計算機安全事件處理指南

計算機安全事件處理指南

計算機安全事件處理指南（一）：準備和預防

安全事件響應過程從啟動準備工作到事件后分析可以分為幾個階段。啟動階段包括建立和培訓安

全事件響應小組并獲得必要的工具和資源。在準備工作中，組織也要以風險評估的結果為基礎，

通過選擇和實施一套控制措施來限制安全事件的發(fā)生次數。但是即使在實施了安全控制措施后，

殘存風險依然不可避免，而同沒有哪種控制措施是絕對安全的，所以對破壞網絡安全的行為要進

行檢測，一旦安全事件發(fā)生要對組織發(fā)出報警。針對安全事件的嚴重程度，組織可以采取行動，

通過對安全事件進行限制并最終從中恢復來減緩安全事件所造成的即響。在安全事件得到適當處

理后，組織要提交一份報告，詳細描述安全事件的起因、造成的損失以及以后對這種安全事件所

應采取的防范措施和步驟。圖1描述了安全事件響應的生命周期。

圖1:安全事件響應生命周期

1、準備

安全事件響應方法學通常都要強調準備工作，不僅要建立一個安全事件響應能力，使組

織能夠從容響應安全事件，而且要通過確保系統(tǒng)、網絡及應用足夠安全來預防安全事件。雖然預

防安全事件普通不屬于安全事件響放小組的職貢，但是因為它太重要了，以至于現(xiàn)在它已經被認

為是安全事件響應小組的基礎組件工作。在提出系統(tǒng)安全保護建議時，安全事件響應小組的專長

是非常有價值的。本節(jié)將針對安全事件處理及預防的準備工作提供指導。

1.1準備處理安全事件

表1列出了在安全事件處理過程中一些有價值的工具和資源?？梢钥吹綄Π踩录治?/p>

實用的具體軟件信息以及一些包含對安全事件響應有匡助的信息的網站清單。

表1安全事件處理人員所需工具和資源

工具/資源

安全事件處理人員通信及設施

聯(lián)系信息用于小組成員及組織內部和外部的其它人員（包括主要聯(lián)系人和后備

人員），比如執(zhí)法機構和其它安全事件響應小組：這些信息可能包括電話號碼、

電子郵件地址、公鑰（按照下面將要提到的加密軟件）、以及驗證聯(lián)系人身份

的指令

待命信息用于組織內其它小組，包括問題升級信息

安全事件報告機制比如電話號碼、郵件地址和是網上表格，用戶可以用它們來

報告可以事件：至少要有一種方法允許用戶可以用匿名方式報告事件

傳呼機或者挪移電話小組成員要隨身攜帶的通信工具，保證成員在非工作時間

也能聯(lián)系得到。

加密軟件被用于小組成員之間在組織內部、以及和外部機構之間的通信，必緞

采用經過FIPS1452驗證過的加密算法

作戰(zhàn)指揮室用于集中式通信和協(xié)調；如果不需要永久性的作戰(zhàn)指揮室，安全事

件響應小組應亥制定一個流程用來在需要時獲得一個暫時的作戰(zhàn)指揮室。

委全存儲設施用于保護證據和其它敏感信息________________________________

安全事件分析硬件和軟件

計算機取證工作站m和/或者備份設備用于創(chuàng)建磁盤映象、保存日志文件、保

存安全事件其它相關數據

筆記本計算機由于這種計算機便于攜帶，可用于數據分析、監(jiān)聽數據包及編寫

報告

備用工作站、服務器及網絡設備這些設備可應用于許多用途，比如用備份來

恢復系統(tǒng)、測試惡意代碼；如果小組難以判斷額外設備的費用，可以使用現(xiàn)有

的實驗設備，或者用操作系統(tǒng)仿真軟件來建立虛擬實驗室

空白介質比如軟盤、只讀CD和只讀DVD

便攜式打印機旃從非網絡連接系統(tǒng)中打印日志文件和其它證據副本。

數據包監(jiān)聽和協(xié)議分析器捕獲并分析可能包含有事件證據的網絡流量一

計算機取證軟件用于分析磁盤映象，查找安全事件證據

軟盤和光盤存放有程序可靠版本的軟盤和光盤，可用它們從系統(tǒng)中采集證據

證據采集輔助設備通過包括筆記本計算機、數字像機、錄音機、證據存放袋和

標簽、證據磁帶等來保護證據，以備可能發(fā)生.的法律行動

安全事件分析資源

端口列表包拈常用端口和特洛伊木馬端口

文檔包括操作系統(tǒng)、應用、協(xié)議、入侵檢測特征碼、病毒特征碼的文檔。

網絡拓撲圖和關鍵資產清單比如WEB服務淵、郵件服務器、FTP服務器—

工具/資源

基線預期網絡、系統(tǒng)和應用的行為的基線。一

關鍵文件的加密hash提高安全事件的分析、3僉證和消除速度

安全事件減緩軟件

介質包括操作系統(tǒng)引導盤和CD、。作系統(tǒng)介質及應用介質

安全補丁來自操作系統(tǒng)和應用廠商

備份映像存儲在二級介質上的操作系統(tǒng)、區(qū)用和數據廠

許多安全事件響應小組都創(chuàng)建了一個簡便工具箱(jumpkit),普通是個輕便的袋了?或者箱子,

里面裝有安全事件處理人員在異地調查時可能需要的東西。這種工具箱隨時可用，這樣在發(fā)生嚴

術事件時，安全事件處理人員可以拿起來就走，工具箱中配備了不少表1中所列出的東西。比如

每一個工具箱中普通都有一臺筆記本計算機并安裝了適當的軟件(如包監(jiān)聽和計算機取證等)。

其它重要材料包括備份設備、空白介質、基本網絡設備和線纜以及操作系統(tǒng)和應用介質和補丁。

因為這種工具箱主要是為了工作方便，所以工具箱中的東西普通不要外借，還要注意保證工具

箱中

工具得到不斷升級和史新（比如筆記本計算機要時常安裝新的安全補J,更新操作系統(tǒng)介質）。

組織要在創(chuàng)建和維護一個工具箱的費用和因為更有效和高效地限制安全事件的收益之間取得平

衡。

1.2預防安全事件

將安全事件發(fā)生次數保持在一個合理的數量之下是非常重要的。如果安全控制措施不充分，

就可能發(fā)生大量安全事件，超出安全事件響應小組的能力，這將使安全事件響應遲緩和響應不完

全，從而對組織造成更大的負面業(yè)務影響（比如導致更大的破壞、或者導致更長期的服務或者數

據中斷）。一個改善組織的安全生態(tài)并預防安全事件的合埋方法是定期對系統(tǒng)和應用進行風險評

估。這些評估應該確定威脅和弱點合在一起會帶來什么樣的風險。應該將風險進行優(yōu)先級排序，

風險可以被減緩、轉移或者直到達到一個合理的總體風險級別時接受它。采用或者至少檢查相

同組織（認真負責的）的控制策略可以提供合理的信心保證，即別人的哪些工作應該用在本組

織里。

時常性地進行風險評估此外一個好處就是確定關鍵資源，使人們可以重點對其進行監(jiān)視和

響應。組織不能以認為某些資源不重要為借口來忽視其安全性，因為組織安全水平和其最薄弱環(huán)

