企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)專項(xiàng)方案

企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案事實(shí)證實(shí)，事先制訂一個(gè)行之有效網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃(在本文后續(xù)描述中簡(jiǎn)稱事件響應(yīng)計(jì)劃)，能夠在出現(xiàn)實(shí)際安全事件以后，幫助你及你安全處理團(tuán)體正確識(shí)別事件類型，立即保護(hù)日志等證據(jù)文件，并從中找出受到攻擊原因，在妥善修復(fù)后再將系統(tǒng)投入正常運(yùn)行。有時(shí)，甚至還能夠經(jīng)過(guò)分析保留日志文件，經(jīng)過(guò)其中任何相關(guān)攻擊蛛絲馬跡找到具體攻擊者，并將她(她)繩之以法。

一、制訂事件響應(yīng)計(jì)劃前期準(zhǔn)備

制訂事件響應(yīng)計(jì)劃是一件要求嚴(yán)格工作，在制訂之前，先為它做部分準(zhǔn)備工作是很有必需，它將會(huì)使其后具體制訂過(guò)程變得相對(duì)輕松和高效。這些準(zhǔn)備工作包含建立事件響應(yīng)小姐并確定組員、明確事件響應(yīng)目標(biāo)，和準(zhǔn)備好制訂事件響應(yīng)計(jì)劃及響應(yīng)事件時(shí)所需工具軟件。

1、建立事件響應(yīng)小組和明確小組組員

任何一個(gè)安全方法，全部是由人來(lái)制訂，并由人來(lái)實(shí)施實(shí)施，人是安全處理過(guò)程中最關(guān)鍵原因，它會(huì)一直影響安全處理整個(gè)過(guò)程，一樣，制訂和實(shí)施事件響應(yīng)計(jì)劃也是由有著這方面知識(shí)多種組員來(lái)完成。既然如此，那么在制訂事件響應(yīng)計(jì)劃之前，我們就應(yīng)該先組建一個(gè)事件響應(yīng)小組，并確定小組組員和組織結(jié)構(gòu)。

至于怎樣選擇響應(yīng)小組組員及組織結(jié)構(gòu)，你能夠依據(jù)你所處實(shí)際組織結(jié)構(gòu)來(lái)決定，但你應(yīng)該考慮小組組員本身技術(shù)水平及配合能達(dá)成默契程度，同時(shí)，你還應(yīng)該明白怎樣確保小組組員內(nèi)部安全。通常來(lái)說(shuō)，你所在組織結(jié)構(gòu)中領(lǐng)導(dǎo)者也能夠作為小組最高領(lǐng)導(dǎo)者，每一個(gè)部門中領(lǐng)導(dǎo)者能夠作為小組下一級(jí)領(lǐng)導(dǎo)，每個(gè)部門優(yōu)異IT管理人員能夠成為小組組員，再加上你所在IT部門中部分優(yōu)異組員，就能夠組建一個(gè)事件響應(yīng)小組了。響應(yīng)小組應(yīng)該有一個(gè)嚴(yán)密組織結(jié)構(gòu)和上報(bào)制度，其中，IT人員應(yīng)該是最終事件應(yīng)對(duì)人員，負(fù)責(zé)事件監(jiān)控識(shí)別處理工作，并向上級(jí)匯報(bào);小組中部門領(lǐng)導(dǎo)可作為小組響應(yīng)人員上一級(jí)領(lǐng)導(dǎo)，直接負(fù)責(zé)督促各小組組員完成工作，而且接收下一級(jí)匯報(bào)并將事件響應(yīng)過(guò)程建檔上報(bào);小組最高領(lǐng)導(dǎo)者負(fù)責(zé)協(xié)調(diào)整個(gè)事件響應(yīng)小組工作，對(duì)事件處理方法做出明確決定，并監(jiān)督小組每一次事件響應(yīng)過(guò)程。

在確定了事件響應(yīng)小組組員及組織結(jié)構(gòu)后，你就能夠?qū)⑺齻兘M織起來(lái)，參與制訂事件響應(yīng)計(jì)劃每一個(gè)步驟。

2、明確事件響應(yīng)目標(biāo)

在制訂事件響應(yīng)計(jì)劃前，我們應(yīng)該明白事件響應(yīng)目標(biāo)是什么?是為了阻止攻擊，減小損失，立即恢復(fù)網(wǎng)絡(luò)訪問(wèn)正常，還是為了追蹤攻擊者，這應(yīng)該從你要具體保護(hù)網(wǎng)絡(luò)資源來(lái)確定。

在確定事件響應(yīng)目標(biāo)時(shí)，應(yīng)該明白，確定了事件響應(yīng)目標(biāo)，也就基礎(chǔ)上確定了事件響應(yīng)計(jì)劃具體方向，全部將要展開計(jì)劃制訂工作也將圍繞它來(lái)進(jìn)行，也直接關(guān)系到要保護(hù)網(wǎng)絡(luò)資源。所以，先明確一個(gè)事件響應(yīng)目標(biāo)，并在實(shí)施時(shí)嚴(yán)格圍繞它來(lái)進(jìn)行，果斷杜絕違反響應(yīng)目標(biāo)處理方法出現(xiàn)，是關(guān)系到事件響應(yīng)最終效果關(guān)鍵問(wèn)題之一。

