CISP-20-應(yīng)急響應(yīng)管理

1、V3050應(yīng)急響應(yīng)管理中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心編號(hào)：CISP-20-應(yīng)急響應(yīng)管理 版本：11日期：2006年3月1基本概念及關(guān)系12應(yīng)急響應(yīng)能力建設(shè)的要點(diǎn)3應(yīng)急響應(yīng)組織體系厶4應(yīng)急響應(yīng)流程J5應(yīng)急響應(yīng)技術(shù)簡(jiǎn)介丿一基本概念:事件(Incident)事件有正面和負(fù)面的。違反安全策略的行為，這里雖說的安全策略可能是明 確規(guī)定的，也可以是引申出來的。:應(yīng)急響應(yīng) (Incident Response/Emergency Response)通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做 的準(zhǔn)備以及在事件發(fā)生后所采取的措施，其目的是避 免、降低危害和損失，以及從危害和損失中恢復(fù)。計(jì)算機(jī)及網(wǎng)絡(luò)攻擊應(yīng)急響應(yīng)

2、就是針對(duì)計(jì)算機(jī)攻擊及網(wǎng) 絡(luò)攻擊事件所采取的應(yīng)急措施。:應(yīng)急響應(yīng)小組/團(tuán)隊(duì)一基本關(guān)系:業(yè)務(wù)持續(xù)性計(jì)劃計(jì)算機(jī)事件處理可以看做是業(yè)務(wù)持續(xù)性計(jì)劃處 理技術(shù)威脅（例如病毒或黑客）的部分:風(fēng)險(xiǎn)管理計(jì)算機(jī)事件響應(yīng)所產(chǎn)生的相關(guān)信息結(jié)果和統(tǒng)計(jì) 將幫助風(fēng)險(xiǎn)分析過程，幫助選擇合適的安全控 制和實(shí)踐。一歷史一第一個(gè)應(yīng)急響應(yīng)組織CERT/CCSun Mon Tues Wed Thur Fri Sa蠕蟲攻擊31067紿 Morris ° Worm1112CERT/CC創(chuàng)建141516171821222324201925261988年門月一常見計(jì)算機(jī)應(yīng)急事件分類:病毒、蠕蟲爆發(fā):黑客入侵:拒絕服務(wù)攻擊:非授權(quán)訪問

3、/應(yīng)用:秘密/知識(shí)產(chǎn)權(quán)被竊一應(yīng)急響應(yīng)王要服務(wù)內(nèi)容:安全事件響應(yīng):安全事件分析和軟件安全缺陷研究:缺陷知識(shí)庫(kù)開發(fā):信息發(fā)布:教育與培訓(xùn):指導(dǎo)其它應(yīng)急響應(yīng)組織建設(shè)一應(yīng)急響應(yīng)的意義:組織認(rèn)識(shí)到僅僅依靠系統(tǒng)、網(wǎng)絡(luò)管理員和安全管理員來保 護(hù)他們的信息資產(chǎn)是不夠的；還需要安全策略和安全實(shí)踐方面的專業(yè)指導(dǎo)。:應(yīng)急響應(yīng)組織是可以信賴的 技術(shù)支持和幫助的平臺(tái) 能迅速處理緊急事件 研究漏洞與公布攻擊預(yù)報(bào)的平臺(tái)1基本概念及關(guān)系2應(yīng)急響應(yīng)能力建設(shè)的要點(diǎn)g應(yīng)急響應(yīng)組織體系4應(yīng)急響應(yīng)流程；5應(yīng)急響應(yīng)技術(shù)簡(jiǎn)介一建設(shè)應(yīng)急響應(yīng)能力:建設(shè)應(yīng)急響應(yīng)能力計(jì)算機(jī)緊急響應(yīng)小組(CERT- Computer Emergency Respo

4、nse Team)計(jì)算機(jī)安全事故響應(yīng)小組(CSIRT- Computer Security Incident Response Team) 計(jì)算機(jī)事故響應(yīng)中心(CIRCComputerIncident Response Center) 以上詞匯都代表同一個(gè)含義:建設(shè)應(yīng)急響應(yīng)能力建立應(yīng)急響應(yīng)的策略體系選擇和建立應(yīng)急響應(yīng)小組組織結(jié)構(gòu)和服務(wù)一建設(shè)應(yīng)急響應(yīng)能力 應(yīng)急響應(yīng)的策略體系:信息安全保障是以風(fēng)險(xiǎn)和策略為核心，因此建立完整的應(yīng)急響應(yīng)策略體系是建立應(yīng)急響應(yīng)能力的基礎(chǔ):應(yīng)急響應(yīng)策略體系建設(shè)應(yīng)考慮:建議應(yīng)急響應(yīng)過程的策略，并使用它作為管理 事故響應(yīng)流程的基礎(chǔ)。建立事故相關(guān)的信息共享策略和流程。向相關(guān)的事

