信息安全緊急事 件響應(yīng)流程圖

1、Contoso CSIRT（計(jì)算機(jī)安全事件響應(yīng)組 小組如何響應(yīng)紅色代碼 II 病毒場景說明：您公司是主營業(yè)務(wù)是通過網(wǎng)站進(jìn)行業(yè)務(wù)銷售的公司，您公司已經(jīng)組建了針對IT 運(yùn)維系統(tǒng)的應(yīng)急支持小組，您就是其中一員，今天在例行巡檢中發(fā)現(xiàn)服務(wù)器有紅色代碼的相關(guān)跡象，請問如何進(jìn)行處理？說明：安全小組的虛擬角色和應(yīng)急預(yù)案請?jiān)谀M行動(dòng)前進(jìn)行。 事件響應(yīng)步驟采取的行動(dòng)進(jìn)行初期評估Samantha Smith 是隨時(shí)待命的 CSIRT 成員，她查看 Contoso 入侵檢測系統(tǒng)所記錄的事件的簡短描述。系統(tǒng)指出在 Web 服務(wù)器 WEB2 上可能發(fā)生紅色代碼 II 事件。她檢查 WEB2 服務(wù)器的 Internet 信

2、息服務(wù) (IIS) 日志文件中的簽名字符串，并檢查 c:inetpubscripts 中是否存在 root.exe。調(diào)查的結(jié)果表明這不太可能是假陽性檢測。報(bào)告事件Samantha 通過電話告知 CSIRT 的其他成員她剛剛發(fā)現(xiàn)的問題，并答應(yīng)一旦發(fā)現(xiàn)更多的跡象會(huì)隨時(shí)報(bào)告。減少損失并將風(fēng)險(xiǎn)控制在最小Contoso 的事件響應(yīng)策略指出一旦證實(shí)系統(tǒng)中有蠕蟲存在，應(yīng)斷開系統(tǒng)與網(wǎng)絡(luò)的連接。Samantha 去掉了網(wǎng)線。幸運(yùn)的是，WEB2 是負(fù)載均衡的一組服務(wù)器中的一部分，因此不會(huì)由于該系統(tǒng)的斷開而使網(wǎng)絡(luò)服務(wù)中斷。報(bào)告事件Samantha 通過電子郵件將所發(fā)現(xiàn)的問題報(bào)告給 CSIRT 的其他成員，并直接與

3、CSIRT 領(lǐng)導(dǎo)聯(lián)系。CSIRT 領(lǐng)導(dǎo)指定由信息安全經(jīng)理 Taylor Maxwell 擔(dān)任事件領(lǐng)導(dǎo)。Taylor 將協(xié)調(diào)所有活動(dòng)，并與核心 CSIRT 交換信息。Taylor 通知技術(shù)部主任以及隨時(shí)待命的信息技術(shù)組，Web 服務(wù)器已斷開與網(wǎng)絡(luò)的連接，至少應(yīng)在清除蠕蟲之后再將其重新連接。Taylor 還通知執(zhí)行管理層、通信官員以及法律代表。法律代表告訴 Taylor 雖然不太可能追究法律責(zé)任，但仍然建議他按照程序收集證據(jù)。識別危害的嚴(yán)重性Samantha 掃描其他服務(wù)器的日志文件，以確定蠕蟲是否已傳播。她發(fā)現(xiàn)尚未傳播。減少損失并將風(fēng)險(xiǎn)控制在最小另一個(gè) CSIRT 成員 Robert Brown

4、 運(yùn)行 Microsoft Baseline Security Analyzer (MBSA)，這是 Microsoft 提供的一個(gè)工具，管理員可以在一個(gè)中心位置使用該工具檢查網(wǎng)絡(luò)中運(yùn)行 Windows NT® 4.0、Windows 2000 以及 Windows XP 的所有計(jì)算機(jī)的修補(bǔ)狀態(tài)，以便實(shí)時(shí)地確定是否已針對紅色代碼 II 對其他服務(wù)器進(jìn)行修補(bǔ)。他發(fā)現(xiàn)有另外兩臺(tái)服務(wù)器不處于最新狀態(tài)，便立即應(yīng)用修補(bǔ)程序。識別危害的嚴(yán)重性Robert 進(jìn)一步掃描其他所有 IIS 服務(wù)器的日志文件，以確定此時(shí)不存在紅色代碼 II 的其他任何實(shí)例。保護(hù)證據(jù)一切跡象表明只有 WEB2 遭到破壞。由

