恢复时间业务接入点、应用、设备、传输设备平均故障间隔时间（MTBF）业务接入点、应用、设备、传输设备平均修复时间（MTTR）业务接入点、应用、设备、传输设备108应急响应服务的指标远程应急响应服务 在确认客户的应急响应请求后?小时内，交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应情况的简报，直到此次响应服务结束。 本地应急响应服务 对本地范围内的客户，？小时内到达现场；对异地的客户，？小时加路途时间内到达现场。 109应急响应SLA矩阵事故当前或将来可能影响的资源的重要性事故当前或将来可能的影响高（例如：互联网连接，公共Web服务器，防火墙，客户数据）中（例

42、如：系统管理员工作站，文件和打印服务器，XYZ 应用数据）低（例如：用户工作站）Root级访问15分钟30分钟1小时非授权的数据修改15分钟30分钟2小时对敏感信息的非授权访问15分钟1小时1小时非授权的用户级访问30分钟2小时4小时服务不可用30分钟2小时4小时骚扰130分钟本地IT职员本地IT职员这个影响类别指那些除了让用户厌烦没有其它负面影响的事故。例如，某个恶意代码的影响只是每小时在用户的显示屏上显示一条信息。110第三阶段遏制即时采取的行动微观：防止进一步的损失，确定后果初步分析，重点是确定适当的封锁方法咨询安全政策确定进一步操作的风险损失最小化可列出若干选项，讲明各自的风险，由服务

43、对象选择宏观：确保封锁方法对各网业务影响最小通过协调争取各网一致行动，实施隔离汇总数据，估算损失和隔离效果111建立遏制策略建议组织机构为几类主要的事故建立单独的遏制策略，其标准包括： 潜在的破坏和资源的窃取证据保留的需要服务可用性（例如：网络连接，提供给外部当事方的服务）实施战略需要的时间和资源战略的有效性（例如：部分遏制事故，完全遏制事故）解决方案的期限（例如：紧急事故工作区需在4小时内清除，临时工作区需在两周内清除，永久的解决方案）。112例：基于DDOS攻击的遏制策略1.基于攻击特征实施过滤。 2.纠正正在被攻击的漏洞或弱点 3.让ISP实施过滤 4.重定位目标 5.攻击攻击者 6.设

44、定证据保留时间 113第四阶段根除长期的补救措施微观：详细分析，确定原因，定义征兆分析漏洞加强防范消除原因修改安全策略宏观：加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题；加强检测工作，发现和清理行业与重点部门的问题；114第五阶段恢复微观：被攻击的系统由备份来恢复作一个新的备份把所有安全上的变更作备份服务重新上线持续监控宏观：持续汇总分析，了解各网的运行情况根据各网的运行情况判断隔离措施的有效性通过汇总分析的结果判断仍然受影响的终端的规模发现重要用户及时通报解决适当的时候解除封锁措施115第六阶段跟踪关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响

45、应效果给出评估对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动116事件归档与统计处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节117五、应急响应服务的形式和内容118目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备阶段关键措施推荐应急响应服务案例119应急响应服务的形式远程应急响应服务本地应急响应服务120远程应急响应服务客户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问题。经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程登陆主机进行

46、检测和服务，问题解决后出具详细的应急响应服务报告。远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本地应急响应类型。121本地应急响应服务应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急响应服务报告。 122应急响应服务的内容病毒事件响应系统入侵事件响应网络故障事件响应拒绝服务攻击事件响应123响应式服务预防式服务安全质量管理服务警报和警告事件处理事件分析现场事件响应事件响应支持事件响应协调安全漏洞处理安全漏洞分析安全漏洞响应安全漏洞响应协调Artifact处

47、理Artifact分析Artifact响应Artifact响应协调公告技术监测与安全审计评估安全工具、应用程序和基础设施的配置和维护安全工具的开发入侵检测服务安全有关的信息的传播风险分析服务持续性和灾难恢复规划安全性咨询建立安全意识教育/培训产品评估或认证应急响应服务的内容124应急响应服务的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品 突发性强需要广泛的协调与合作125六、应急响应准备阶段关键措施推荐126目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备