5、故報(bào)告機(jī)構(gòu)提供相關(guān)信息。一應(yīng)急響應(yīng)能力的王要組成部分:環(huán)境假設(shè):人員和組織保障:技術(shù)保障:通信保障:處理流程保障建設(shè)應(yīng)急響應(yīng)能力應(yīng)急響應(yīng)小組組織結(jié)構(gòu)和服務(wù)一:選擇相應(yīng)的應(yīng)急響應(yīng)小組模式:為應(yīng)急響應(yīng)小組選擇有合適技能的人員。:標(biāo)識(shí)組織機(jī)構(gòu)內(nèi)可能需要參與事故處理的 其它機(jī)構(gòu)。:確定應(yīng)急響應(yīng)小組應(yīng)提供哪些服務(wù)。1基本概念及關(guān)系Z應(yīng)急響應(yīng)能力建設(shè)的要點(diǎn)3應(yīng)急響應(yīng)組織體系4應(yīng)急響應(yīng)流程 ；5應(yīng)急響應(yīng)技術(shù)簡(jiǎn)介丿一第一個(gè)應(yīng)急響應(yīng)組織機(jī)構(gòu)-CERT/CCSun Mon Tues Wed Thur Fri Sa蠕蟲攻擊31067紿 Morris ° Worm1112CERT/CC創(chuàng)建141516171

6、821222324201925261988年門月一應(yīng)急響應(yīng)組織機(jī)構(gòu)如CERT/CC、FIRST國(guó)內(nèi)的協(xié)調(diào)組織nCNCERT/CC企業(yè)/政府Cl RT商業(yè)Cl RT廠商Cl RT愿意付費(fèi)如：CCERT如：Cisco. IBM如：中國(guó)銀行、 公安部產(chǎn)品用戶1一應(yīng)急響應(yīng)組織機(jī)構(gòu):國(guó)外安全事件響應(yīng)組(CSIRT)建設(shè)情況FedCIRC、BACIRT、DFN-CERT等DOECIAC、AFCERT、NavyCIRT 亞太地區(qū)：AusCERT、SingCERT等 FIRST (1990)FIRST為IRT組織、廠商和其他安全專家提供一個(gè)論 壇，討論安全缺陷、入侵者使用的方法和技巧、建議 等，共同的尋找一個(gè)

7、可接受的方案。120多個(gè)正式成員組織，覆蓋20多個(gè)國(guó)家和地區(qū)。FIRST的大量工作都是由來自各成員組織的志愿者完 成的，從FIRST中獲益的比例與IRT愿意提供的貢獻(xiàn) 成比例。公司級(jí)的應(yīng)急響應(yīng)中國(guó)一國(guó)家公共互聯(lián)網(wǎng)安全事件應(yīng)急處理體系ec S國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)辦公室國(guó)外政府部門 （APEC經(jīng)濟(jì)體）1 丄信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理 協(xié)調(diào)辦公室其他管理部門國(guó)外CERT組織國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)蘋' 調(diào)中心（CNCERT/ CC也J863-91 7網(wǎng)絡(luò)安全檢測(cè)平臺(tái)I公共互聯(lián)網(wǎng)應(yīng)急處、 理國(guó)家級(jí)試點(diǎn)單位f國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理r 協(xié)調(diào)中心各省分中心L（共31個(gè)）1J骨干網(wǎng)的CERT丄1公共

8、互聯(lián)網(wǎng)應(yīng)急處理服務(wù)省級(jí) 試點(diǎn)單位I DC的CERT公司級(jí)的應(yīng)急響應(yīng)一:自組織 :提供服務(wù)1基本概念及關(guān)系Z應(yīng)急響應(yīng)能力建設(shè)的要點(diǎn)3應(yīng)急響應(yīng)組織體系 4應(yīng)急響應(yīng)流程 5應(yīng)急響應(yīng)技術(shù)簡(jiǎn)介丿I應(yīng)急響應(yīng)處理應(yīng)急響應(yīng)處理生命周期一:應(yīng)急響應(yīng)處理生命 周期準(zhǔn)備檢測(cè)遏制、根除和恢復(fù)事后活動(dòng)階段4 事故后活動(dòng)階段1準(zhǔn)備階段2檢測(cè)和分析IJ遏制、根除和恢復(fù)丿J應(yīng)急響應(yīng)處理應(yīng)急響應(yīng)處理生命周期一:準(zhǔn)備階段獲得在事故處理時(shí)可能有用的工具和資源。通過確保網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用充分得到安全保護(hù) 來預(yù)防事故。應(yīng)急響應(yīng)處理應(yīng)急響應(yīng)處理生命周期一:檢測(cè)和分析階段通過各種類型的計(jì)算機(jī)安全軟件所產(chǎn)生的告警來標(biāo)識(shí)預(yù)兆和征兆。建立同外部方