應(yīng)該注意是，事件響應(yīng)計(jì)劃目標(biāo)，不是一成不變，你應(yīng)該在制訂和實(shí)施過(guò)程中不停地修正它，讓它真正適應(yīng)你網(wǎng)絡(luò)保護(hù)需要，而且，也不是說(shuō)，你只能確定一個(gè)響應(yīng)目標(biāo)，你能夠依據(jù)你本身處理能力，和投入成本多少，來(lái)確定一個(gè)或多個(gè)你所需要響應(yīng)目標(biāo)，比如，有時(shí)在做到立即恢復(fù)網(wǎng)絡(luò)正常訪問(wèn)同時(shí)，盡可能地搜集證據(jù)，分析并找到攻擊者，并將她(她)繩之以法。

3、準(zhǔn)備事件響應(yīng)過(guò)程中所需要工具軟件

對(duì)于計(jì)算機(jī)安全技術(shù)人員來(lái)說(shuō)，有時(shí)會(huì)出現(xiàn)三分技術(shù)七分工具情況。不管你技術(shù)再好，假如需要時(shí)沒(méi)有對(duì)應(yīng)工具，有時(shí)也只能望洋興嘆。一樣道理，當(dāng)我們?cè)陧憫?yīng)事件過(guò)程當(dāng)中，將會(huì)用到部分工具軟件來(lái)應(yīng)對(duì)對(duì)應(yīng)攻擊方法，我們不可能等到出現(xiàn)了實(shí)際安全事件時(shí)，才想到要使用什么工具軟件來(lái)進(jìn)行應(yīng)對(duì)，然后再去尋求或購(gòu)置這些軟件。這么一來(lái)，就有可能會(huì)因?yàn)槟骋粋€(gè)工具軟件沒(méi)有準(zhǔn)備好而耽擱處理事件立即性，引發(fā)事件影響范圍擴(kuò)大。所以，事先考慮當(dāng)我們應(yīng)對(duì)安全事件之時(shí)，所能夠用得到工具軟件，將它們?nèi)繙?zhǔn)備好，不管你經(jīng)過(guò)什么方法得到，然后用可靠存放媒介來(lái)保留這些工具軟件，是很有必需。

我們所要準(zhǔn)備工具軟件關(guān)鍵包含數(shù)據(jù)備份恢復(fù)、網(wǎng)絡(luò)及應(yīng)用軟件漏洞掃描、網(wǎng)絡(luò)及應(yīng)用軟件攻擊防范，和日志分析和追蹤等軟件。這些軟件種類很多，在準(zhǔn)備時(shí)，得從你實(shí)際情況出發(fā)，針對(duì)多種網(wǎng)絡(luò)攻擊方法，和你使用習(xí)慣和你能夠承受成本投入來(lái)決定。

下面列出需要準(zhǔn)備哪些方面工具軟件：

(1)、系統(tǒng)及數(shù)據(jù)備份和恢復(fù)軟件。

(2)、系統(tǒng)鏡像軟件。

(3)、文件監(jiān)控及比較軟件。

(4)、各類日志文件分析軟件。

(5)、網(wǎng)絡(luò)分析及嗅探軟件。

(6)、網(wǎng)絡(luò)掃描工具軟件。

(7)、網(wǎng)絡(luò)追捕軟件。

(8)、文件捆綁分析及分離軟件，二進(jìn)制文件分析軟件，進(jìn)程監(jiān)控軟件。

(9)、如有可能，還能夠準(zhǔn)備部分反彈木馬軟件。

因?yàn)榘杰浖芏?，而且又有?yīng)用范圍及應(yīng)用平臺(tái)之分，你不可能全部將它們下載或購(gòu)置回來(lái)，這肯定是不夠現(xiàn)實(shí)。所以在此筆者也不好一一將這些軟件全部羅列出來(lái)，但有多個(gè)軟件，在事件響應(yīng)該中是常常見(jiàn)到，比如，Securebacker備份恢復(fù)軟件，Nikto網(wǎng)頁(yè)漏洞掃描軟件，Namp網(wǎng)絡(luò)掃描軟件，Tcpdump(WinDump)網(wǎng)絡(luò)監(jiān)控軟件,Fport端口監(jiān)測(cè)軟件，Ntop網(wǎng)絡(luò)通信監(jiān)視軟件，RootKitRevealer(Windows下)文件完整性檢驗(yàn)軟件，ArpwatchARP檢測(cè)軟件，OSSECHIDS入侵檢測(cè)和多種日志分析工具軟件，微軟BASE分析軟件，SNORT基于網(wǎng)絡(luò)入侵檢測(cè)軟件，SpikeProxy網(wǎng)站漏洞檢測(cè)軟件，Sara安全評(píng)審助手，NetStumbler是802.11協(xié)議嗅探工具，和Wireshark嗅探軟件等全部是應(yīng)該擁有。還有部分好用軟件是操作系統(tǒng)本身帶有，比如Nbtstat、Ping等等，因?yàn)檎嫣啵筒辉僭诖肆谐隽?，其?shí)上述提到每個(gè)軟件和全部需要準(zhǔn)備軟件，全部能夠在部分安全類網(wǎng)站上下載無(wú)償或試用版本。