48、阶段关键措施推荐应急响应服务案例127应急响应处理实践所处理的事故类型拒绝服务事故拒绝服务（DoS）：通过耗尽资源来阻止或伤害网络、系统或应用的攻击。分布拒绝服务（DDoS）：一种使用大量主机执行攻击的 DoS技术。恶意代码事故恶意代码：感染主机的病毒、蠕虫、特洛伊木马或其它代码实体。非授权访问事故非授权访问： 人员没有没有得到许可，获得对网络、应用、数据或其它资源的逻辑或物理访问。 不正确使用事故不正确使用： 人员违反可接受的信息系统使用策略。 多组件事故多组件事故：单个事故包含两个或多个事故。128准备阶段拒绝服务事故主要工作推荐主机上的设置配置防火墙规则集以预防反射器攻击配置边界路由器以

49、预防放大器攻击充足的网络带宽保证把网站做成静态页面确定组织机构的互联网服务提供商（ISP）和第二层提供商能帮助处理网络DoS攻击。配置安全软件以检测DoS攻击配置网络边界以拒绝所有没有明确允许的出局流量129准备阶段恶意代码事故主要工作推荐让用户意识到恶意代码问题。阅读防病毒公告。为关键主机部署主机入侵检测系统，包括文件完整性检查器。使用防病毒软件，并且保持更新为最新的病毒特征码。配置软件以阻止可疑的文件。减少开放的Windows共享。 130准备阶段非授权访问事件主要工作推荐配置入侵检测软件以对获得非授权访问的企图进行告警。配置所有主机使用集中日志。建立流程，以使所有用户修改其口令。配置网络

50、边界以拒绝所有没有明确允许的入局流量。安全保护所有的远程访问方式，包括调制解调器和虚拟专用网（VPN）。将所有公共访问的服务放在安全保护的非军事区（DMZ）网段。在主机上禁止所有不需要的服务并隔离关键的服务。在个人主机上使用主机防火墙软件以限制主机对攻击的暴露。创建和实施口令策略。 131准备阶段不当操作事故主要工作推荐同组织机构的人力资源和法务部门一起讨论不当操作事故的处理。同组织机构的法务部门讨论责任义务问题。配置网络入侵检测系统以检测某些类型的不正确使用。日志记录用户活动的基本信息。配置所有电子邮件服务器以使其不再用于非授权的邮件转发。在所有电子邮件服务器上实施垃圾邮件过滤软件。实施UR

51、L过滤软件。 132准备阶段多组件事故多组件事故使用集中的日志和事件关联软件。133七、应急响应服务案例134目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备阶段关键措施推荐应急响应服务案例135应急响应服务案例僵尸网络应急响应国家XX局的主机入侵应急响应XX证券公司“红色代码”病毒事件应急响应136僵尸网络应急响应根据国家计算机网络应急技术处理协调中心（CNCERT/CC）2008年上半年网络安全工作报告，僵尸网络发展迅速，逐渐成为攻击行为的基本渠道，成为网络安全的最大隐患之一。相关事件：2000年YAHOO、Ebay、CNN

52、、Amazon等网站受到不同程度的分布式拒绝服务攻击2001年中国主机提供商虎翼网遭受分布式拒绝服务（DDOS）攻击，造成无法估计的损失2002年10月全球13个负责管理因特网寻址系统的根服务商遭到“分布式拒绝服务（DDOS）”攻击2003年1月新网信海科技一台主域名服务商（DNS服务器）遭到分布式拒绝服务（DDOS）攻击，造成数以千计的网站无法登陆2005年1月10日，轰动全国的唐山“黑客”落网。其造成北京一家音乐网站遭到一个超过6万台电脑的“僵尸网络”的“拒绝服务（DOS）”攻击。137僵尸网络应急响应事件描述自2004年10月6日某音乐下载网站受到持续大流量拒绝服务攻击 ，10月21日攻

53、击峰值流量达到1000Mb/s,直接导致该网站用户完全无法登录。 事件确认该网站在为期一个月的时间内，每天处于间歇性攻击中，受到攻击的所有服务器均为Windows服务器，受到影响最大的服务器为Web服务器，初步判断，这是一次典型的DDoS攻击。138僵尸网络应急响应遏制、根除和恢复该僵尸网络通过动态域名解析，受数个IRC服务器控制，定位IRC服务器切断控制渠道，安装查杀工具植入伪Bot加入僵尸网络，过滤恶意攻击指令，记录攻击行为139僵尸网络的工作原理目前绝大多数的僵尸网络是基于IRC协议的。IRC（RFC 1459）是应用层协议，它的基本功能是使人们利用一个IRC频道相互之间实时对话，极大地

