安全应急响应.pptx
- 文档编号:18413198
- 上传时间:2023-08-16
- 格式:PPTX
- 页数:65
- 大小:835.25KB
安全应急响应.pptx
《安全应急响应.pptx》由会员分享,可在线阅读,更多相关《安全应急响应.pptx(65页珍藏版)》请在冰点文库上搜索。
安全应急响应,计算机网络安全技术,主要内容,概述安全应急响应的提出CERT/CC和FIRST基本概念安全应急响应能力建设应急响应的目标和范畴应急响应的策略体系应急响应组织体系应急响应的流程建设应急响应运作的六个阶段应急响应预案的编制案例讨论,安全应急响应的提出,1988年11月,美国康乃尔大学一名研究生在互联网上发布“网络蠕虫”程序,该程序利用UNIX操作系统的漏洞通过网络渗透进主机系统,被感染的计算机陷入瘫痪,因为它们的处理能力被蠕虫程序的大量副本消耗殆尽。
尽管采取连续关闭Internet数天,把许多站点和网络断开等严厉措施,仍然有2100到2600台主机被感染(另一种说法是6000台主机,占当时连接Internet主机总数的10%),安全应急响应的提出,为了消除网络蠕虫,来自MIT,Berkeley,Purdue和其他大学的专家组成了一个特别应急团队。
通过这次事件,DARPA(DefenseAdvancedResearchProjectsAgency,防御高级研究项目机构)决定把Internet应急响应团队的概念制度化。
1988年11月底,CERTCoordinationCenter在卡耐基梅隆大学软件工程协会(SEI)正式成立。
安全应急响应的提出,安全应急响应的提出,CERT/CC美国计算机紧急事件响应小组协调中心(ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC)CERT/CC的主要职能是对软件中的安全漏洞提供咨询,对病毒和蠕虫的爆发提供警报,向计算机用户提供保证计算机系统安全的技巧以及在处理计算机安全事故的行动中进行协调目前,CERT/CC是美国国防部(DoD)资助下的抗毁性网络系统计划(NetworkedSystemsSurvivabilityProgram)的一部分,CERT的主要目的和作用,CERT/CC的目的:
建立一个单一的Internet社区组织,协调Internet上的安全事件响应。
CERT/CC的宗旨:
与Internet社区一起推动对涉及到Internet主机的计算机安全事件的响应,采取主动措施去提高公众对计算机安全问题的认识,同时提高对已存在的安全性的研究。
CERT/CC的组成,CERT/CC由3个小组组成运作小组为计算机安全事件提供24小时技术协助热线;通过CERT建议邮件列表,匿名FTP服务和WEB服务,提供Internet漏洞建议。
教育和培训小组帮助组织培养应急团队,培训用户,增强用户安全意识。
制作计算机系统安全相关的技术文档组织计算机安全技术研讨会和工作组研究和开发小组推动可靠系统的开发开发漏洞检测工具,CERT/CC服务的内容,安全事件响应安全事件分析和软件安全缺陷研究漏洞知识库开发信息发布:
缺陷、公告、总结、统计、补丁、工具教育与培训:
CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT(也称IRT、CERT)组织建设,应急响应和安全团队论坛,事件响应和安全团队论坛(theForumofIncidentResponseandSecurityTeams缩写为FIRST)成立于1990年。
FIRST为IRT组织、厂商和其他安全专家提供一个论坛,讨论安全缺陷、入侵者使用的方法和技巧、建议等,共同的寻找一个可接受的方案。
它把政府、商业机构、和学术组织的安全应急响应团队联合起来,组成一个有机的整体。
120多个正式成员组织,覆盖20多个国家和地区。
FIRST的大量工作都是由来自各成员组织的志愿者完成的,从FIRST中获益的比例与IRT愿意提供的贡献成比例。
FIRST的目标,是在事件预防中培养合作和协调,推动事件快速相应,同时促进在会员间的大范围信息共享。
基本概念,CERT、CSIRT、CIRC计算机紧急响应小组(CERT,ComputerEmergencyResponseTeam)计算机安全事故响应小组(CSIRT,ComputerSecurityIncidentResponseTeam)计算机事故响应中心(CIRC,ComputerIncidentResponseCenter)以上词汇都代表同一个含义,基本概念,事件(Incident)事件有正面和负面的。