9、報(bào)告事故的機(jī)制。蠶籃翳鮭蠶席和審計(jì)的基線級(jí)別'并在所有關(guān)鍵系概括網(wǎng)絡(luò)和系統(tǒng)。理解網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的正常行為。使用集中的日志并創(chuàng)建日志關(guān)聯(lián)策略。執(zhí)行事件關(guān)聯(lián)。保持所有主機(jī)時(shí)鐘同步。維護(hù)和使用信息知識(shí)庫(kù)。為經(jīng)驗(yàn)較少的人員編制診斷矩陣。當(dāng)應(yīng)急小組懷疑事故發(fā)生時(shí)，盡可能快的開始記錄所有信息。安全保護(hù)事故數(shù)據(jù)。響優(yōu)先計(jì)劃事故?；谑鹿仕绊戀Y源的關(guān)鍵性以及事故的技術(shù)影響，通過業(yè)務(wù)影在組織機(jī)構(gòu)應(yīng)急響應(yīng)策略中包含事故匯報(bào)相關(guān)的內(nèi)容。應(yīng)急響應(yīng)處理應(yīng)急響應(yīng)處理生命周期一:遏制、根除和恢復(fù)階段建立遏制事故的戰(zhàn)略和流程。遵守所建立的證據(jù)搜集和處理流程。從系統(tǒng)中獲得違反策略的數(shù)據(jù)作為證據(jù)。 通過完整的取證磁盤

10、圖象來獲得系統(tǒng)的速照, 而不是文件系統(tǒng)備份。應(yīng)急響應(yīng)處理應(yīng)急響應(yīng)處理生命周期一:事后活動(dòng)階段在主要事故后召開經(jīng)驗(yàn)教訓(xùn)總結(jié)會(huì)議O應(yīng)急響應(yīng)處理應(yīng)急響應(yīng)處理實(shí)踐所處理的事故類型一:拒絕服務(wù)事故:惡意代碼事故:非授權(quán)訪問事故:不正確使用事故:多組件事故應(yīng)急響應(yīng)處理準(zhǔn)備階段一惡意代碼事故一:主要工作推薦配置防火墻規(guī)則集以預(yù)防反射器攻擊。配置邊界路由器以預(yù)防放大器攻擊。 確定組織機(jī)構(gòu)的互聯(lián)網(wǎng)服務(wù)提供商(ISP)和 第二層提供商能幫助處理網(wǎng)絡(luò)DoS攻擊。配置安全軟件以檢測(cè)DoS攻擊。流賈階段3 ( 階段4遏制、根除和恢復(fù)) 事故后活動(dòng)配置網(wǎng)絡(luò)邊界以拒絕所有沒有明確允許的出局一:主要工作推薦讓用戶意識(shí)到惡意代

11、碼問題。 閱讀防病毒公告。為關(guān)鍵主機(jī)部署主機(jī)入侵檢測(cè)系統(tǒng)，包括文件完整性 檢查器。使用防病毒軟件，并且保持更新為最新的病毒特征配置軟件以阻止可疑的文件。 減少開放的Windows共享。mi 'K zwA/ 4A V 準(zhǔn)備檢測(cè)和分析丿乜制、亦和恢復(fù)丿J事姑活動(dòng)丿應(yīng)急響應(yīng)處理準(zhǔn)備階段一不正確使用事故一主要工作推薦配置入侵檢測(cè)軟件以對(duì)獲得非授權(quán)訪問的企圖進(jìn)行告警。配置所有主機(jī)使用集中日志。建立流程，以使所有用戶修改其口令。配置網(wǎng)絡(luò)邊界以拒絕所有沒有明確允許的入局流量。棄隸節(jié)所有的遠(yuǎn)程訪問方式，包括調(diào)制解調(diào)器和虛擬專用網(wǎng)將所有公共訪問的服務(wù)放在安全保護(hù)的非軍事區(qū)（DMZ）網(wǎng)段。在主機(jī)上禁止所有