5、于已合理地抑制損失，并且法律部門指出應(yīng)收集證據(jù)，因此 Taylor 決定在對系統(tǒng)進(jìn)一步的入侵分析（可能擾亂或破壞證據(jù)）之前先執(zhí)行這一項(xiàng)工作。其他小組成員繼續(xù)監(jiān)視其他 Web 服務(wù)器并記錄可疑的活動(dòng)。CSIRT 中的一名接受過法庭證據(jù)收集訓(xùn)練的成員為安全性已遭到破壞的系統(tǒng)制作兩個(gè)快照（即完整的物理備份）。一個(gè)快照妥善保存，以供將來接受法院的檢查。另一個(gè)快照將與在該事件之前制作的干凈而安全的備份一起用在恢復(fù)過程中。根據(jù)安全策略，法庭備份應(yīng)存儲(chǔ)在以前從未使用過、且只能寫一次的媒體中，應(yīng)制作有關(guān)的詳細(xì)文檔，并且應(yīng)與從服務(wù)器上卸下的硬盤一起密封并保護(hù)起來。識別攻擊的類型和嚴(yán)重性。組織的安全工具包便攜式計(jì)

6、算機(jī)（包含許多法庭工具）用于復(fù)查恢復(fù)備份，以發(fā)現(xiàn)其他危害。除了啟動(dòng)時(shí)運(yùn)行軟件的區(qū)域外，還應(yīng)復(fù)查注冊表項(xiàng)和文件夾，如 profile/startup 目錄以及 Run 和 RunOnce 注冊表項(xiàng)。還應(yīng)復(fù)查 User 和 Group 帳戶，以及用戶權(quán)限和安全策略是否發(fā)生過任何改變。復(fù)查安全日志以找出其他任何可疑的活動(dòng)。通知外部機(jī)構(gòu)Taylor 將事件報(bào)告給聯(lián)邦調(diào)查局 (FBI) 國家基礎(chǔ)設(shè)施保護(hù)中心，因?yàn)?Contoso 參與了許多大型的美國政府項(xiàng)目。由于可以斷定客戶信息以及系統(tǒng)訪問未遭到破壞，因此不通知客戶?；謴?fù)系統(tǒng)雖然存在可以用來將紅色代碼 II 從 WEB2 中清除的工具，但是 CSIRT

7、 和 WEB2 支持小組選擇將操作系統(tǒng)重新安裝到新的媒體中。通過將操作系統(tǒng)從原來的分發(fā)媒體安裝到新的磁盤媒體中，以及使用 Microsoft 安全工具包，他們確信了擁有一個(gè)干凈的系統(tǒng)，即沒有黑客后門或被破壞的文件的系統(tǒng)。重新安裝 Windows 2000 后，對系統(tǒng)應(yīng)用更嚴(yán)格的安全防范措施。找到未感染的備份，然后按照文檔中規(guī)定的程序還原數(shù)據(jù)。如果只能從安全性已遭到破壞的備份中還原數(shù)據(jù)，那么應(yīng)將數(shù)據(jù)還原到單獨(dú)的脫機(jī)系統(tǒng)中，然后在確信它沒有重新感染其他操作系統(tǒng)的危險(xiǎn)后，將它重新合并到 WEB2 中。CSIRT 小組對系統(tǒng)執(zhí)行全面的漏洞評估，并記錄此過程中發(fā)現(xiàn)的所有信息。將 WEB2 重新連接到網(wǎng)絡(luò)

8、，并對其進(jìn)行嚴(yán)密監(jiān)視，查找是否存在新的威脅或現(xiàn)有威脅的其他跡象。編制并組織事件文檔Taylor 和 CSIRT 研究漏洞的根源，并確定系統(tǒng)是否是最近重新安裝的，尚未應(yīng)用過修補(bǔ)程序。這里假定已制定明確的策略。此事件有三種可能的根源：支持小組的成員未重新應(yīng)用修補(bǔ)程序、信息安全部門未及時(shí)審核應(yīng)用的修補(bǔ)程序，以及配置管理組未意識到需要應(yīng)用修補(bǔ)程序，并且在恢復(fù)運(yùn)行狀態(tài)之前，未請信息安全部門檢查系統(tǒng)。完成了上述部分操作后，應(yīng)可避免某些事件。小組決定執(zhí)行新的程序以防止此事件再次發(fā)生。創(chuàng)建一個(gè)檢查表，在其中列出變更管理部門、Web 服務(wù)器支持部門以及信息安全部門必須完成的工作。只有在完成這些工作之后，信息安全部門才能批準(zhǔn)在內(nèi)部網(wǎng)絡(luò)中恢復(fù)任何系統(tǒng)。必須完成檢查表中列出的步驟，然后信息安全部門才能重新配置防火墻，以便允許外部系統(tǒng)與該系統(tǒng)之間的通信。審核部門還將定期檢查是否準(zhǔn)確遵循了檢查表中的內(nèi)容，并完成了檢查表中的全部工作。Taylor 和 CSIRT 編制所有文檔，確定在響應(yīng)事件的過程中完成了哪些任務(wù)，每一項(xiàng)任務(wù)所花費(fèi)的時(shí)間，以及執(zhí)行者。此信息將發(fā)送給金融代表，后面將按照針對計(jì)算機(jī)損失的“通用公認(rèn)的記帳原則”計(jì)算成本。CSIRT 小組組長確保管理層了解事件的總成本、發(fā)生的原因，以及計(jì)劃如何防止將來再發(fā)生該事件