您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 计算机安全事件处理指南
计算机安全事件处理指南计算机安全事件处理指南(一):准备和预防安全事件响应过程从启动准备工作到事件后分析可以分为几个阶段。启动阶段包括建立和培训安全事件响应小组并获得必要的工具和资源。在准备工作中,组织也要以风险评估的结果为基础,通过选择和实施一套控制措施来限制安全事件的发生次数。但是即使在实施了安全控制措施后,残余风险依然不可避免,而且没有哪种控制措施是绝对安全的,所以对破坏网络安全的行为要进行检测,一旦安全事件发生要对组织发出报警。针对安全事件的严重程度,组织可以采取行动,通过对安全事件进行限制并最终从中恢复来减缓安全事件所造成的影响。在安全事件得到适当处理后,组织要提交一份报告,详细描述安全事件的起因、造成的损失以及以后对这类安全事件所应采取的防范措施和步骤。图1描述了安全事件响应的生命周期。图1:安全事件响应生命周期1、准备安全事件响应方法学通常都要强调准备工作,不仅要建立一个安全事件响应能力,使组织能够从容响应安全事件,而且要通过确保系统、网络及应用足够安全来预防安全事件。虽然预防安全事件一般不属于安全事件响应小组的职责,但是因为它太重要了,以至于现在它已经被认为是安全事件响应小组的基础组件工作。在提出系统安全保护建议时,安全事件响应小组的专长是非常有价值的。本节将针对安全事件处理及预防的准备工作提供指导。1.1准备处理安全事件表1列出了在安全事件处理过程中一些有价值的工具和资源。可以看到对安全事件分析有用的具体软件信息以及一些包含对安全事件响应有帮助的信息的网站清单。表1安全事件处理人员所需工具和资源工具/资源安全事件处理人员通信及设施联系信息用于小组成员及组织内部和外部的其它人员(包括主要联系人和后备人员),比如执法机构和其它安全事件响应小组;这些信息可能包括电话号码、电子邮件地址、公钥(按照下面将要提到的加密软件)、以及验证联系人身份的指令待命信息用于组织内其它小组,包括问题升级信息安全事件报告机制比如电话号码、邮件地址和是网上表格,用户可以用它们来报告可以事件;至少要有一种方法允许用户可以用匿名方式报告事件传呼机或移动电话小组成员要随身携带的通信工具,保证成员在非工作时间也能联系得到。加密软件被用于小组成员之间在组织内部、以及和外部机构之间的通信,必须采用经过FIPS140-2验证过的加密算法作战指挥室用于集中式通信和协调;如果不需要永久性的作战指挥室,安全事件响应小组应该制定一个流程用来在需要时获得一个临时的作战指挥室。安全存储设施用于保护证据和其它敏感信息安全事件分析硬件和软件计算机取证工作站[1]和/或备份设备用于创建磁盘映象、保存日志文件、保存安全事件其它相关数据笔记本计算机由于这种计算机便于携带,可用于数据分析、监听数据包及编写报告备用工作站、服务器及网络设备这些设备可应用于许多用途,比如用备份来恢复系统、测试恶意代码;如果小组难以判断额外设备的费用,可以使用现有的实验设备,或者用操作系统仿真软件来建立虚拟实验室空白介质比如软盘、只读CD和只读DVD便携式打印机用于从非网络连接系统中打印日志文件和其它证据副本。数据包监听和协议分析器捕获并分析可能包含有事件证据的网络流量计算机取证软件用于分析磁盘映象,查找安全事件证据软盘和光盘存放有程序可靠版本的软盘和光盘,可用它们从系统中收集证据证据收集辅助设备通过包括笔记本计算机、数字像机、录音机、证据存放袋和标签、证据磁带等来保护证据,以备可能发生的法律行动安全事件分析资源端口列表包括常用端口和特洛伊木马端口文档包括操作系统、应用、协议、入侵检测特征码、病毒特征码的文档。网络拓扑图和关键资产清单比如WEB服务器、邮件服务器、FTP服务器。工具/资源基线预期网络、系统和应用的行为的基线。关键文件的加密hash提高安全事件的分析、验证和消除速度安全事件减缓软件介质包括操作系统引导盘和CD、操作系统介质及应用介质安全补丁来自操作系统和应用厂商备份映像存储在二级介质上的操作系统、应用和数据。许多安全事件响应小组都创建了一个简便工具箱(jumpkit),一般是一个轻便的袋子或箱子,里面装有安全事件处理人员在异地调查时可能需要的东西。这种工具箱随时可用,这样在发生严重事件时,安全事件处理人员可以拿起来就走,工具箱中配备了很多表1中所列出的东西。比如每个工具箱中一般都有一台笔记本计算机并安装了适当的软件(如包监听和计算机取证等)。其它重要材料包括备份设备、空白介质、基本网络设备和线缆以及操作系统和应用介质和补丁。因为这种工具箱主要是为了工作方便,所以工具箱中的东西一般不要外借,还要注意保证工具箱中工具得到不断升级和更新(比如笔记本计算机要经常安装新的安全补丁,更新操作系统介质)。组织要在创建和维护一个工具箱的费用和因为更有效和高效地限制安全事件的收益之间取得平衡。