準(zhǔn)備好這些軟件后，應(yīng)該將它們?nèi)客咨票Ａ?。你能夠?qū)⑺鼈兛啼浀焦獗P當(dāng)中，也能夠?qū)⑺鼈兇嫒胍苿?dòng)媒體當(dāng)中，并隨身攜帶，這么，當(dāng)要使用它們時(shí)隨手拿來(lái)就能夠了。因?yàn)橛行┸浖窃诓煌８庐?dāng)中，而且只有不停升級(jí)它們才能確保應(yīng)對(duì)最新攻擊方法，所以，對(duì)于這些工具軟件，還應(yīng)該立即更新。二、制訂事件響應(yīng)計(jì)劃

當(dāng)上述準(zhǔn)備工作完成后，我們就能夠開始著手制訂具體事件響應(yīng)計(jì)劃。在制訂時(shí)，要依據(jù)在準(zhǔn)備階段所確立響應(yīng)目標(biāo)來(lái)進(jìn)行。而且要將制訂好事件響應(yīng)計(jì)劃按一定格式裝訂成冊(cè)，分發(fā)到每一個(gè)事件響應(yīng)小組組員手中。

因?yàn)槊總€(gè)網(wǎng)絡(luò)用戶具體響應(yīng)目標(biāo)是不相同，所以就不可能存在任何一個(gè)完全相同事件響應(yīng)計(jì)劃。不過(guò)，一個(gè)完整事件響應(yīng)計(jì)劃，下面所列出內(nèi)容是不可缺乏：

(1)、需要保護(hù)資產(chǎn);

(2)、所保護(hù)資產(chǎn)優(yōu)先級(jí);

(3)、事件響應(yīng)目標(biāo);

(4)、事件處理小組組員及組成結(jié)構(gòu)，和事件處理時(shí)和它方合作方法;

(5)、事件處理具體步驟及注意事項(xiàng);

(6)、事件處理完成后文檔編寫存檔及上報(bào)方法;

(7)、事件響應(yīng)計(jì)劃后期維護(hù)方法;

(8)、事件響應(yīng)計(jì)劃模擬演練計(jì)劃。

上述列出項(xiàng)中第一項(xiàng)和第二項(xiàng)所要說(shuō)明內(nèi)容應(yīng)該很輕易了解，這些在制訂安全策略時(shí)就會(huì)考慮到，應(yīng)該很輕易就能夠完成，還用上述列出項(xiàng)中第三項(xiàng)和第四項(xiàng)，也已經(jīng)在本文制訂事件響應(yīng)計(jì)劃準(zhǔn)備節(jié)時(shí)說(shuō)明了，就不再在本文中再做具體說(shuō)明。至于上述列出項(xiàng)中第五、第六、第七和第八項(xiàng)，筆者只在此將它們大約意思列出來(lái)，因?yàn)橐谙旅娣謩e用一個(gè)單獨(dú)小節(jié)，給它們做具體說(shuō)明。

在制訂事件響應(yīng)計(jì)劃過(guò)程當(dāng)中，還應(yīng)該尤其注意是：事件響應(yīng)計(jì)劃要做到盡可能具體和條理清楚，方便事件響應(yīng)小組組員能夠很好地明白。這要求，在制訂過(guò)程當(dāng)中，應(yīng)該從本身實(shí)際情況出發(fā)，認(rèn)真仔細(xì)地調(diào)查和分析實(shí)際會(huì)出現(xiàn)多種攻擊事件，組合多種資源，利用頭腦風(fēng)暴方法，不停細(xì)化事件響應(yīng)計(jì)劃中每一個(gè)具體應(yīng)對(duì)方法，不停修訂事件響應(yīng)目標(biāo)，以此來(lái)加強(qiáng)事件響應(yīng)計(jì)劃可擴(kuò)展性和連續(xù)性，使事件響應(yīng)計(jì)劃真正適應(yīng)實(shí)際需求;同時(shí)，不僅每個(gè)事件響應(yīng)小組組員全部應(yīng)該參與進(jìn)來(lái)，而且，包含安全產(chǎn)品提供商，各個(gè)合作伙伴，和當(dāng)?shù)卣块T和法律機(jī)構(gòu)全部應(yīng)該考慮進(jìn)來(lái)。

總而言之，一定要將事件響應(yīng)計(jì)劃盡可能地做到和你實(shí)際響應(yīng)目標(biāo)相對(duì)應(yīng)。三、事件響應(yīng)具體實(shí)施

在進(jìn)行事件響應(yīng)之前，你應(yīng)該很明白一個(gè)道理，就是事件處理時(shí)不能違反你制訂響應(yīng)目標(biāo)，不能在處理過(guò)程中避重就輕。比如，原來(lái)是要立即恢復(fù)系統(tǒng)運(yùn)行，你卻只想著怎樣去追蹤攻擊者在何方，那么，就算你最終追查到了攻擊者，但此次攻擊所帶來(lái)影響卻會(huì)所以而變得愈加嚴(yán)重，這么一來(lái)，不僅不能給帶來(lái)什么樣成就感，反而是得不償失。但假如你事件響應(yīng)目標(biāo)本身就是為了追查攻擊者，比如網(wǎng)絡(luò)警察，那么對(duì)怎樣追蹤攻擊者就應(yīng)該是首要目標(biāo)了。

事實(shí)證實(shí)，根據(jù)事先制訂處理步驟來(lái)對(duì)事件進(jìn)行響應(yīng)，能降低處理過(guò)程當(dāng)中雜亂無(wú)章，降低操作及判定失誤而引發(fā)處理不立即，所以，全部事件響應(yīng)小組組員，不僅要熟習(xí)整個(gè)事件響應(yīng)計(jì)劃，而且要尤其熟練事件處理時(shí)步驟。

總體來(lái)說(shuō)，一個(gè)具體事件響應(yīng)步驟，應(yīng)該包含五個(gè)部分：事件識(shí)別，事件分類，事件證據(jù)搜集，網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)，和事件處理完成后建檔上報(bào)和保留。現(xiàn)將它們具體說(shuō)明以下：

1、事件識(shí)別

在整個(gè)事件處理過(guò)程當(dāng)中，這一步是很關(guān)鍵，你必需從眾多信息中，識(shí)別哪些是真正攻擊事件，哪些是正常網(wǎng)絡(luò)訪問(wèn)。

事件識(shí)別，不僅要依靠安全軟件及系統(tǒng)所產(chǎn)生多種日志中異常統(tǒng)計(jì)項(xiàng)來(lái)做出判定，而且也和事件識(shí)別者技術(shù)水平及經(jīng)驗(yàn)有很大關(guān)系。這是因?yàn)?，不僅安全軟件有誤報(bào)和漏報(bào)現(xiàn)象，而且，攻擊者往往會(huì)在成功入侵后，會(huì)用一切手段來(lái)修改這些日志，以掩蓋她行蹤，讓你無(wú)法從日志中得到一些關(guān)鍵信息。這時(shí)，一個(gè)有著豐富經(jīng)驗(yàn)事件識(shí)別者，就能夠經(jīng)過(guò)對(duì)網(wǎng)絡(luò)及系統(tǒng)中某種現(xiàn)象判定，來(lái)決定是否已經(jīng)受到了攻擊。

有了可靠日志，再加上在受到了攻擊時(shí)會(huì)出現(xiàn)多種異?，F(xiàn)象，我們就能夠經(jīng)過(guò)分析這些日志文件中統(tǒng)計(jì)項(xiàng)，和對(duì)多種現(xiàn)象判定來(lái)確定是否受到了真正攻擊。所以，假如日志中出現(xiàn)了下面列出項(xiàng)中統(tǒng)計(jì)，或網(wǎng)絡(luò)和主機(jī)系統(tǒng)出現(xiàn)了下面列出項(xiàng)中現(xiàn)象，就一定表明你所監(jiān)控網(wǎng)絡(luò)或主機(jī)已經(jīng)或正在面臨著某種類別攻擊：

(1)、日志文件中統(tǒng)計(jì)有異常沒(méi)有登錄成功審計(jì)事件;

(2)、日志文件中有成功登錄不明賬號(hào)統(tǒng)計(jì);

(3)、日志文件中存在有異常修改一些特殊文件統(tǒng)計(jì);

(4)、日志文件中存在有某段時(shí)間來(lái)自網(wǎng)絡(luò)不正常掃描統(tǒng)計(jì);

(5)、日志文件中存在有在某段時(shí)間開啟不明服務(wù)進(jìn)程統(tǒng)計(jì);

(6)、日志文件中存在有特殊用戶權(quán)限被修改或添加了不明用戶賬號(hào)統(tǒng)計(jì);

(7)、日志文件中存在有添加了某種不明文件統(tǒng)計(jì);

(8)、日志文件中存在有不明軟件主動(dòng)向外連接統(tǒng)計(jì);

(9)、查看日志文件屬性時(shí)，時(shí)間戳不對(duì)，或日志文件大小和你統(tǒng)計(jì)不相符;

(10)、查看日志文件內(nèi)容時(shí)，發(fā)覺(jué)日志文件中某個(gè)時(shí)間段不存在或被修改;

(11)、發(fā)覺(jué)系統(tǒng)反應(yīng)速度變慢，或在某個(gè)時(shí)間段忽然變慢，但已經(jīng)排除了系統(tǒng)硬件性能影響原因;

(12)、發(fā)覺(jué)系統(tǒng)中安全軟件被停止，正常服務(wù)被停止;

(13)、發(fā)覺(jué)網(wǎng)站網(wǎng)頁(yè)被篡改或被刪除替換;

(14)、發(fā)覺(jué)系統(tǒng)變得不穩(wěn)定，忽然死機(jī)，系統(tǒng)資源占用過(guò)大，不停重啟;

(15)、發(fā)覺(jué)網(wǎng)絡(luò)流量忽然增大，查看發(fā)覺(jué)對(duì)外打開了不明端口;

(16)、發(fā)覺(jué)網(wǎng)卡被設(shè)為混雜模式;