违反安全策略的行为。
这里所说的安全策略可能是明确规定的,也可以是引申出来的。
计算机安全事件引起计算机系统的安全受到威胁和破坏的任何事件,这些威胁包括:
丢失数据机密性,破坏数据和系统的完整性,破坏系统的可用性使之不能提供服务等等。
基本概念,应急响应(IncidentResponse/EmergencyResponse)通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施,其目的是避免、降低危害和损失,以及从危害和损失中恢复。
计算机安全应急响应能力计算机系统的整体的应急事件的处理能力,包括针对于安全事件的技术响应手段,流程管理,人员组织等多个方面。
基本概念,应急响应小组/团队(IRT)应急响应组就是一个或更多的个人组成的团队,能快速执行和处理与安全有关的事件的任务。
计算机安全应急响应团队(CSIRT)负责日常情况下安全保障和紧急情况下应急响应任务的组织。
应急响应的目标和范畴,目标应该是简洁的、无歧义的、现实可行的。
目标决定了工作的范围和边界,同时决定了将要采用何种技术以及服务哪些客户。
建立清晰的、可信的目标有助于确定管理和必要资金的期望值。
应急响应目标包括的内容,推进事件的集中报告同等地处理相同的事件必要时提供直接的技术支持培训并提高客户和设备销售商的安全意识提供数据和其他相关的资料制定和实施计算机安全政策开发或者分发相应的软件工具鼓励设备销售商及时提供产品相关的问题为法律和犯罪调查团体提供线索,应急响应的策略体系,信息安全保障是以风险和策略为核心,因此建立完整的应急响应策略体系是建立应急响应能力的基础应急响应策略体系建设应考虑:
建议应急响应过程的策略,并使用它作为管理事故响应流程的基础。
建立事故相关的信息共享策略和流程。
向相关的事故报告机构提供相关信息。
应急响应能力的主要组成部分,环境假设人员和组织保障技术保障通信保障处理流程保障,应急响应组织体系,建设应急响应组织的必要性容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力,应急响应组织机构,国际间的协调组织,国内的协调组织,国内的协调组织,商业CSIRT,网络服务商CSIRT,厂商CSIRT,企业/政府CSIRT,愿意付费的任何用户,网络接入用户,产品用户,企业/部门用户,CERT/CC、FIRST,CNCERT/CC,CCERT,中国银行、公安部,Cisco、IBM,国外应急响应机构,国外安全事件响应组(CSIRT)建设情况FedCIRC(联邦计算机事故反应中心)、BACIRT(美国银行计算机事故反应中心)、DFN-CERT(德国国家研究及教育网络)等DOECIAC(美国能源部)、AFCERT(美国空军)、NavyCIRT(美国海军)亚太地区:
AusCERT(澳大利亚)、SingCERT(新加坡)等FIRST,中国应急响应机构,国家计算机网络应急技术处理协调中心(NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC)CNCERT/CC是在工信部互联网应急处理协调办公室的直接领导下的机构,负责协调我国各计算机网络安全事件应急小组(CERT),共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流。
中国应急响应机构,中国教育和科研计算机网紧急响应组(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的服务和研究组织,从事网络安全技术的研究和非营利性质的网络安全服务。
目前,CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应组织或相关安全管理部门,是一个由30多个单位组成、覆盖全国的应急响应组织。
其他专业性的应急组织国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心,国家公共互联网安全事件应急处理体系,应急响应团队CSIRT建设,认识CSIRT的基本构架需要回答4个问题1.做什么?
任务声明2.为谁做?
客户3.处在什么地位?
在父组织中处于什么地位4.与其他机构的关系与其他CSIRT的相互关系,任务声明的目标,了解是否它们正在使用正确的优先权去确保对最重要的活动做出反应。
改正与它们交互的那些人的不正确的期望值。
了解它们怎样以及是否对给定形势作出正确的反应。
修改它们的政策和流程去适应形势的需要。
决定是否修改它们所提供的服务的范围和种类。
任务声明的内容,任务申明包括提供服务的种类和范围、政策和流程的定义、以及服务质量。
由于声明的重要性,它应该是无歧义的,并且用三到四句话说明CSIRT应该承担的任务。
声明有助于理解这个团队正在努力去获得什么。
CSIRT的任务声明必须得到父组织中高层管理者(如:
信息安全主管、CTO、董事会等)的支持,否则CSIRT将难以获得重视及所需的资源,CSIRT的意图声明,许多CSIRTs还提供一个意图声明,解释为什么要创立这个团队的原因。
有了这些信息,CSIRT应该比较容易地定义它的目标和适当的服务去支持它的任务。
公众可以自由地获取这些声明,这将有助于公众了解这个CSIRT的角色、意图,和它运作的架构。
CSIRT的客户,CSIRT的服务对象:
客户一个CSIRT的客户可能是没有限制的(这个CSIRT将为每个提出请求的人服务),也可能是被某些条件限制的。
大多数情况下,CSIRT的客户是受限的,通常是那些给它们提供运作资金的组织和机构常见的客户约束国家地理位置技术组织(包括政府部门、企业、厂商、网络服务商等)契约,客户定义,客户可能用申明的形式来定义,用一组域名来支持。
对于网络服务提供商团队来说,很难甚至不可能用域名来定义它的客户,因为它的客户量特别大而且是动态变化的。
多个客户,根据一个CSIRT提供服务的范围和种类,CSIRT可能有必要定义不止一个客户。
多个客户间的关系是多样的,可能是相交的,可能是子集或者超集,也可能是完全独立。
例如,一个技术CSIRT可能通过可以自由访问的站点,为所有的人提供他们关注的产品的通用的安全信息,但是只愿意为那些已经注册该产品的用户提供增强的服务。
组织中的地位,CSIRT在父组织中的地位和它的任务,它的客户是紧密相关的。
一个CSIRT可能由一个组织的整个安全团队组成,也可能与组织的安全团队完全独立。
虽然一个组织可能没有一个单独的CSIRT,这个角色实际上隐含地由组织的安全团队来承担。
父组织,应急响应团队,安全团队,与其它CSIRT的关系,合作和协调是CSIRT架构的灵魂和核心。
不考虑相互之间的协调问题,仅有任务申明、客户定义和在组织中的位置是远远不够的。
当今的CSIRT中,存在一些层次结构。
有一些团队给已被明确定义的客户提供服务,而另外一些致力于CSIRT间的合作和协调(通常是国家内的和国际间的)。
CSIRT的人员构成,典型CSIRT的人员组成一个或多个协调者协调者的职能不仅限于普通管理在应急响应过程中,协调各相关机构或组织之间的关系在CSIRT和其它的有关组织之间维持积极和正面的工作关系向客户和设备生产商推销CSIRT服务,和他们建立良好的合作关系,并提高他们的安全意识,CSIRT的人员构成,典型CSIRT的人员组成几个技术人员(两个或者更多)能够支持技术焦点具有团队合作精神能够与不同的客户进行有效沟通具有面对情绪化形势的政治素养和技能必要时可以24小时待命,CSIRT的人员构成,典型CSIRT的人员组成其他辅助人员维护CSIRT的计算机资源协调应急记录程序整理CSIRT的交互作用的历史和摘要在线分析CSIRT的运作从CSIRT的运作过程中找出问题,吸取经验和教训,并进行事后分析总结为CSIRT的其他人员提供支持服务,应急响应的流程建设,制作应急响应一览表制作应急响应操作手册,应急响应一览表,由于角色和职责的不明确,应急响应经常遭遇很多困难。
制作一个应急响应一览表有助于解决这些问题。
一览表是关于应急响应的目标和功能的申明。
一览表列举了应急响应必须满足的要求,界定了应急响应提供服务的范围。
客户机构可以把它当作一个参考资料来使用。
一览表的组成部分,一览表应该包括以下描述它的目标和工作范围的内容:
实施概要快速通知客户,某个CSIRT已经存在,它的全部职责范围和其它基本信息责任描述CSIRT的工作目的和它涉及的范围界限,限制它的法律风险。
方法从比较抽象的角度,描述CSIRT如何满足它的职责和要求,以及CSIRT处理某种威胁或降低风险常用的方法报告结构和人员配置确定CSIRT怎样配合客户组织的结构,以及人员配置和资金的需求。
应急响应操作手册,应急响应操作手册应该包括CSIRT日常活动应该遵从和参照的工作流程。
它是这些工作流程的唯一参照点。
操作手册应该随着时间的推移,和实践经验和教训积累而不断地改进。
和一览表一样,操作手册也应该经过法律顾问的审阅,以避免不必要的法律冲突。
操作手册的内容,员工信息:
联系方式,传真,传呼热线使用:
号码,24小时操作流程,待命队列客户通信:
收发信息的流程事件报告:
类型,内容,总结,以及怎样验证信息处理:
日志,敏感信息,事件概述应急处理计算机设备:
管理策略,配置,手续管理程序:
支出报告,出差,清理怎样联系研究机构;怎样能够应付媒体:
新闻报道,清理过程怎样联系销售商;其他联系信息:
寻求帮助的个人,介绍人,应急响应运作的六个阶段,1.保护阶段2.预警与报警3.牵制与反馈4.消除阶段5.恢复阶段6.事后审查,保护阶段,建立应急响应的队伍定义服务、政策、质量,准备应急反应工作流程的计划(定义和制定当紧急事件发生时的应急反应的步骤,汇报的过程,主要的负责人等一系列的计划)技术保护措施建立安全防范体系制定预警和报警的方法(声音警报、电子邮件、拷机等,这些预警和报警的方法是各种安全软硬件都必须支持的)建立备份的体系和流程(建立远程数据和系统的备份机制)进行相关的安全培训,可以进行应急反应事件处理的预演。
预警和报警阶段,通过网络上检测设备(如审计设备的入侵检测、防火墙的入侵检测、网络通讯分析器、网络病毒检测器等),它们能够及时在入侵行为发生前,检测出入侵前的试探行为,在入侵行为发生时报警。
及时地检测在网络传输的邮件病毒等等。
同时,它们也必须对自身的安全状况进行定期的自检。
通过安装在各种系统和客户端的预警与报警Agent.它们对系统的运行状况进行监视,对可能发生的系统事件(包括:
系统性能明显降低、系统服务中断、重要文件被修改,新的未知用户账号的产生的一系列事件)产生预警和警报。
牵制和反馈阶段,阻断:
阻断正在发起进攻的行为缓解:
对某些无法阻断的行为(如某些拒绝服务攻击)采取措施,缓解系统的负载,网络的流量等。
封堵:
识别进攻源,通过路由器、防火墙封堵入侵的源地址。
隔离:
对于被病毒感染的系统,及时识别并切断它的网络连接,使之与整个系统隔离。
消除阶段,对于病毒,应该在信息系统内部采用最新的软件清除所有的软件。
对于系统的入侵、非法授权访问等,应该发现系统到底存在哪些漏洞,从而避免类似情况的再次发生。
强大的事件审计系统是这个阶段的核心。
来自于网络与应用层的审计信息为进一步的分析提供了详细的资料。
通过对这些事件的分析,可以寻找到事件发生的起因,为以后的归纳总结,安全系统的进一步改善提供依据。
恢复阶段,恢复首先将依据预先制定的恢复的流程进行。
数据和系统的恢复外,某些网络安全设备(如防火墙),在受到破环后也必须迅速的恢复软件配置等对于链路的破环的恢复可以启动备份链路,而硬件的崩溃可以采用备份的硬件和系统。
事后审查阶段,紧急事件的响应过程中吸取教训。
检查以往确定的应急反应的流程是否正确,估计事件的影响和危害程度,对事件的起因进行进一步的详细分析。
这是一个非常重要的阶段。
在这个阶段,可以采用一些决策辅助工具(如统计分析软件),来对各种事件进行归纳、总结和分析。
最终得到改善安全管理和安全防范体系的具体的措施。
应急响应技术在各阶段的应用,应急响应预案的编制,信息安全应急响应体系法律、法规和标准组织架构和职责工作流程保障机制,应急响应预案的编制,信息安全应急响应工作内容监测工作准备工作响应工作善后工作,典型事件应急预案大纲,总则应急响应需求适用范围启动条件适用性法规标准相关预案组织结构及分工领导小组指挥小组应急响应任务组,典型事件应急预案大纲,应急响应流程监测工作准备工作响应工作善后工作演练及维护,典型事件应急预案大纲,保障措施人员保障设备保障技术资料保障经费保障后勤保障附件人员/厂商联系名单系统软硬件配置清单其它,案例讨论
