應(yīng)急響應(yīng)流程

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)應(yīng)急響應(yīng)流程不管我們事前做了多么周密的工作去評估風(fēng)險和加固系統(tǒng)，攻擊者可能還是會在某個凌晨偷偷潛入我們的系統(tǒng)更改掉我們的系統(tǒng)文件，面對攻擊者的攻擊早早的計劃出對策是非常重要的，如果等到攻擊者實施完攻擊后我們才開始想應(yīng)該如何應(yīng)對的話，可能會手忙腳亂的把事情弄得一團(tuán)糟糕。為了有效應(yīng)對相關(guān)安全事件，我們根據(jù)經(jīng)典的應(yīng)急事件處理流程PDCERF制定了相應(yīng)的應(yīng)急響應(yīng)流程。PDCERF是國際上對應(yīng)急響應(yīng)的一個標(biāo)準(zhǔn)流程，即準(zhǔn)備（策略、防御、程序、人員、工具、基礎(chǔ)設(shè)施、資金）、檢測（檢測、調(diào)查、評價、報告、決策）、抑制（安全域（地理/層次/人機/業(yè)務(wù)）、邊界控制）、根除（定位、對癥下藥、副作用）、恢復(fù)（數(shù)據(jù)恢復(fù)、狀態(tài)恢復(fù)、行為恢復(fù)、環(huán)境恢復(fù)）、跟蹤（追究責(zé)任、改進(jìn)）。P準(zhǔn)備1.每個管理員所維護(hù)的網(wǎng)絡(luò)系統(tǒng)都會由特定的軟件和硬件組成，那么定期登陸這些軟硬件設(shè)備的廠商站點去查看是否目前有新的安全漏洞補丁或者是安全警告非常必要，至少應(yīng)該保證一個星期查看一次，也可以選擇訂閱廠家的更新郵件列表。2.每星期登陸一次國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心查看安全公告內(nèi)容，對于安全警告信息確認(rèn)分析，如果所管理網(wǎng)絡(luò)存在警報中安全問題，應(yīng)及時安裝從站點下載的補丁。3.在本組織內(nèi)部制作一個信息安全相關(guān)的發(fā)布頁面，親自負(fù)責(zé)來維護(hù)信息發(fā)布，定期發(fā)布安全預(yù)警信息和安全維護(hù)文章，對于常用的殺毒軟件等安全工具也應(yīng)該提供下載，做到每一個新員工加入后可以通過這個站點獲取到全部所需要的軟件和安全規(guī)定和相關(guān)知識技巧。4.針對近三年來蠕蟲病毒攻擊分析后，內(nèi)部網(wǎng)絡(luò)大量的WINDOWS平臺個人計算機是很大的安全隱患，管理員應(yīng)該提供一篇WINDOWS主機的安全配置方面文章，群發(fā)給普通用戶進(jìn)行安全配置，必要時提供一次統(tǒng)一的相關(guān)操作培訓(xùn)。5.每月定期采用掃描軟件對服務(wù)器進(jìn)行安全評估工作，認(rèn)真分析安全風(fēng)險報告，每當(dāng)升級新的安全漏洞資料后，設(shè)置僅僅掃描新填風(fēng)險對所管理網(wǎng)絡(luò)進(jìn)行全掃描，分析結(jié)果。6.在內(nèi)部進(jìn)行全面的IP地址和員工姓名，所在地理位置，使用情況，員工郵件地址統(tǒng)計，建立標(biāo)準(zhǔn)電子檔案，不推薦使用DHCP方式分配IP地址。如果設(shè)備支持可以在桌面交換機上進(jìn)行IP、MAC地址與物理端口限定的方法，防止IP地址盜用。7.對于服務(wù)器群業(yè)務(wù)主機建立IP地址，服務(wù)器名稱，運行業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)維護(hù)人員、業(yè)務(wù)管理使用人員相關(guān)聯(lián)名單。8.定期在組織內(nèi)部舉辦網(wǎng)絡(luò)安全相關(guān)的知識培訓(xùn)講座，可以從本企業(yè)的安全承包商中邀請一些熟悉安全技術(shù)的人進(jìn)行講座。9.對于重要服務(wù)器系統(tǒng)進(jìn)行必要的安全加固工作，在加固完成后進(jìn)行系統(tǒng)快照保存相關(guān)數(shù)據(jù)以備日后分析。10.安全管理員準(zhǔn)備應(yīng)急工具包，內(nèi)容是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中將使用工具集合。該工具包應(yīng)由安全技術(shù)人員及時建立，并定時更新。使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)生的結(jié)果將是網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中的可信基礎(chǔ)。D檢測1.在系統(tǒng)中部署入侵檢測設(shè)備到整個系統(tǒng)中，安全管理員保證定期登陸入侵檢測系統(tǒng)查看相關(guān)的告警信息并進(jìn)行必要的事件排查與處理。2.網(wǎng)絡(luò)內(nèi)部配置一臺專門的日志收集服務(wù)器，將企業(yè)網(wǎng)絡(luò)內(nèi)部的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備的安全性相關(guān)告警信息統(tǒng)一發(fā)送給日志收集服務(wù)器進(jìn)行報警顯示。