(17)、一些正常服務(wù)不能夠被訪問(wèn)等等。

能夠用來(lái)做出判定異常統(tǒng)計(jì)和異常現(xiàn)象還有很多，筆者就不在這里全部列出了。這要求事件響應(yīng)人員應(yīng)該不停學(xué)習(xí)，努力提升本身技術(shù)水平，不停增加識(shí)別異?，F(xiàn)象經(jīng)驗(yàn)，然后形成一個(gè)適合自己判定方法后，再加上日志分析工具和安全監(jiān)控軟件幫助，就不難在這些日志統(tǒng)計(jì)項(xiàng)和現(xiàn)象中找出真正攻擊事件來(lái)。

到現(xiàn)在為止，經(jīng)過(guò)分析多種日志文件來(lái)識(shí)別事件性質(zhì)，仍然是最關(guān)鍵方法之一。你能夠重新設(shè)置這些安全軟件日志輸出格式，使它們輕易被了解;你也能夠重新具體設(shè)置安全軟件過(guò)濾規(guī)則，降低它們誤報(bào)和漏報(bào)，增加可識(shí)別強(qiáng)度;你還能夠使用部分專業(yè)日志文件分析工具，比如OSSECHIDS，來(lái)加緊分析大致積日志文件速度，提升識(shí)別率，同時(shí)也會(huì)減輕你負(fù)擔(dān)。至于擔(dān)心日志會(huì)被攻擊者刪除或修改，你能夠?qū)⑷咳罩疚募勘Ａ舻绞芊阑饓ΡＷo(hù)存放系統(tǒng)之中，來(lái)降低這種風(fēng)險(xiǎn)。總而言之，為了能從日志文件中得到我們想要信息，就應(yīng)該想法使日志文件以我們需要方法來(lái)工作。

全部這些，全部得要求事件響應(yīng)人員在平時(shí)常常檢驗(yàn)網(wǎng)絡(luò)及系統(tǒng)運(yùn)行情況，不停分析日志文件中統(tǒng)計(jì)，查看多種網(wǎng)絡(luò)或系統(tǒng)異?，F(xiàn)象，方便能立即真正攻擊事件做出正確判定。另外，你應(yīng)該在平時(shí)在對(duì)網(wǎng)絡(luò)系統(tǒng)中一些對(duì)象進(jìn)行操作時(shí)，應(yīng)該具體統(tǒng)計(jì)下你所操作過(guò)全部對(duì)象內(nèi)容及操作時(shí)間，方便在識(shí)別時(shí)有一個(gè)判定依據(jù)。在工作當(dāng)中，常常見(jiàn)筆統(tǒng)計(jì)下這些操作是一個(gè)事件響應(yīng)人員應(yīng)該養(yǎng)成好習(xí)慣。

當(dāng)發(fā)覺(jué)了上述出現(xiàn)異常統(tǒng)計(jì)或異?，F(xiàn)象，就說(shuō)明攻擊事件已經(jīng)發(fā)生了，所以就能夠立即進(jìn)入到下一個(gè)步驟當(dāng)中，即對(duì)出現(xiàn)攻擊事件嚴(yán)重程度進(jìn)行分類。

2、事件分類

當(dāng)確定已經(jīng)發(fā)覺(jué)攻擊事件后，就應(yīng)該立即對(duì)已經(jīng)出現(xiàn)了攻擊事件做出嚴(yán)重程度判定，以明確攻擊事件抵達(dá)了什么地步，方便決定下一步采取什么樣應(yīng)對(duì)方法。比如，假如攻擊事件是包含到服務(wù)器中部分機(jī)密數(shù)據(jù)，這肯定是很嚴(yán)重攻擊事件，就應(yīng)該立即斷開受到攻擊服務(wù)器網(wǎng)絡(luò)連接，并將其隔離，以預(yù)防事態(tài)深入惡化及影響網(wǎng)絡(luò)中其它關(guān)鍵主機(jī)。

對(duì)攻擊事件進(jìn)行分類，一直以來(lái)，全部是沒(méi)有一個(gè)統(tǒng)一標(biāo)準(zhǔn)，各安全廠商全部有她自己一套分類方法，所以，你也能夠自行對(duì)攻擊事件嚴(yán)重程度進(jìn)行分類。通常來(lái)說(shuō)，能夠經(jīng)過(guò)確定攻擊事件發(fā)展到了什么地步，和造成了什么樣后果來(lái)進(jìn)行分類，這么就能夠?qū)⒐羰录譃橐韵露鄠€(gè)類別：

(1)、試探性事件;

(2)、通常性事件;

(3)、控制系統(tǒng)事件;

(4)、拒絕服務(wù)事件;