節(jié)一樣。需要注意是，無論風險評估多么有效，它反映的也只是當前的風險而已。由于新的威脅

和弱點層出不窮，所以計算機安全是一個持續(xù)的、要求工作有效的過程。

就保護網絡、系統(tǒng)及應用提出具體建議超出了本文檔的討論范圍。盡管安全事件響應小組

普通不負責保護資源，但它可以提出合理的安全實踐。其它一些文檔中在總體安全概念中、操作

系統(tǒng)和具體應用指南方面給出了一些建議。下面對網絡、系統(tǒng)和應用方面的一些主要建議實踐進

行簡要介紹：

補丁管理許多信息安全專家都允許很大部份安全事件是因為利用了系統(tǒng)和應用口數

量相對較少的弱點所致。大型組織應該落實補丁管理項目來辦助系統(tǒng)管理員確定、獲得、測試并

采用補丁。

主機安全所有主機都應該被適當加固。除了保證對主機打上正確的補丁外，還應該對

主機進行配置，只允許對適當的用戶和主機開放盡可能少的服務，即最小特權原則。對于那些不

安全的缺省配置（比如缺省口令、不安全的共享）進行重置。當用戶試圖通過訪問受保護資源時，

要顯示一個警告橫幅。主機應該打開審計功能，并記錄與安全相關的聿大事件。不少組織使用操

作系統(tǒng)和應用配置指南來匡助管理員一致且有效地保護主機。

網絡安全應該對網絡邊界進行配置，對那些不是明確允許的流量加以拒絕。惟獨那些

正確功能所必須的活動，被允許。這包括保護所有的連接點，比如調制解調器、VPN及到其它組

織的專線連接。

惡意代碼預防應該在整個組織內采用能檢測和阻撓惡意代碼（如病毒、蠕蟲和特洛伊

木馬）的軟件。應該在主機級（如服務器和工作站操作系統(tǒng)）、應用服務器級（如郵件服務器、

WEB代理）和應用客戶級（如郵件客戶端和即時通信客戶端）落實惡意代碼保護。

用戶意識和培訓用戶應該了解正常使用網絡、系統(tǒng)和應用的政策和流程，從以前安全

事件中吸收的經驗教訓應該和用戶共享，這樣他們可以看到他們的行為是如何對組織產生影響

的。提高用戶對安全事件的意識應該可以減少安全事件的頻率，特別是那些惡意代碼和違反安全

政策的事件。應該培訓IT人員，使他們能夠根據本組織的安全標準來維護網絡、系統(tǒng)和應用。

計算機安全事件處理指南（二）：檢測和分析

制

限

除

消

恢

和事件后活動

準備復

圖1：安全事件響應生命周期（檢測和分析）

1、安全事件分類

安全事件的發(fā)生的方式多種多樣，所以想要制定一個具體的綜合流程來處理每一件安全

事件是不切實際的。組織能做的最好程度就是從總體上準備處理任何類型的安全事件，對常見安

全事件類型的處理則更具體一些。下面所列出的安全事件分類既不是包羅一切的，也不打算為安

全事件給出明確的分類，相反，它只給出了一個基本指南又指導如何根據其主要分類來處理安全

事件。

卜面的事件分類列表并不全面，因為這并非為了對所有的安全事件進行定義和分類，

而僅是為了給大家一個初步的概念來指導大家如何根據事件的不同類型去處理事件：

拒絕服務攻擊：一種攻擊，通過消耗資源的方式來阻撓和破壞對網絡、系統(tǒng)或者應用經

過授權的使用。

惡意代碼：能夠感染主機的病毒、蠕蟲、特洛伊木馬或者其它基于代碼的惡意實體。

未經授權訪問：一個人在未經允許的情況下通過邏輯的或者物理的方式訪問網絡、系統(tǒng)、

應用、數據或者、其它資源。

不當使用：用戶違反可接受計算費源使用政策。

復合型安全事件：一個單一安全事件中包含兩種或者是兩種以上的安全事件。

此外，有些安全事件可以對應以上多個分類。安全事件響應小組可以根據其傳送機制對安全事件

進行分類，比如：

一個病毒在系統(tǒng)中創(chuàng)建了一個后門，那我們應該把它當做惡意代碼安全事件來處理，而不是未

經授權訪問安全事件，因為惡意代碼是惟一用到的傳送機制。"

如果一個病毒創(chuàng)建的后門已經被用于未經授權訪問，那末這個事件應該被當做復合型安全事件

來處理，因為它用到了兩個傳送機制。”

本節(jié)主要是針對各種安全事件提出建議實踐，后文基于安全事件分類給出了更為具體的建議。

2、事件征兆

對于不少組織來說，安全事件響應過程中最艱難的?步是準確檢測并評估可能的安全事

件，即確定一個安全事件是否會發(fā)生，如果發(fā)生，那它屬于什么類型、影響程度如何以及問題的

范圍。造成這一點很艱難主要有以下3個因素：

?安全事件可以通過不少不同的方法來檢測，并獲得不同程度的細節(jié)和真實性自動化檢

測能力有基于網絡的和基于主機的入侵檢測系統(tǒng)、反病毒軟件以及日志分析工具。也可以通過人

工方法來檢測安全事件，比如用戶報告的問題。有些安全事件有隱含的征兆，可以很容易被檢測

到，而有些如果沒有自動工具幾乎無法檢測到。

，，

?安全事件的潛在征兆數量普通都很高，比如組織每天受到上千甚至百萬條入侵檢測傳

感器報過來的告警信息并不少見。

，，

?對與安全事件相關的數據進行正確而有效的分析往往需要高水平的專業(yè)知識和豐富的

實踐經驗。多數組織內，具備這些條件的人很少，并且普通都可能分配到其它工作中去了。

安全事件的征兆可以分為兩類：跡象(indication)和前兆(precursor)。前兆是指未來可

能發(fā)生的安全事件的征兆，而跡象是指已經發(fā)生或者正在發(fā)生的安全事件的征兆。跡象的種類太多,

以至于無法一一介紹，以下是其中一些例子：

?某臺FTP服務器發(fā)生緩沖區(qū)溢出時網絡入侵檢測傳感器報警：”

?反病毒軟件發(fā)現(xiàn)某臺主機被蠕蟲感染時發(fā)出告警："

?WEB服務器崩潰：”

?用戶抱怨上網太慢；”

?系統(tǒng)管理員發(fā)現(xiàn)文件名有不尋常字符；"

?用戶想求助臺報告收到嚇唬郵件?；”

?某主機記錄其日志中的審計配置發(fā)生變化：”

?某應用程序的日志記教了來自未知遠程系統(tǒng)的多次失敗登錄嘗試；”

?郵件管理員發(fā)現(xiàn)有大量可疑內容郵件流入。"

?網絡管理員發(fā)現(xiàn)網絡流量發(fā)生不尋常變化。"

不要認為安全事件檢測只是一種反應式的，有時候組織也可能在安全事件發(fā)生之前就檢測

到有關行為。比如網絡入侵檢測傳感器發(fā)現(xiàn)針對一組主機的不尋常端口掃描活動，這很可能就是

對某臺主機發(fā)起拒絕服務攻擊的前兆。以卜是其它一些有前兆的例子：

?WEB服務器日志顯示，有人使用WEB服務器弱點掃描工具：”

?公開針對組織郵件服務器弱點的一種新黑客攻擊:

?某黑客組織聲稱要攻擊該組織。”