安全管理員每天上班或下班前定時查看該服務(wù)器的的安全報警信息。3.利用PING命令或者SNMP、NETFLOW協(xié)議監(jiān)控網(wǎng)絡(luò)設(shè)備端口工作狀態(tài)、整體流量和連通性等健康狀態(tài)，實時監(jiān)控網(wǎng)絡(luò)訪問流量，當(dāng)發(fā)現(xiàn)異常網(wǎng)絡(luò)訪問流量時，馬上報警。對于外網(wǎng)防火墻到DMZ區(qū)域交換機進(jìn)行端口流量監(jiān)控，當(dāng)流量一旦超過了當(dāng)前接入帶寬上限流量的時候，需要及時發(fā)現(xiàn)情況。4.當(dāng)流量出現(xiàn)異常的時候，需要借助各種分析工具例如前面章節(jié)所介紹的SNIFFER等參與到事件的整體分析中。5.定期針對系統(tǒng)的各種日志進(jìn)行分析，查看是否存在異常情況。C抑制和E根除階段1.當(dāng)攻擊流量不大的時候，在防火墻，交換機、路由器上針對各種危險的訪問行為進(jìn)行訪問控制列表或者黑洞路由方式進(jìn)行設(shè)置。2.當(dāng)攻擊流量過大超過目前租用線路上限數(shù)值時，及時聯(lián)系ISP在上層路由器中進(jìn)行封堵。3.對系統(tǒng)當(dāng)前狀態(tài)進(jìn)行快照分析，對比以往系統(tǒng)快照結(jié)果分析查找問題。4.系統(tǒng)當(dāng)前進(jìn)程分析，查看相關(guān)開放端口。5.各種日志收集分析軟件和方法。6.評估類的工具軟件進(jìn)行自我評估主動發(fā)現(xiàn)問題，查找攻擊者可能利用的攻擊弱點。R恢復(fù)恢復(fù)階段是指通過采取一系列的步驟將系統(tǒng)恢復(fù)到正常業(yè)務(wù)狀態(tài)。尤其是與各個業(yè)務(wù)系統(tǒng)實際情況相結(jié)合的部分，恢復(fù)的方式包含兩種。一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情況下，直接刪除并恢復(fù)所有變化。二是在應(yīng)急處理方案中未列明所有系統(tǒng)變化的情況下，重裝系統(tǒng)。本部分的主要內(nèi)容是將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)。在系統(tǒng)遭到入侵后，攻擊者一定會對入侵的系統(tǒng)進(jìn)行更改。同時，攻擊者還會想盡各種辦法使這種修改不被系統(tǒng)維護(hù)人員發(fā)現(xiàn)。從而達(dá)到隱藏自己的目的。在根除階段能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，并且能夠確定系統(tǒng)經(jīng)過根除已經(jīng)完全將系統(tǒng)的所有變化根除的情況下，可以通過直接恢復(fù)業(yè)務(wù)系統(tǒng)的方式來恢復(fù)系統(tǒng)。這種恢復(fù)方式的優(yōu)點是時間短、系統(tǒng)恢復(fù)快、系統(tǒng)維護(hù)人員工作量小和對業(yè)務(wù)的影響較小。在根除階段不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件或不能肯定系統(tǒng)是否經(jīng)過根除后已干凈時，那么就一定要徹底的重裝系統(tǒng)。系統(tǒng)重裝往往是系統(tǒng)最可靠的系統(tǒng)恢復(fù)手段。F跟蹤1.從安全事件中吸取經(jīng)驗教訓(xùn)非常關(guān)鍵，不停的自我完善的防護(hù)體系和策略才是最好的安全設(shè)計思路。2.將每一次安全事故的表現(xiàn)和處理步驟發(fā)布在內(nèi)部的信息安全發(fā)布站點上，方便以后內(nèi)部出現(xiàn)同樣攻擊事件后處理。3.對于內(nèi)部需要改善和作出調(diào)整的安全配置在內(nèi)部網(wǎng)絡(luò)中即使發(fā)布更新策略。4.如果可以確定攻擊者的來源IP地址，在網(wǎng)關(guān)防火墻上將來源IP地址段及時封堵，例如垃圾郵件的發(fā)送者等等。跟進(jìn)階段是應(yīng)急響應(yīng)的最后一個階段，本部分的內(nèi)容主要是對抑制或根除的效果進(jìn)行審計，確認(rèn)系統(tǒng)沒有被再次入侵。下面將詳細(xì)說明跟進(jìn)階段的工作要如何進(jìn)行、在何時進(jìn)行比較合適、具體的工作流程、要思考和總結(jié)的問題以及需要報告的內(nèi)容。跟進(jìn)階段的主要任務(wù)是確認(rèn)系統(tǒng)有沒有被再入侵，確認(rèn)系統(tǒng)有沒有被再入侵是通過對抑制或根除的效果進(jìn)行審計完成的。這種審計是一個需要定期進(jìn)行的過程。通常，第一次審計應(yīng)該在一定期限之內(nèi)進(jìn)行，以后再進(jìn)行復(fù)查。并輸出跟進(jìn)階段的報告內(nèi)容，包括安全事件的類型、時間、檢測方法、抑制方法、根除方法、事件影響范圍等。要在跟進(jìn)階段報告中詳細(xì)記錄這些內(nèi)容。跟進(jìn)階段還需對事件處理情況進(jìn)行總結(jié)，吸取經(jīng)驗教訓(xùn)，對已有安全防護(hù)措施和安全事件應(yīng)急