(5)、得到機(jī)密數(shù)據(jù)事件。

對(duì)網(wǎng)絡(luò)中主機(jī)進(jìn)行試探性掃描，全部能夠認(rèn)為是試探性質(zhì)事件，這些全部是攻擊者為了確定網(wǎng)絡(luò)中是否有能夠被攻擊主機(jī)，而進(jìn)行最基礎(chǔ)工作。當(dāng)攻擊者確定了要攻擊目標(biāo)后，她就會(huì)深入地對(duì)攻擊目標(biāo)進(jìn)行愈加具體，愈加有目標(biāo)掃描，這時(shí)，所使用掃描方法就會(huì)愈加優(yōu)異和不可識(shí)別性，比如半連接式掃描及FIN方法掃描等，這種掃描完成后，就能夠找到部分是否能夠利用漏洞信息，因?yàn)楝F(xiàn)在部分整合性防火墻和IDS也能夠識(shí)別這些方法掃描，所以，假如在日志文件中找到了和此對(duì)應(yīng)統(tǒng)計(jì)，就表明攻擊已經(jīng)發(fā)展到了通常性事件地步了。當(dāng)攻擊者得到能夠利用漏洞信息后，她就會(huì)利用多種手段對(duì)攻擊目標(biāo)進(jìn)行滲透，這時(shí)，假如你沒(méi)有立即發(fā)覺(jué)，滲透成功性是很大，網(wǎng)絡(luò)中已經(jīng)存在有太多這類滲透工具，使用這些工具進(jìn)行滲透工作是輕而易舉事，在滲透成功后，攻擊者就會(huì)想法提升自己在攻擊目標(biāo)系統(tǒng)中權(quán)限，并安裝后門，方便能隨心所欲地控制已經(jīng)滲透了目標(biāo)，此時(shí)，就已經(jīng)發(fā)展到了控制系統(tǒng)地步。到這里，假如你還沒(méi)有發(fā)覺(jué)攻擊行為，那么，你所保護(hù)機(jī)密資料將有可能被攻擊者完全得到，事態(tài)嚴(yán)重性就可想而知了。攻擊者在控制了攻擊目標(biāo)后，有時(shí)也不一定能夠得到機(jī)密數(shù)據(jù)，由此而產(chǎn)生部分報(bào)復(fù)性行為，比如進(jìn)行部分DOS或DDOS攻擊等，讓其它正常見(jiàn)戶也不能夠訪問(wèn)，或，攻擊者控制系統(tǒng)目標(biāo)，就是為了對(duì)其它系統(tǒng)進(jìn)行DOS或DDOS攻擊。

此時(shí)你，就應(yīng)該從日志文件統(tǒng)計(jì)項(xiàng)中，快速對(duì)攻擊事件發(fā)展到了哪種地步做出明確判定，并立即上報(bào)小組領(lǐng)導(dǎo)，和通報(bào)給其它小組組員，方便整個(gè)小組中全部組員能夠明確此次攻擊事件嚴(yán)重程度，然后決定采取什么樣應(yīng)對(duì)方法來(lái)進(jìn)行響應(yīng)，以預(yù)防事態(tài)向愈加嚴(yán)重程度發(fā)展，或盡可能減小損失，立即修補(bǔ)漏洞，恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，并立即搜集好全部證據(jù)，以此來(lái)找到攻擊者。

3、攻擊事件證據(jù)搜集

為了能為析攻擊產(chǎn)生原因及攻擊所產(chǎn)生破壞，也為了能找到攻擊者，并提供將她繩之以法證據(jù)，就應(yīng)該在恢復(fù)已被攻擊系統(tǒng)正常之前，將這些能提供證據(jù)數(shù)據(jù)全部搜集起來(lái)，妥善保留。

至于怎樣搜集，這要視你所要搜集證據(jù)多少及大小，和搜集速度要求來(lái)定。假如只搜集少許數(shù)據(jù)，你能夠經(jīng)過(guò)簡(jiǎn)單復(fù)制方法將這些數(shù)據(jù)保留到另外部分安全存放媒介當(dāng)中;假如要搜集數(shù)據(jù)數(shù)量多且體積大，而且要求在極少時(shí)間來(lái)完成，你就能夠經(jīng)過(guò)部分專業(yè)軟件來(lái)進(jìn)行搜集。對(duì)于這些搜集數(shù)據(jù)保留到什么樣存放媒介之中，也得依據(jù)所要搜集數(shù)據(jù)要求來(lái)定，還得看你現(xiàn)在所擁有存放媒介有哪些，通常保留到光盤或磁帶當(dāng)中為好。

具體搜集哪些數(shù)據(jù)，你能夠?qū)⒛阏J(rèn)為能夠?yàn)楣羰录峁┳C據(jù)數(shù)據(jù)全部全部搜集起來(lái)，也能夠只搜集其中最關(guān)鍵部分，下面是部分應(yīng)該搜集數(shù)據(jù)列表：

(1)、操作系統(tǒng)事件日志;

(2)、操作系統(tǒng)審計(jì)日志;

(3)、網(wǎng)絡(luò)應(yīng)用程序日志;

(4)、防火墻日志;

(5)、入侵檢測(cè)日志;

(6)、受損系統(tǒng)及軟件鏡像。

在進(jìn)行這一步之前，假如你首要任務(wù)是將網(wǎng)絡(luò)或系統(tǒng)恢復(fù)正常，為了預(yù)防在恢復(fù)系統(tǒng)備份時(shí)將這些證據(jù)文件丟失，或你只是想為這些攻擊留個(gè)紀(jì)念，你應(yīng)該先使用部分系統(tǒng)鏡像軟件將整個(gè)系統(tǒng)做一個(gè)鏡像保留后，再進(jìn)行恢復(fù)工作。