54、方便了人们之间的信息交流。IRC协议采用客户端/服务器模式，客户端连接到IRC服务器，多个IRC服务器组成服务器网络，从一个用户到另一个用户的信息可以通过服务器网络传递，即使这些用户连接到不同的服务器。IRC服务器默认的端口是TCP 6667，通常也可以在60007000端口范围内选择，许多IRC Bot为了逃避常规的检查，选择443、8000、500等自定义端口。140IRC BotIRC Bot的特点只需支持部分IRC 命令将收到的消息作为命令解释执行需要配置的信息远程IRC Server的地址、端口号（默认TCP 6667）频道名认证码Bots Quality高带宽资源高可用性Alway

55、s on低用户警觉和监视能力未打补丁、无防火墙等防护机制位置远离攻击者本土，法律不健全及执行能力弱141IRC Botnet网络结构142IRC Botnet的全过程1. Bot感染2. 连接IRC Server3. 动态域名映射4. 加入私密频道5. Bot监听频道，等待指令6. 攻击者进入频道并发出控制指令7. 所有Bot根据指令对目标发起攻击143攻击预兆和征兆恶意活动可能的征兆针对特定主机的网络DoS 系统不可用的用户报告无法解释的连接丢失网络入侵检测警报 主机入侵检测警报（直到主机过载）增加的网络带宽使用大量至单个主机的连接非对称的网络流量模式（大量流量进入主机，几乎没有流量从主机流

56、出）防火墙和路由器日志记录项 有不正常源地址的包针对网络的网络DoS系统和网络不可用的用户报告无法解释的连接丢失网络入侵检测警报 增加的网络带宽使用非对称的网络流量模式（流量大量进入网络，几乎没有流量离开网络）防火墙和路由器日志记录项 有不正常源地址的包有不存在目的地址的包针对特定主机的操作系统的DoS系统和应用不可用的用户报告网络和主机入侵检测警报 操作系统 日志记录项 有不正常源地址的包针对特定主机的应用的DoS应用不可用的用户报告网络和主机入侵检测警报 应用日志记录项 有不正常源地址的包预兆响应侦查活动通常在DoS攻击之前，通常一个用于实际攻击的低流量来确定何种攻击有效。如果处理者检测到

57、了不寻常的DoS攻击前的准备活动，组织机构能够迅速地转换安全状态来组织攻击，例如改变防火墙规则集来阻止一个特定的协议或者保护一个脆弱的主机。一个新近公布的DoS工具能对组织机构构成重大威胁。研究这个新工具，如果可能，更改安全控制使该工具不能对组织机构产生有效攻击。144手工检测和清除Bot实例打开cmd.exe运行netstat an,查看当前网络链接开放端口145用Fport.exe查看端口与进程的关联信息，定位可疑进程146分析系统启动项，发现该Bot添加注册表键值，实现开机自启动147应急响应检测分析阶段148现场调查定制场景，实时关联分析找出这种情况下所需状态信息的最小集合，选出提取信

58、息所需的工具。1.查看网络连接（netstat -an）2.查看进程（proc.exe）2.根据PID查看开放端口(fport.exe ) 3.扫描启动项，定位可疑程序(autoruns.exe)4.通过反汇编逆向工程分析方法，寻找病毒体生成testcase文件夹：包含数据信息列表和每个数据文件的MD5 和SHA-1哈希值149事件关联分析150事件关联文件151收集获取信息Msnmsgr之所以会扫描135端口，是因为它在连接6667时接收到了控制者的指令，指令正是通过频道主题的方式传送的。 Msnmsgr与IRC服务器之间的主要通信过程为：-NICK CHN|9148119rnUSER autdeoxsnv 0 0:CHN|9148119rn(设置昵称)-JOIN #xdcc dropitrn(加入xdcc频道，密码为dropit)PRIVMSG #xdcc: