安全网管技术概述 1 第6章网络安全事件响应 本章主要内容安全事件响应简介风险分析事件响应方法学追踪方法陷阱及伪装手段 2 参考资料 参考资料 网络安全事件响应 段海新等译 人民邮电出版社 3 安全事件响应简介 计算机时代初期 独立的计算机非常安全只有物理上接触计算机的用户才有威胁Internet化的今天 安全成了大问题Internet缺乏内在的安全机制 因为安全机制通常是繁琐的 混乱的 费钱的 CERT CC的成立Computersecurityincidentresponseteam CoordinationCenterhttp www cert org为整个Internet服务 4 事件 影响计算机系统和网络安全的不当行为恶意事件 对系统的破坏 某个网络内IP包的泛滥 未经授权的访问 非授权修改网页 毁坏数据 往往是非计划发生的本章不讨论与自然灾害和能源有关的破坏事件 5 事件的种类 破坏CIA Confidential Integrity Availability 特性的事件窃取机密信息 篡改数据 DoS攻击其它类型侦察性扫描抵赖 尤其是电子商务领域传播色情内容欺诈 假的登录界面窃取密码愚弄 6 事件响应的工作 事件响应是事件发生后采取的措施和行为 通常是阻止和减小事件带来的影响 行动可能是人为驱动也可能是由计算机系统自动完成 事件响应不仅仅需要技术技能 还需要管理能力 法律知识 人际关系 甚至心理学等方面的知识和技能 7 PDR安全模型 策略 Policy 防护 Protection 检测 Detection 响应 Response 8 需要事件响应的理由 保护网络安全的困难设置很严格的安全政策由于成本和实际约束不可行因此探查安全威胁并迅速恢复是一个必要的保护策略注意 有效的事件响应可以一定程度弥补安全政策的不足 但是不能完全替代安全政策 9 风险分析 计算机和信息安全 总是与处理风险和管理风险相关信息安全实践的起点就是风险分析风险分析确定在计算机系统和网络中每一种资源缺失造成的预期损失如 对一个机构 篡改财务应用程序可能是一种最大的风险 其次是网络基础设施的破坏和中断 接着是外部侵入的风险 以及其他风险 10 风险分析 风险分析可以是定量的或定性的 定量的风险分析 用数字 通常是货币数字 来表示风险代表的数量 风险 概率X损失如 一年内客户数据库破坏的概率为0 005 一次破坏的损失是1000万 则风险是1000X0 005 5万定性的风险分析 用高 中等 低来决定某种危险的影响 11 风险分析的数据来源 哪些类型的事件在某个机构经常发生 本机构内部发生事件的相关数据其他机构收集到的事故数据如CERT CC发布近期事件的小结脆弱性分析通过扫描 找出系统 网络设备 应用程序和数据库的弱点 可以指导风险分析 12 风险分析的重要性 通过风险分析 找出风险高的威胁 提前对相关事件给予更多的关注和分配更多的资源有了这些准备 当相关事件出现时 事件的响应就会更有效风险是动态的 风险分析如果被正确使用也应该是动态的 保持与新的威胁和新的发展同步是进行成功事件紧急响应所必不可少的 13 事件响应方法学 6阶段事件响应方法学准备 检测 抑制 根除 恢复 跟踪缩写PDCERF 14 阶段1 准备 在事件的发生前为事件响应做好准备 包含基于威胁建立一组合理的防御 控制措施必须保证用于处理事件的系统和应用是安全的建立一组尽可能高效的事件处理程序采取哪些步骤 优先级 任务的分工 可接受的风险限制获得处理问题必须的资源和人员建立一个支持事件响应活动的基础设施更新联系表非常重要 15 阶段2 检测 对于事件响应 检测和入侵检测不是同义词检测 是否出现了恶意代码 文件和目录是否备篡改或者出现其他特征 问题在哪里 影响范围有多大入侵检测 确定对系统的非授权访问和滥用是否发生如 病毒的检测属于前者检测包含的范围比入侵检测广事件响应过程的其他动作都依赖于检测 检测触发事件响应 因此检测特别重要 16 检测方法 依赖相关软件病毒检测软件 木马检测软件系统完整性检查软件通过一些征兆判断异常活动 下班之后的登录 不活跃或系统缺省账号活动账号异常 出现了不是由管理员创建的账号文件异常 出现了不熟悉的程序 文件 www主页被修改 17 初步动作和响应 