不是所有的攻擊都可以通過前兆檢測到，有的攻擊沒有前兆，有的攻擊前兆則很難被組

織發(fā)現(xiàn)的。如果在攻擊之前發(fā)現(xiàn)前兆，那末該組織還有機會通過采用自動或者人工方法來改變其

安全生態(tài)來預防安全事件發(fā)生。但是大多數嚴重情況下，組織可能要確定采取行動，就像已經

發(fā)生了安全事件，從而盡快減緩風險。很少情況下，組織可以密切監(jiān)視某些活動，可能是針對

特定主機的連接企圖或者某些網絡流量類型。

3、前兆和跡象的來源

可以通過許多不同的來源來檢測前兆和跡象，最常用的有計算機安全軟件的告警、日志、

公共渠道獲取的信息及人。表2列出了每種分類常見的前兆和跡象來源。

表2前兆和跡象的常見來源

前兆和跡象

描述

來源

計算機軟件告警

基于網絡和主機的入侵檢測系統(tǒng)就是設計來識別可疑事件并記錄相關數據，包括攻擊被檢測到

入侵檢測系統(tǒng)的日期和時間、攻擊類型、攻擊來源和目的的IP地址以及用戶名（如果可能

獲得的話）。多數入侵檢測系統(tǒng)使用攻擊特征庫來識別惡意活動，必須要保

持更新特征庫，從而能檢測到最新的攻擊。入侵檢測系統(tǒng)時常產生誤報，即

報警有惡意活動發(fā)生，但是實際上沒有。分析人員應該通過子細檢查記錄數

據或者從其它來源獲得相關數據來對入侵檢測系統(tǒng)的告警進行人工驗證。

反病得軟件通常在檢測到惡意代碼后，反病毒軟件就會向被感染主機和中央反病毒控制

臺發(fā)送告警信息。只要保持病毒特征碼不斷更新升級，目前的反病毒產品能

非常有效地檢測、查殺或者是隔離惡意代碼。但是在大型組織中升級特征碼

是非常繁重的任務。一種解決辦法是配置集中式反病毒軟件，采用推的方

式將特征碼升級到各個主機上，而不是靠拉的方式讓各主機自己升級。由

于不同反病毒軟件的檢測效果各異，有的組織為了能夠提高反病毒的很蓋

面和精確度，通常都會使用多種反病毒軟件。至少應該在兩個層次采用反

病毒軟件：網絡邊界（比如防火墻、郵件服務器）和主機層次（比如工作

站、文件服務

器、客戶端軟件）。

文件完整性檢測軟安全事件可能導致重要文件被修改：文曄完整性檢測軟件可以檢測到這些變

件化。它通過一種hash算法來獲取目標文件的加密校驗利。如果文件被修改或

者

校驗和被重新計算過，新舊校驗和很可德不會匹配，通過總樣就“J以檢惻到

文件被修改過。

第三方監(jiān)視服務目的組織花錢請即第二方監(jiān)視其公眾可訪問服務，比如WEB、DNS及FTP

服務器。這些第三方組織每隔幾分鐘就會自動嘗試訪問這些服務。一旦無法

出告警，比如網站主頁。盡管從運行的角度來看監(jiān)視服務非常實用，但是它

還可以被用來檢測拒絕服冬■攻擊和服務器破壞。

日志

操作系統(tǒng)，服務和在事件發(fā)生時，來自操作系統(tǒng)、服務以及應用（特別是審計相關數據）的日

應用軟件的日志志通常是非常有價值的。日志可以提供諸如哪些帳號曾經登錄過、登錄之后

都做過什么事情等不少有價值的信息。但不幸的是，在大多數事件中，因為

被禁用或者錯誤配置，日志并沒能提供出證據。為匡助事件處理組織應該在

所有系統(tǒng)上要求一個日志基線級別，并且在關鍵系統(tǒng)上要求更高的日志基線

級另h所有系統(tǒng)都應該打開審計功能并記錄審計事件?，特別是管理員級別的

事件。對所有系統(tǒng)都要定期檢查，以驗證日忐的功能?切正常并符合旦志標

網絡設備日志優(yōu)，

網絡設務（比如防火墻、路由器）的U志普通都不用作安全事件前兆和跡象

的首要來源。盡管這些設備通常都記錄了對連接請求的阻斷，但它們很少提

供有關活動性質方面的信息。即便如此，在確定趨勢（比如企圖訪問特定端

口的數量急劇增加）以及在和其它設備檢測到的事件進行關聯(lián)時，它們還是

很實用的。

蜜罐日志（Honey；彳些組織1?分關心對安全事件的前兆進行檢測，并采取欺騙性的方法，比如

potlog）蜜罐來采集更好的數據.所謂蜜罐就是除了蜜罐管理員外沒有任何授權用戶

的主機，因為它不提供任何業(yè)務功能。所有針對它的活動都可以行做是可以

活動。攻擊者掃描并攻擊蜜罐，就會給管理員留卜有關攻擊工具和新趨勢，

特別是惡意代碼方面的數據。但是，蜜罐只是一種補充手段，并不能代替對

網絡、系統(tǒng)和應用的保護。如果采用了蜜罐，應該由有能力的安全事件處理

人員和入侵檢測分析人員來管理它。由于目前對使用蜜罐技術的合法性尚未

確定，所以各組織在采用蜜罐之前應該先子細研究相關法律規(guī)定。

公眾可獲得信息

新弱點及利用信息及時了解最新的弱點及其被利用方法方面的相關信息可以防止某些安全事件

發(fā)生，并還可以用來協(xié)助對新攻擊進行檢測和分析。一些專門組織，比如

FedCIRC、CERT?/CC、IAIP及CIAC等組織會定期通過簡報、論壇發(fā)帖以及

郵件列表的形式發(fā)布最新的安全信息。

其它組織的安全事其它組織所發(fā)生安全事件的報告會提供非常豐富的信息有?些WEB站點和

件信息郵件列表可以被安全事件響應小組和安全專業(yè)人員利用來共享他們所遇安全

事件的相關信息。此外，也有一些組織會獲得、合并并分析來自其它組織的

日志和入侵檢測的告警信息。

人

組織內部人員用戶、系統(tǒng)管理員、網絡管理員、安全技術人員及組織內部其他人員可能報

告事件征兆。對所有報告信息要進行進一步確認。因為不僅普通用戶缺乏專

業(yè)知識來判斷是否發(fā)生了安全事件，就算是受過很好培訓的專家也會犯錯誤。

一種方法是要問清消息的來源以及消息的可靠性。將這些估計和所提供信息

一起加以記錄在事件分析中，特別是在發(fā)現(xiàn)沖突數據時非常有匡助。

其它組織人員雖然從其它組織人員得到的報告不多，但一定要認真對待。?個經典例子是

有一個黑客發(fā)現(xiàn)了某系統(tǒng)中的嚴重弱點后，要末是直接告知該組織，要末是

公開辟布了這個問題。另一種可能是組織可能被外部第三方告知該組織中

有人在攻擊它。外界用戶可能還報告一些其他跡象，比如網頁被篡改、服

務被

中斷。同時，也有可能收到來自其它安全響應小組的事件報告。要建立一個

機制來接受來自外部的事件報告：這可能只需要設立一個電話號碼或者電子郵

件地址，并將這些信息轉發(fā)到求助臺。

4、安全事件分析

如果能夠保證上報來的每一個前兆和跡象的信息都是準確的，那末安全事件的檢測和分

析將是非常容易的事。但不幸的是，目前這是不可能的。比如當用戶抱怨說某臺服務器無法提供

服務通常就是不許確的，還有，眾所周知，目前的入侵檢測系統(tǒng)都會產生大量誤報，即不正確的

跡象。這些例子說明了是什么造成安全事件的檢測和分析如此艱難。應該對每一個跡象加以評價

以確定它是否合理。更糟的是，人和自動來源可能每天都會帶來大量的跡象報告。要從所有這

些跡象中找出那少數真正發(fā)生的安全事件是一件另人畏懼的任務。

即使跡象是準確的，這也并不意味著一定發(fā)生了安全事件。有些跡象，比如一臺WEB服

務器崩潰，或者是某些核心文件被篡改，可能是因為不少原因造成的，包括人為錯誤。然而假定

出現(xiàn)一個跡象，人們有理由懷疑可能發(fā)生了一個安全事件并采取相應行動。通常情況下，安全

事件處理人員在沒有確定事件是否屬實的時候都應該先假定它是真的發(fā)生了。有的時候要想確

定某個特定事件是否真的是安全事件是一個判斷問題，可能有必要與其它技術和信息安全人員

合作出決定。不少情況下，情形的處理方式都一樣，不管它是否與安全相關。比如如果某個組

織每12個小時網絡就會矢去和因特網的連接，而且沒有人肯定原因，有關人員就會希翼盡快

解決問題，并使用同樣的資源來診斷問題，而不管它產生的原因。

有些事件很容易被檢測到，比如明顯地篡改網站主頁。但是不少安全事件并沒有如此明

顯的癥狀。水平高的攻擊者都會小心地隱藏自己的痕跡而不被發(fā)現(xiàn)，即使是那些水平不高的攻擊

者也因為他們所使用的工具都功能非相強大并具有很好的障蔽性，所以也很難被發(fā)現(xiàn)。安全事件

發(fā)生的惟一跡象可能是像一個系統(tǒng)配置文件被作了一點點改動這樣小的征兆。在安全事件處理過

程中，檢測可能是最艱難的一匚作。安全事件處理人員負責對那些含糊、矛盾和不完整的癥狀加以

分析，以確定到底發(fā)生了什么。盡管有些技術方案可以使檢測工作容易些，但是最好的彌補是建

立一支具備高水平技術、經驗豐富的員工的小組來有效并高效地對前兆和跡象加以分析并采取適

當行動。沒有經過培訓的合格人員，就不可能有效地展開安全事件檢測和分析工作，并且可能造

成成本高昂的錯誤。

安全事件響應小組應該盡快對每一個安全事件進行分析和驗證，并對所采取每一步驟進

行記錄。當安全事件響應小組認為某個事件己經發(fā)生時，他們應該迅速展開最初的分析工作來確

定安全事件的范圍，比如哪些網絡、系統(tǒng)和應用受到影響；是誰或者什么發(fā)起了該安全事件：安

全事件的發(fā)生狀態(tài)如何（比如用到了什么樣的工具和攻擊方法、利用了什么弱點）。最初分析

應該為小組提供足夠的信息來對后續(xù)活動進行優(yōu)先排序，比如安全事件的限制以及對安全事件

后果的深入分析等。如果仍有疑慮，安全事件處理人員應該作好最壞的打算，直到其它分析顯示

有出入。

對安全事件進行分析和驗證是很艱難的。以下將提供一些建議，使安全事件的分析更簡便有效：

?描述網絡和系統(tǒng)的特征特征描述是安全事件分析的最好的技術輔助手段之一。所謂特

征描述就是對預期活動的特點加以度量，從而更容易地識別其變更。比如在主機上運行文件完整

性檢查軟件并對關鍵文件生成校驗和、對網絡帶寬利用情況和主機資源使用情況進行監(jiān)視以確定

在各個日期和時間的平均和高峰利用水平。如果描述過程是自動化的，那末活動變更可以被迅速

檢測并報告給管理員。實際工作中，使用大多數特征描述技術是很難準確檢測安全事件的。組織

應該將其作為檢測和分析技術之一。

?了解正常行為安全事件響應小組應該對網絡、系統(tǒng)和應用加以研究，以深入了解其正

常行為，這樣就可以容易發(fā)現(xiàn)那些界常行為。許多入侵檢測分析人員在某點上被告知要去確定不

尋常的事件。但是如果對“尋?！睕]有深入的了解，也就很難定義什么是“不尋?！薄]有哪個

安全事件處理人員可以全面了解整個環(huán)境中的所有行為，但是他們起碼要知道哪些專家可以解決

哪些問題。

〃

?使用集中式日志并建立日志保存政策與安全事件相關的信息通常在幾個地方有記錄，

比如防火墻、路由器、基于網絡的入侵檢測系統(tǒng)、基于主機的入侵檢測系統(tǒng)以及應用日志。組織

應該采用一臺或者幾臺集中式日志服務器，并旦對組織內所有日志設備進行配置，將其日志副本

送到中央日志服務器上。安全事件處理人員通過獲取所有相關的日志項受益。同時這也為1志

提供r一個安全的存放地點，減少r攻擊者在他們要破壞的主機上關閉日志功能或者修改H志

所帶來的后果。此外，要建立并落實日志保存政策來規(guī)定日志信息應該保存多久，這對于分析

極有匡助，因為老的日志信息可以揭示出偵察活動或者以前的類似攻擊案例。保留日志的另一

個理由是安全事件可能會在兒天、幾周或者甚至幾個月后才被發(fā)現(xiàn)。日志保存時間的長短取決

于幾個因素，包括組織的數據保存政策以及數據量的大小。通常，日志數據都應該保存至少幾

個星期，理想情況下應該至少保留幾個月。

?開展安全事件關聯(lián)分析某個安全事件的證據可能在好幾個日志里被捕獲到。每一個日

忐里包含有關該安全事件的不同類型數據，防火墻日志可能包含所用到的源IP地址，而應用

日志可能包含用戶名。網絡入侵檢測傳感器可能會檢測到針對特定主機的攻擊，但是它無法確

定攻擊是否成功，安全事件分析人員需要檢查主機的日志來確定這一信息。在多個跡象來源之

間進行事件關聯(lián)在驗證某個特定安全事件是否發(fā)生以及快速將各種信息拼在?起時是非常重要

的。使用集中式日志可以使事件關聯(lián)更加容易和快速，因為它匯集了所有網絡、主機、服務、

應用及安全設備的日志數據。

?保證所有主機時鐘同步像NTP這樣的協(xié)議可以在主機之間實現(xiàn)時鐘同步。這對于安全

事件響應來說是非常重要的，因為如果從各設備報告的事件如果時鐘配置不一致，那末事件關聯(lián)

就很艱難。從證據采集的角度來看;使口志中的時間戳保持一致也是非常重要的，比如本來一個

發(fā)生在12:07:01的事件，假設有3個設備日志對它進行了記錄，如果3個設備的時鐘不一致，

導致3個日志記錄為12:070R12:10:35和11:07:06,那末后果是可想而知的。

，，

?維護和使用信息知識庫知識庫中應該包括事件處理人員在安全事件分析中需要迅速

參考的信息。盡管可能建一個結構復雜的知識庫，但是還是簡單的方法比較有效。文本文檔、電

子表格及相對簡單的數據庫可以為小組成員之間共享數據提供一個有效而且靈便的機制。知識庫

中還應該包含許多其它信息，比如：

-1

?到惡意代碼和欺騙信息的鏈接；最完備和最新的來源普通是主要的反病毒軟

件廠商；

?到一個被列入垃圾郵件黑名單的域名列表的鏈接；

?前兆和跡象的重要性和真實性解釋，比如入侵檢測告警、操作系統(tǒng)日志及應

用錯誤碼。

?利用因特網搜索引擎進行查找像Google和AltaVista這樣的綜合因特網搜索弓擎可

以匡助找到異?；顒拥南嚓P信息，特別是掃描。比如分析人員可能會看到一些針對TCP22912

端口的異常掃描。根據“TCP”、“端口”、“22912”進行搜索可能會返回類似活動的日志，甚

至是關于該端口號意義的解釋。由于大多數與安全事件響應和入侵檢測相關的公共郵件列表都有

基于網絡的文檔記錄，所以網絡搜索引擎也會把這些文檔包括在搜索范圍之內。安全事件處理人

員也可以搜索他們可以訪問的非公共郵件列表和專業(yè)論壇，聯(lián)系其它CSIRT,問詢他們是否見過

類似活動。

?使用數據包監(jiān)聽工具來獲取更多信息有的時候，事件記錄并沒能記錄足夠的具體信

息，使得安全事件處理人員無法確定到底發(fā)生了什么事情。在這種情況下，如果該事件是發(fā)生在

網絡間的，最快最有效的方法就是利用數據包監(jiān)聽工具來捕捉該網絡中的數據包，從而獲取更多

的信息。在捕捉之前，應該先配置該工具，只讓它捕捉特定類型的數據包，這樣可以盡量減少無

用信息攙雜其中。同時，數據包監(jiān)聽工具還可以提供最精確，最完整的網絡攻擊的數據。在有些

情況下，如果不使用數據包監(jiān)聽工具將很難對事件進行處理。

?考慮數據簡化在不少組織中，只是沒有足夠的時間來檢查和分析所有的跡象。當數據

量非常龐大時，人自然就被嚇倒并對這些數據不加理會。要推動對安全事件進行有效地檢測，人

們有必要克服上述反應并確保至少要調查那些最讓人懷疑的活動。?個有效的策略是對跡象加以

過濾，這樣那些不怎么重要的跡象類別就不會浮現(xiàn)在安全事件的分析中。一個有效的策略是對跡

象加以過濾，讓那些最重要的跡象類別浮現(xiàn)在安全事件的分析中。但是這種方法比較危（wei）險,

因為新惡意活動可能不在所選擇的跡象類別中。但不管怎么說，這種方法比起根本不檢查跡象好

的多。

?經驗是不可代替的比如確定某個活動的企圖是非常艱難的。你可以想象，當一個安全

事件處理人員看到涉及到某臺DNS服務器的異常行為，而該行為并非攻擊，只是一些異常流量模

式或者端口號。這一偵察活動會是針對該DNS服務器即將發(fā)起的攻擊嗎？或者是利用該DNS服務

器為媒介針時另?臺服務器的攻擊？或者這只是均衡負載所造成的正常情況？利?這?數據可能