搜集數(shù)據(jù)不僅是作為指證攻擊者證據(jù)，而且，在事件響應(yīng)完成后，還應(yīng)將它們統(tǒng)計(jì)建檔，并上報(bào)給相關(guān)領(lǐng)導(dǎo)及其它合作機(jī)構(gòu)，比如安全軟件提供商，合作伙伴，和當(dāng)?shù)胤蓹C(jī)構(gòu)，同時(shí)也能夠作為事后分析學(xué)習(xí)之用。所以，這個(gè)事件響應(yīng)操作步驟也是必不可少，搜集到數(shù)據(jù)也應(yīng)該保留完整。

4、網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)

在搜集完全部證據(jù)后，就能夠?qū)⒈还粲绊懙綄?duì)象全部恢復(fù)正常運(yùn)行，方便能夠正常使用。是否能夠立即恢復(fù)系統(tǒng)到正常狀態(tài)，得依靠另一個(gè)安全手段，就是備份恢復(fù)計(jì)劃，對(duì)于部分大型企業(yè)，有時(shí)也被稱為災(zāi)難恢復(fù)計(jì)劃，不管怎么說(shuō)，事先對(duì)所保護(hù)關(guān)鍵數(shù)據(jù)做一個(gè)安全備份是一定需要，它直接影響到事件響應(yīng)過(guò)程中恢復(fù)立即性和可能性。

在恢復(fù)系統(tǒng)后，你應(yīng)該確保系統(tǒng)漏洞已經(jīng)被修補(bǔ)完成，系統(tǒng)已經(jīng)更新了最新補(bǔ)丁包，而且已經(jīng)重新對(duì)修補(bǔ)過(guò)系統(tǒng)做了新備份，這么，才能讓這些受到攻擊恢復(fù)正常后系統(tǒng)重新連入到網(wǎng)絡(luò)當(dāng)中。假如當(dāng)初還沒(méi)有最新安全補(bǔ)丁，而又必需立即恢復(fù)系統(tǒng)運(yùn)行話，你能夠先實(shí)施部分針對(duì)性安全方法，然后再將系統(tǒng)連入到網(wǎng)絡(luò)當(dāng)中，但要時(shí)刻注意，并在有補(bǔ)丁時(shí)立即更新它，并重新備份。

恢復(fù)方法及恢復(fù)內(nèi)容多少，得看你系統(tǒng)受損情況來(lái)決定，比如，系統(tǒng)中只是開放了部分不正常端口，那就沒(méi)有必需恢復(fù)整個(gè)系統(tǒng)，只要將這些端口關(guān)閉，然后堵住產(chǎn)生攻擊漏洞就能夠了。假如系統(tǒng)中關(guān)鍵文件已經(jīng)被修改或刪除，系統(tǒng)不能正常運(yùn)行，而這些文件又不能夠被修復(fù)，就只能恢復(fù)整個(gè)系統(tǒng)了。恢復(fù)時(shí)，即能夠經(jīng)過(guò)手工操作方法來(lái)達(dá)成恢復(fù)目標(biāo)，也能夠經(jīng)過(guò)部分專業(yè)備份恢復(fù)軟件來(lái)進(jìn)行恢復(fù)，甚至，在有些大中型企業(yè)，因?yàn)閿?shù)據(jù)多，而且很關(guān)鍵，對(duì)系統(tǒng)穩(wěn)定性和連續(xù)性有很高要求，比如部分網(wǎng)站類企業(yè)，就會(huì)使用一個(gè)備用系統(tǒng)，來(lái)提供冗余，當(dāng)一套系統(tǒng)遭到攻擊停運(yùn)后，另一套系統(tǒng)就會(huì)自動(dòng)接替它運(yùn)行，這么，就能讓事件響應(yīng)小組人員有足夠多時(shí)間進(jìn)行各項(xiàng)操作，而且不會(huì)影響到網(wǎng)絡(luò)系統(tǒng)正常訪問(wèn)。

恢復(fù)在整個(gè)事件處理步驟當(dāng)中是比較獨(dú)特，將它放在哪一步來(lái)實(shí)施，你應(yīng)該以你保護(hù)目標(biāo)來(lái)決定，比如，當(dāng)你保護(hù)首要目標(biāo)是為了立即恢復(fù)網(wǎng)絡(luò)系統(tǒng)或服務(wù)能夠正常訪問(wèn)，假如有備用系統(tǒng)，因?yàn)閭溆孟到y(tǒng)已經(jīng)接替受攻擊系統(tǒng)運(yùn)行了，就能夠按上述步驟中次序來(lái)進(jìn)行操作，而對(duì)于只有備份文件，假如想要系統(tǒng)最快速度地恢復(fù)正常運(yùn)行，能夠先將整個(gè)受損系統(tǒng)做一個(gè)鏡像，然后就能夠快速恢復(fù)備份，投入運(yùn)行。

其實(shí)，任何處理步驟，說(shuō)白了，就只是讓你養(yǎng)成一個(gè)對(duì)某種事件處理過(guò)程通用習(xí)慣性思維和工作步驟而已。