(一),应急响应处理实践拒绝服务事故恶意代码事故非授权访问事故不正确使用事故,拒绝服务事故,主要工作推荐增加备份冗余机制。
部署专业设备,并正确配置网络设备和服务器。
确定组织机构的互联网服务提供商(ISP)和第二层提供商能帮助处理网络DoS攻击。
配置安全软件以检测DoS攻击。
配置网络边界以拒绝所有没有明确允许的入局流量。
主要工作推荐让用户意识到恶意代码问题。
阅读防病毒公告。
为关键主机部署主机入侵检测系统,包括文件完整性检查器。
使用防病毒软件,并且保持更新为最新的病毒特征码。
配置软件以阻止可疑的文件。
减少开放的Windows共享。
恶意代码事故,主要工作推荐配置入侵检测软件以对获得非授权访问的企图进行告警。
配置所有主机使用集中日志。
建立流程,以使所有用户修改其口令。
配置网络边界以拒绝所有没有明确允许的入局流量。
安全保护所有的远程访问方式,包括调制解调器和虚拟专用网(VPN)。
将所有公共访问的服务放在安全保护的非军事区(DMZ)网段。
在主机上禁止所有不需要的服务并隔离关键的服务。
在个人主机上使用主机防火墙软件以限制主机对攻击的暴露。
创建和实施口令策略。
非授权访问事件,不当操作事故,主要工作推荐同组织机构的人力资源和法务部门一起讨论不当操作事故的处理。
同组织机构的法务部门讨论责任义务问题。
配置网络入侵检测系统以检测某些类型的不正确使用。
日志记录用户活动的基本信息。
配置所有电子邮件服务器以使其不再用于非授权的邮件转发。
在所有电子邮件服务器上实施垃圾邮件过滤软件。
实施URL过滤软件。
案例讨论
(二),应急响应过程记录客户的数据库服务器大量发送ARP欺骗包Web服务器疑似被入侵,应急响应过程记录,主要目标本次紧急响应是根据XX客户请求进行的。
由于客户端增值业务的数据库服务器大量发送ARP欺骗包,工程师通过对该服务器进行检查,发现有黑客入侵的痕迹。
因此,发现黑客进入系统的途径,并有效进行防护,减少、避免进一步的损失,防止同类事件再次发生,是我们这次紧急响应的主要目标。
工作时间2006年12月24日晚22:
05起至12月31日主要人员我方安全顾问,客户方工程师,应急响应过程记录,过程描述:
12月24日,工程师在为用户实施安全检查时发现有一台内网数据库主机频繁发出ARP欺骗包,且其日志出现部分内容被非法删除和伪造的痕迹,同时在系统目录下发现由黑客上传的网络嗅探工具,断定此台服务器已经遭受黑客的入侵通过进一步分析,该黑客是利用GoogleHACK工具,通过其Web主机作为跳板,进入后台服务器的,检查其他主机,并未发现入侵痕迹。
进行整体入侵流程分析,发现黑客是利用其后台管理系统,通过暴力的口令猜解取得管理员权限,上传带有木马的网页,并利用Web主机和DB主机之间的访问控制漏洞,借助139、445、3389等端口成功渗透数据库主机入侵DB主机后,利用SQLSEVER的漏洞取得ADMIN权限,安装CAIN工具,进一步嗅探内网其他主机的信息通过抓包工具分析,客户内网主机存在大量的明文传输的信息,但由于发现及时,该黑客尚未来得及采取下一步行动12月29日凌晨,检测该黑客再次登陆DB主机,启动CAIN工具,成功追查到源IP地址,发现并未伪造及时保存其日志通过定位,查找到其来源评估损失,考虑是否上报公安机关,采取进一步措施,应急响应过程记录,应急响应过程记录,善后处理措施:
删除木马程序和黑客攻击,定期更改管理员权限实施应用层加固,进行代码检查在Web主机和DB主机之间加装防火墙,并设置严格的访问控制策略加强各项管理规范的制定和实施,特别是规范系统开发阶段的一些行为和措施部署IDS和日志审计系统,加强日常的安全检查定期对重要服务器进行安全评估和加固,谢谢,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 应急 响应