的解釋有不少，而安全事件處理人員可能由于缺乏詳細的數據信息，無法最終確定哪個解擇是

正確的。確定可以活動企圖的最好辦法是盡可能多地獲得安全事件處理經驗。安全事件分析是

一種技術性非常強的工作，但也是一種藝術。一個經驗豐富的安全事件處理人員可以對數據加

以檢查并迅速對安全事件的嚴重性產生直覺。

?為沒有經驗的成員編制一個診斷矩陣制作這樣一個矩陣可以有效地匡助求助臺、人

員、系統(tǒng)管理員及那些自己對前兆和跡象進行分析的人員.它同樣對那些經驗不足的入侵檢測分

析人員和安全事件響應小組成員有匡助。表3是從一個診斷矩陣范例中摘出來的，左邊列出了潛

在癥狀，其它每列是安全事件分類。矩陣中的每一個格子表明了哪些癥狀普通與每一個安全事件

分類有關聯(lián)及其關聯(lián)強度,“強度”可以用任何方式給出，從“有”或者“沒有”到一人百

分比。這個矩陣可以為那些經驗較少、雖然能夠發(fā)覺事件的癥狀卻無法確定是屬于哪種事件的

人提供很大的匡助，同時也可以被用于培訓新成員。該矩陣如果有解釋性文字會更實用，比如

對每一個矩陣項加一個簡短的注解以及如何證實每類安全獸件。

表3診斷矩陣范例摘錄

癥狀拒絕服務惡意代碼未經授權訪問不當使用

文件、關鍵、訪問企圖低中高低

文件、不適當的內容低中低高

主機崩潰中低中低

端口掃描、輸入、異常高低中低

端口掃描、輸出、異常低高中低

利用率、帶寬、高高中低中

利用率、郵件、高低高中中

?向其它人尋求匡助有的情況下，安全事件響應小組無法確定安全事件的全部原則和性

質。如果小組缺少足夠的信息來對事件進行限制和消除，那末他們就應該咨詢內部資源（如信息

安全人員）和外部資源（如FedCIRC.其他CSIRT、有安全事件響應專長的承包商），來求得分

析、限制和消除安全事件方面的匡助。弄清晰每一個安全事件的原因是非常重要的，惟獨這洋，

我們才干有效地對安全事件進行限制，并且正確地修補弱點，從而防止同樣事件的再次發(fā)生。

5、安全事件記錄

一旦安全事件響應小組懷疑正在發(fā)生或者己經發(fā)生了安全事件，要即將記錄有關該安全

事件的全部事實o日志薄是一個簡單有效的介質方法，但目前個人數字助理（PDA）、筆記本

計算機、錄音機以及數碼相機也可以用于這種目的。把系統(tǒng)事件、電話交談記錄下來并觀察其

中變化可以是問題處理更有效、更系統(tǒng)并且更少犯錯誤。從安全事件被發(fā)現(xiàn)到處理完畢過程中

所采取的每一步驟都應該加以記錄，并注明時間。與安全事件有關的每份文檔都應該讓安全事

件處理人員注明日期并簽字。這種性質的信息也可以作為法律訴訟相關證據。如果有可能，事

件處理應該至少保持兩人一組的工作方式，一個人開展技術工作的同時，另一個人進行日志記

錄。

安全事件響應小組或該將安全事件狀態(tài)及其它相關信息一起加以保存記錄。為實現(xiàn)這一

目的，有必要使用一個應用或者數據庫系統(tǒng)，以保證能夠及時地處理和解決安全事件。比如.安

全事件處理人員可能會接到與前一天所解決的安全事件相關的緊急電話，而當時的安全事件處

理人

員已經休假去了，通過訪國安全事件數據庫，事件處理人員可以快速了解安全事件。這種數據庫

系統(tǒng)應該包括以下內容：

?安全事件的當前狀態(tài)