12、不需要的服務(wù)并隔離關(guān)鍵的服務(wù)。在個(gè)人主機(jī)上使用主機(jī)防火墻軟件以限制主機(jī)對(duì)攻擊的暴露。創(chuàng)建和宜施口令策略。一:主要工作推薦同組織機(jī)構(gòu)的人力資源和法務(wù)部門一起討論不正確使 用事故的處理。同組織機(jī)構(gòu)的法務(wù)部門討論責(zé)任義務(wù)問題。配置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)以檢測(cè)某些類型的不正確使用。日志記錄用戶活動(dòng)的基本信息O配置所有電子郵件服務(wù)器以使其不再用于非授權(quán)的郵件轉(zhuǎn)發(fā)。在所有電子郵件服務(wù)器上實(shí)施垃圾郵件過濾軟件O 實(shí)施URL過濾軟件。階段階段2階段彳、（階段°準(zhǔn)備檢辦分析丿J遏制、根除砒復(fù)丿事故后活動(dòng)應(yīng)急響應(yīng)處理準(zhǔn)備階段多組件事故一:非授權(quán)訪問事故使用集中的日志和事件關(guān)聯(lián)軟件。階段1 1階段2階段彳、階段

13、4準(zhǔn)備IX檢衲分析丿J遏制、根血恢復(fù)丿J事亦活動(dòng)一應(yīng)急響應(yīng)處理遏制、根除和恢復(fù)階段:拒絕服務(wù)事故:拒絕服務(wù)事故:惡意代碼事故:非授權(quán)訪問事故:多組件事故( 鷲(檢騙 '、酬、駱恢復(fù)丿、 腐動(dòng)一應(yīng)急響應(yīng)處理 事后活動(dòng)階段:非授權(quán)訪問事故對(duì)每個(gè)事故組件區(qū)分優(yōu)先級(jí)處理。階段2檢測(cè)和分析階段3遏制、根除和恢復(fù)階段4事故后活動(dòng)用戶竝理k應(yīng)用事件f處理流程處理爭(zhēng)供系統(tǒng)事件處理流程N(yùn)o LNo 故修檢協(xié)ec S Y密 安全核心組工作流程DoS攻擊？是杏來授權(quán)更孜?網(wǎng)絡(luò)統(tǒng)即？DoS攻擊事件 處理流程DoS玄:擊病毒事件處理流程救件述黑調(diào)晉維束救件述黑粱止F敬文件 航可屣日胡No適切審戶調(diào)晉維束$MOU

14、>未授權(quán)訪問事件 處理流程ec S Y密 未授權(quán)修改事件處理流程網(wǎng)絡(luò)探測(cè)事件及處理流程1基本概念及關(guān)系Z應(yīng)急響應(yīng)能力建設(shè)的要點(diǎn)M應(yīng)急響應(yīng)組織體系4應(yīng)急響應(yīng)流程;5應(yīng)急響應(yīng)技術(shù)簡(jiǎn)介應(yīng)急響應(yīng)技術(shù):溝通技術(shù):預(yù)防技術(shù):檢測(cè)技術(shù):監(jiān)控技術(shù):分析/跟蹤技術(shù):恢復(fù)技術(shù):調(diào)查取證技術(shù)亦星匕0電溝通技術(shù):通知相關(guān)者用戶安全管理員 系統(tǒng)管理員 審計(jì)員/部門 公司高層 外部組織與機(jī)構(gòu) 公共關(guān)系 安全事件小組etc:匯報(bào)/報(bào)告/通知/公告一預(yù)防/檢測(cè)技術(shù):風(fēng)險(xiǎn)分析:補(bǔ)丁庫(kù)/病毒庫(kù)更新:掃描工具（Nessus等）一"history:入侵檢測(cè)系統(tǒng)（IDS）:察看登錄用戶和活動(dòng)進(jìn)程 w, who, fin

15、 ger, last 命令 ps , crash:尋找入侵的痕跡last, netstat/var/log/syslog, /var/adm/messages,:查找最近被修改的文件：find:嗅探工具Sniffer； tcpdump:其他工具tripware,sniffer pro IrisWin dumpUnix tcpdump n grep Snort snoop一分析/跟蹤技術(shù):日志分析LogSurfer: LogSurfer是一個(gè)綜合日志分析工 具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，它能執(zhí)行各種動(dòng)作， 包括告警、執(zhí)行外部程序，甚至將日志文件數(shù) 據(jù)分塊并將它們送給外部命令或進(jìn)程處理 swatch:通用的系統(tǒng)監(jiān)控工具，以下面的三種方