5、事件處理過(guò)程建檔保留

在將全部事件全部已調(diào)查清楚，系統(tǒng)也恢復(fù)正常運(yùn)行后，你就應(yīng)該將全部和這次事件相關(guān)全部種種全部做一個(gè)具體統(tǒng)計(jì)存檔。建檔目標(biāo)有二點(diǎn)，一是用來(lái)向上級(jí)領(lǐng)導(dǎo)匯報(bào)事件起因及處理方法，二是用來(lái)做學(xué)習(xí)例子，用來(lái)分析攻擊者攻擊方法，方便以后愈加有效地預(yù)防這類攻擊事件發(fā)生。具體要統(tǒng)計(jì)保留內(nèi)容包含到整個(gè)事件響應(yīng)過(guò)程，要統(tǒng)計(jì)內(nèi)容比較多，而且響應(yīng)過(guò)程有時(shí)比較長(zhǎng)，所以，這就要求安全事件響應(yīng)人員在事件處理過(guò)程當(dāng)中，應(yīng)該隨時(shí)統(tǒng)計(jì)下響應(yīng)過(guò)程中發(fā)覺(jué)點(diǎn)點(diǎn)滴滴和全部操作事件，方便建檔時(shí)能使用。

建檔格式是能夠由你自行來(lái)要求，沒(méi)有具體標(biāo)準(zhǔn)，只要能夠清楚地統(tǒng)計(jì)下全部應(yīng)該統(tǒng)計(jì)內(nèi)容就能夠了。也能夠?qū)⑽臋n做成一式三份，一份上報(bào)領(lǐng)導(dǎo)，一份保留，一份用來(lái)分析學(xué)習(xí)用。也能夠?qū)⑦@些文檔交給部分專業(yè)安全企業(yè)和系統(tǒng)及應(yīng)用軟件提供商，方便它們能夠立即地了解這種攻擊方法，并公布對(duì)應(yīng)防范產(chǎn)品和安全補(bǔ)丁包，還能夠向部分合作伙伴通報(bào)，讓它們也能夠加強(qiáng)這方面防范。

具體要建檔內(nèi)容以下所表示：

(1)、攻擊發(fā)生在什么時(shí)候，什么時(shí)候發(fā)覺(jué)，發(fā)覺(jué)人是誰(shuí)?

(2)、攻擊者利用是什么漏洞來(lái)攻擊，這種漏洞是已經(jīng)發(fā)覺(jué)了，還現(xiàn)在才出事，漏洞具體類別及數(shù)量?

(3)、攻擊者在系統(tǒng)中進(jìn)行了哪些方面操作，有哪些數(shù)據(jù)或文件被攻擊者攻擊了?

(4)、攻擊大致發(fā)展次序是怎么進(jìn)行?

(5)、造成此次事件關(guān)鍵原因是什么?

(6)、處理此次事件具體步驟是什么?

(7)、攻擊造成了什么后果，嚴(yán)重程度怎樣，攻擊者得到了什么權(quán)限和數(shù)據(jù)?

(8)、攻擊者是怎樣突破安全防線?

(9)、用什么工具軟件處理?

(10)、此次事件在發(fā)覺(jué)及處理時(shí)有哪些人員參與，上報(bào)給了哪些部門及人員?

(11)、事件發(fā)生后，損失恢復(fù)情況怎樣?

(12)、此次攻擊有了什么新改變，是否能夠預(yù)防和應(yīng)對(duì)?

(13)、以后應(yīng)該怎樣應(yīng)對(duì)這種安全事件，給出一個(gè)具體方案附后等等。

以上所列出，全部是建檔時(shí)應(yīng)該統(tǒng)計(jì)內(nèi)容。建檔人員能夠自由安排統(tǒng)計(jì)次序，不過(guò)得和事件處理次序相對(duì)應(yīng)，方便讓其它人員愈加好地了解和學(xué)習(xí)。當(dāng)然，你還能夠統(tǒng)計(jì)其它沒(méi)有在上述項(xiàng)中提到內(nèi)容，只要你認(rèn)為有統(tǒng)計(jì)下這些內(nèi)容必需，或是你響應(yīng)小組領(lǐng)導(dǎo)要求統(tǒng)計(jì)下這些內(nèi)容。

四、事件響應(yīng)計(jì)劃后期維護(hù)及演練

1、事件響應(yīng)計(jì)劃后期維護(hù)

制訂好一個(gè)事件響應(yīng)計(jì)劃后，就應(yīng)該立即嚴(yán)格地組織實(shí)施，將事件響應(yīng)計(jì)劃束之高格，或即使實(shí)施了但卻歷來(lái)不對(duì)它進(jìn)行維護(hù)，這些全部等同于沒(méi)有一樣，甚至比沒(méi)有時(shí)更壞。這是因?yàn)?，不停有新攻擊手段出現(xiàn)，假如你不對(duì)已經(jīng)制訂事件響應(yīng)計(jì)劃做出對(duì)應(yīng)調(diào)整話，那么，你也就不會(huì)對(duì)這些新攻擊方法做出正確響應(yīng)，事件響