?安全事件總結

?所有安全事件處理人員在此安全事件中所采取的行動

?其它涉及各方的聯(lián)系信息（比如系統(tǒng)擁有者、系統(tǒng)管理員）

?在調查該安全事件中所搜集到的證據清單

?安全事件處理人員的建議

?下一步要采取的步驟（比如等待系統(tǒng)管理員給應田打補?。?/p>

安全事件處理組還應該小心保護與安全事件相關的，因為這些數據中時常會包拈一些敏

感信息，比如被利用弱點方面的數據、最近的安全違反活動及那些可能采取不適當行動的用戶。

要減少敏感信息被不適當外泄的風險，要小組應該保證嚴格限制對安全事件數據的管理，比如只

有經過授權的人員才干訪問安全事件數據庫。與安全事件相關的電子郵件以及像安全事件報告這

樣的文檔應該加密，保證惟獨發(fā)送方和目標收件人材干讀懂。

6、安全事件的優(yōu)先排序

對安全事件處理進行優(yōu)先排序可能是安全事件處理過程中最關犍的一個決定點。由于資

源的限制，安全事件不此該按照先米先處埋的原則進行處埋，而此該按照以下兩個因素來發(fā)安全

事件的處理進行優(yōu)先排序：

?安全事件當前和潛在的技術影響安全事件處理人員不僅應該考慮安全事件目前的負

面技術影響（比如對數據的未經授權的用戶級訪問），而且還要考慮在安全事件沒有被即符限制

時，它未來的可能技術影響（如根破壞）。比如，某個蠕蟲病毒正在組織的網絡中傳播，它當前

的影響還非常小，但是可能在幾個小時內蠕蟲流量可能導致網絡資源被耗盡。

?受影響資源的關犍程度受安全事件影響的費源（比如防火墻、WEB服務器、因特網連

接、用戶工作站以及應用）對組織的的關鍵程度各不相同。資源的關鍵程度取決于其數據或者服務、

用戶、與其它資源的信任關系和相互依賴程度以及可視性（比如一個公眾WEB服務器相對于一個

內部部門的WEB服務器）。許多組織已經通過業(yè)務連續(xù)性計劃工作或者他們的服務等級協(xié)定（SLA,

其中規(guī)定了恢復每一個關鍵資源最多用多長期）確定了資源的關鍵性。只要可能，安全事件響應

小組就應該獲取并重用有關資源關鍵性方面的現(xiàn)有有效數據。

結合受影響資源的關鍵性和安全事件當前工作和潛在的技術影響，就可以確定安全事件

的業(yè)務影響，比如用戶工作站的根破壞可能導致生產率的輕微下降，而對公眾WEB服務器未經授

權的用戶級訪問則可能在營收、生產率、服務訪問、名聲及保密數據的泄露（如信用上號、社會

安全號）等力血產生重大損失。小組應該根據安全事件所產生的業(yè)務影響估計米優(yōu)先排序對各個

安全事件的響應。比如，與安全無關的不當使用安全事件普通不需要要比其它安全事件晚些處理，

因為其業(yè)務影響相對較低（第7章將詳細介紹如何進行優(yōu)先排序）。

組織應該用像表4中的矩陣范例那樣的格式來記錄優(yōu)先排序指南。每列的開頭列出資源

的關鍵性，每行的開頭列出技術影響分類。矩陣中的每一個值規(guī)定了安全事件響應小組要開始對

安全事件作出響應的最長期。這可以被認為是安全事件響應的一個SLA。普通來說，SLA不規(guī)

定解決安全事件的最長期，因為處理安全事件所需要的時間長度差異很大，往往不在安全事件

響應小組的控制之中。組織應該根據其自身需求及其資源關鍵性確定方法來定制這種矩陣。比

如組織可能有好幾個關鍵性分類，比如像不會帶來損失的病毒感染輕微安全事件最好交給當地

TT人員來處理，而無須找安全事件響應小組。理想上最好有兩個版本的矩陣：一個用于標準

工作日發(fā)生的安全事件，另一種用于非工作日發(fā)生的安全事件。

表4安全事件響應SLA矩陣

當前受影響的資源，以及未來可能受事件影響的資源

安全事件的當前影響可能

的未來影響高（如因特網連接、中（如系統(tǒng)管理員的工1E低（如用戶工作站）

公眾WEB服務器、站、文件和打印服務器、

防火墻、客戶數據）XYZ應用數據）

根級訪問15分鐘30分鐘1小時

未經授權的數據修改15分鐘30分鐘2小時

對敏感數據的未經授權訪15分鐘1小時1小時

問

未經授權用用戶級訪問30分鐘2小時4小時

服務不可用30分鐘2小時4小時

煩人的事[1]30分鐘本地IT人員處理本地IT人員處理

如果一個安全事件影響多個資源（如系統(tǒng)、應用和數據i,那末可能有多個矩陣項合用于該

事件。安全事件處理人員可以確定所有合用的矩陣項并首先采取最緊急的行動。比如，如果惡意

代碼獲造成對高關鍵性資源（30分鐘響應）的未經授權用戶級訪問以及對低關鍵性資源（1小時

響應）的系統(tǒng)破壞，處理人員應該首先解決高關鍵性資源上的問題，然后解決低關鍵性資源上的

問題。事件處理人員可能希翼在指定的一個小時最大期限內調查一下低關鍵性資源，特殊是如果

小組認為其中可能含有對其它資源事件處理有匡助的信息時候。

矩陣方法鼓勵組織去子細考慮安全事件響應小組在各種環(huán)境下應該如何作出反應。通過鳧供

一個安全事件處理決定框架