事件响应与应急处理

第五章事件响应与应急处理主讲：刘承良2008年3月第五章信息安全管理第1节检测与迷惑黑客第2节蜜罐技术第3节事件响应第4节安全事件的预防与事件报告第5节应急响应体系第6节应急响应过程第7节参考资料应急响应的概念“应急响应”对应的英文是“IncidentResponse”或“EmergencyResponse”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施应急响应的活动应该主要包括两个方面：未雨绸缪和亡羊补牢操作系统漏洞统计

操作系统漏洞增长趋势安全应急响应服务背景应急响应服务的诞生1988年Morris蠕虫事件直接导致了CERT的诞生CERT服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设未雨绸缪未雨绸缪即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施以前介绍的内容多属于未雨绸缪亡羊补牢亡羊补牢即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小本章介绍的主要内容多为亡羊补牢检查与迷惑黑客前期检测自动安全扫描使用登陆脚本自动审计分析Checksum分析迷惑黑客虚假帐号虚假文件惩罚黑客：Chargen服务的利用蜜罐技术蜜罐的定义和功能蜜罐的应用Jail蜜罐的由来引子：1986年8月，加州大学伯克利分校一位天文学家发现他实验室一台电脑的帐户上少了75美分计算机取证学（ComputerForensics）的诞生与发展计算机跟踪追击学是指用来发现，保存和分析计算机系统上黑客留下的蛛丝马迹的整套工具和技术声势最浩大的公开“蜜罐”行动要数“蜜网”（honeynet）计划蜜罐的定义蜜罐是模拟存在漏洞的系统，为攻击者提供攻击目标蜜罐在网络中没有任何用途，因此任何连接都是可能的攻击由蜜罐的引申和扩展，以及全球针对蜜罐技术研究的组织化，很快Honeynet应运而生蜜罐的功能蜜罐最初的目的之一是为起诉恶意黑客搜集证据，但是在一些国家中，是不能利用蜜罐收集证据起诉黑客的通过建立一个蜜罐网络，可以将黑客的注意力从合法的系统上分散开，从而跟踪并了解大量的有关这些怀有恶意的黑客的情况蜜罐网络的其它信息，可以在/～lspitz/motives上查找蜜罐的应用陷井和蜜罐程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动可以根据系统情况自由搭配，但必须保证蜜罐系统和其它节点是互相独立的创建一个蜜罐系统首先选择平台（Unix或Windows）确定对象－－“攻击者”系统准备，获得辅助软件系统安装注意：建议以虚拟机方式安装JailJails是一个可单独创建的系统，并且用来延迟黑客行动Jails通常故意地提供一些错误的信息，让管理员有时间检测和抓住这些黑客Jails有可能成为危险的黑客活动的乐园，主要是因为黑客可能攻破Jail并进入真正的系统中去事件响应原则提前准备作好记录分析形势阻断和牵制黑客活动安全事件的预防应用系统完整性检查工具COPS（theComputerOracleandPasswordSystem）CrackIfstatusMD5TigertripwireTripwire1992年，还在Purdue大学COAST实验室的GeneH.Kim和EugeneH.Spafford开发了tripwire这个工具监视一些重要的文件和目录发生的任何改变完整性校验方面，Tripwire对系统中的全部或是部分文件建立并维护一个消息摘要算法生成的数字签名数据库，其目的是检查未经授权的添加、删除或修改文件的行为事件报告书明确三个要点应急的对象是什么？应急响应做什么？应急响应由谁来做？事件控制保护现场：断开网络连接，保护事发现场，然后详细记录下面相关事项现场控制根除问题恢复：整个事件处理过程的目的就是要恢复或重构系统总结经验教训应急响应体系遏制事态发展－－控制了解入侵响应过程入侵事件响应策略和程序的建立响应行为的优先级和顺序响应行为的权威性入侵响应的资源应急响应过程事件响应的准备工作确定入侵特征发现异常组织通报收集和保护相关资料调用暂时解决方案消除入侵路径恢复系统判定为入侵排除入侵可能怎样从被攻破的系统中恢复（1）重新获得控制权从网络中断开备份被攻破的系统镜像分析入侵寻找被修改的程序或配置文件#find/\(-perm-004000-o-perm-002000\)-typef-print寻找被修改的数据，如webpages,寻找入侵者留下的工具和数据sniffer,TrojanHorses,backdoor检查日志文件messages,xferlog,utmp,wtmp,~/.history怎样从被攻破的系统中恢复（2）寻找sniffer:cpm,ifstatus/advisories/CA-94.01.work.monitoring.attacks.html检查其他的系统是否也被入侵与相关的IRT联系报告,申请援助、调查通知相关站点恢复安装一份干净的操作系统关掉所有不必要的服务安装所有的补丁怎样从被攻破的系统中恢复（3）查阅IRT相关的公告谨慎使用数据备份修改所有用户口令提高系统的安全性根据UNIX/NT的安全配置指南文件检查系统安全性/tech_tips/unix_configuration_guidelines.html.au/Information/Auscert_info/Papers/win_configuration_guidelines.html检查工具与文档安装安全工具激活记账功能配置防火墙怎样从被攻破的系统中恢复（4）重新连接到INTERNET更新的安全政策记录从事件中吸取的教训计算损失修改安全策略国内安全事件响应组织建设情况计算机网络基础设施已经严重依赖国外由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务还处在起步阶段CCERT（1999年5月），中国第一个安全事件响应组织NJCERT（1999年10月）中国电信ChinaNet安全小组解放军，公安部安全救援服务公司中国计算机应急响应组/协调中心CNCERT/CC信息产业部安全管理中心，2000年3月，北京安全应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提供商IRT厂商IRT企业/政府IRT如：安全服务公司如：CCERT如：cisco,IBM如：中国银行、公安部如CERT/CC,FIRST如CNCERT/CC安全应急响应服务组织的服务内容CSIRT的服务内容应急响应安全公告咨询风险评估入侵检测教育与培训追踪与恢复安全应急响应服务的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品；突发