当发现异常事件 以下操作可能获得很高的回报花时间分析异常现象启动审计功能或增加审计信息量迅速备份系统 避免攻击者删除痕迹记录发生的事情 18 估计事件的范围 检测到事件后 需要迅速估计事件影响的范围影响了多少主机涉及到多大范围的网络侵入到网络内部有多远得到了什么权限风险是什么攻击者利用的漏洞存在范围有多大 19 报告过程 确定事件发生后第一事件通知合法的权威机构不幸的是 现实中人们通常不会把信息尽可能的让需要的人知道通常是首先通知首席信息安全官报告内容 事件的基本信息 攻击的类型 目的 涉及网络攻击源的信息攻击的结果威胁状态 20 阶段3 抑制 目的 限制攻击的范围 限制潜在的损失和破坏抑制的措施可能相对简单 如一个账号的多次登录失败 简单封锁该账号就可以了抑制策略 完全关闭所有系统从网络上断开修改防火墙过滤规则封锁或删除有破坏行为的账号提高系统的监控级别关闭部分服务 21 抑制 事件抑制的一个基本部分是找到攻击者或安装在系统中的恶意程序和后门程序 并进行处理 避免攻击者未经授权再次进入系统 22 阶段4 根除 目标 根除事件的原因找出事件根源并彻底根除 防止发生同样的事件如 对病毒 清除内存 系统 备份中的所有病毒对木马 找出并删除恢复关键的文件和信息 23 阶段5 恢复 目标 把所有被攻破的系统和网络设备彻底地还原到它们正常的任务状态通常的做法 重新安装系统 然后恢复数据从备份中恢复整个系统安装所有操作系统 防火墙的补丁 修补路由器等网络设备的缺陷去除在抑制和根除阶段增加的临时防护措施 24 阶段6 跟踪 目标 回顾并整合发生事件的相关信息跟踪是最有可能被忽略的阶段重要性 有助于事件处理人员总结经验 提高技能有助于评价一个组织机构的事件响应能力所吸取的任何教训都可以当作新成员的培训教材 25 跟踪内容 对每个重要事件进行事后的剖析什么时候发生了什么事事件处理过程中 需要哪些消息 如何得到了这些消息下一次应该怎么做最好其他 比如评估事件造成的损失 26 网络攻击的追踪 含义 广义的 指确定引发事件的攻击者的身份狭义的 找到事件发生的源头 大部分情况下是找到事件源头的IP地址 MAC地址或主机名注意 IP地址 MAC地址都是可以伪造的 27 和PDCERF方法学的关系 在检测 抑制和根除阶段最密切检测阶段 追踪一个特定IP的事件能帮助判断网络中的流量是否是非法的抑制阶段 找到攻击源有助于采取正确的措施根除阶段 如UNIX系统的 rhosts etc hosts equiv文件中的错误记录 28 追踪方法 搜索引擎攻击者可能会在某个地方炫耀自己的攻击经历 甚至会泄漏自己的身份netstat an察看当前连接 对于Linux系统 netstat可能会被替换 这时cat proc net tcp能看到连接日志数据登录日志 syslog 审计数据 防火墙日志为了防止日志数据被攻击者删除 可以考虑设置日志服务器专用于记录日志 29 追踪方法 入侵检测系统的警报和数据原始的数据包直接在网络上抓包对于交换网络要预先考虑好抓包的手段 30 构建 攻击路径 攻击路径 由于攻击者可能会把若干台机器作为跳板 因此构建 攻击路径 可能会非常困难 31 陷阱及伪装手段 陷阱和伪装手段就是使用模拟的方法 使一个看起来像是真实的系统 服务 环境等 但事实上它并不是这样的系统的一些方法 伪装手段是为了使攻击及滥用系统和网络的人 得到错误的信息 或与虚拟的或其他非真实环境交互 在这些虚拟或非真实环境里 他们无法造成破坏或只能进行很小的破坏 陷阱 被设计用于吸引攻击者 并将攻击者的行为和动作记录下来 陷阱 是伪装手段的一种 32 蜜罐 Honeypots 蜜罐 是一台被设计成用来诱惑攻击者的计算机 它不是为合法用户准备的 但它的表现很象一个正常环境的服务器 蜜罐 会记录下所有攻击者或潜在攻击者的行为 目的 蜜罐 的目的很简单 建立一个能使对手发现并使用的诱人的环境 并且该环境是如此真实可信 能使对手沉迷其中 系统管理员可以监视及记录对手的行为 但对手并不能发觉被监视和记录 33 蜜罐 Honeypots 蜜罐 可以伪装提供如下服务systatftptenetdnshttpsunrpcnntplocatornbsessionImapSmtp 34