1.2预防安全事件将安全事件发生次数保持在一个合理的数量之下是非常重要的。如果安全控制措施不充分,就可能发生大量安全事件,超出安全事件响应小组的能力,这将使安全事件响应迟缓和响应不完全,从而对组织造成更大的负面业务影响(比如导致更大的破坏、或导致更长时间的服务或数据中断)。一个改善组织的安全生态并预防安全事件的合理方法是定期对系统和应用进行风险评估。这些评估应该确定威胁和弱点合在一起会带来什么样的风险。应该将风险进行优先级排序,风险可以被减缓、转移或直到达到一个合理的总体风险级别时接受它。采纳或至少检查相同组织(认真负责的)的控制策略可以提供合理的信心保证,即别人的哪些工作应该用在本组织里。经常性地进行风险评估另外一个好处就是确定关键资源,使人们可以重点对其进行监视和响应。组织不能以认为某些资源不重要为借口来忽视其安全性,因为组织安全水平和其最薄弱环节一样。需要注意是,无论风险评估多么有效,它反映的也只是当前的风险而已。由于新的威胁和弱点层出不穷,所以计算机安全是一个持续的、要求工作有效的过程。就保护网络、系统及应用提出具体建议超出了本文档的讨论范围。尽管安全事件响应小组一般不负责保护资源,但它可以提出合理的安全实践。其它一些文档中在总体安全概念中、操作系统和具体应用指南方面给出了一些建议。下面对网络、系统和应用方面的一些主要建议实践进行简要介绍:补丁管理许多信息安全专家都同意很大部分安全事件是因为利用了系统和应用中数量相对较少的弱点所致。大型组织应该落实补丁管理项目来协助系统管理员确定、获得、测试并采用补丁。主机安全所有主机都应该被适当加固。除了保证对主机打上正确的补丁外,还应该对主机进行配置,只允许对适当的用户和主机开放尽可能少的服务,即最小特权原则。对于那些不安全的缺省配置(比如缺省口令、不安全的共享)进行重置。当用户试图通过访问受保护资源时,要显示一个警告横幅。主机应该打开审计功能,并记录与安全相关的重大事件。很多组织使用操作系统和应用配置指南来帮助管理员一致且有效地保护主机。网络安全应该对网络边界进行配置,对那些不是明确允许的流量加以拒绝。只有那些正确功能所必须的活动才被允许。这包括保护所有的连接点,比如调制解调器、VPN及到其它组织的专线连接。恶意代码预防应该在整个组织内采用能检测和阻止恶意代码(如病毒、蠕虫和特洛伊木马)的软件。应该在主机级(如服务器和工作站操作系统)、应用服务器级(如邮件服务器、WEB代理)和应用客户级(如邮件客户端和即时通信客户端)落实恶意代码保护。用户意识和培训用户应该了解正常使用网络、系统和应用的政策和流程,从以前安全事件中汲取的经验教训应该和用户共享,这样他们可以看到他们的行为是如何对组织产生影响的。提高用户对安全事件的意识应该可以减少安全事件的频率,尤其是那些恶意代码和违反安全政策的事件。应该培训IT人员,使他们能够根据本组织的安全标准来维护网络、系统和应用。计算机安全事件处理指南(二):检测和分析图1:安全事件响应生命周期(检测和分析)1、安全事件分类安全事件的发生的方式多种多样,所以想要制定一个具体的综合流程来处理每一件安全事件是不切实际的。组织能做的最好程度就是从总体上准备处理任何类型的安全事件,对常见安全事件类型的处理则更具体一些。下面所列出的安全事件分类既不是包罗一切的,也不打算为安全事件给出明确的分类,相反,它只给出了一个基本指南来指导如何根据其主要分类来处理安全事件。下面的事件分类列表并不全面,因为这并不是为了对所有的安全事件进行定义和分类,而仅是为了给大家一个初步的概念来指导大家如何根据事件的不同类型去处理事件:拒绝服务攻击:一种攻击,通过消耗资源的方式来阻止和破坏对网络、系统或应用经过授权的使用。恶意代码:能够感染主机的病毒、蠕虫、特洛伊木马或其它基于代码的恶意实体。未经授权访问:一个人在未经允许的情况下通过逻辑的或物理的方式访问网络、系统、应用、数据或、其它资源。不当使用:用户违反可接受计算资源使用政策。复合型安全事件:一个单一安全事件中包含两种或是两种以上的安全事件。此外,有些安全事件可以对应以上多个分类。安全事件响应小组可以根据其传送机制对安全事件进行分类,比如:一个病毒在系统中创建了一个后门,那我们应该把它当作恶意代码安全事件来处理,而不是未经授权访问安全事件,因为恶意代码是唯一用到的传送机制。如果一个病毒创建的后门已经被用于未经授权访问,那么这个事件应该被当作复合型安全事件来处理,因为它用到了两个传送机制。本节主要是针对各种安全事件提出建议实践,后文基于安全事件分类给出了更为具体的建议。2、事件征兆对于很多组织来说,安全事件响应过程中最困难的一步是准确检测并评估可能的安全事件,即确定一个安全事件是否会发生,如果发生,那它属于什么类型、影响程度如何以及问题的范围。造成这一点很困难主要有以下3个因素:●安全事件可以通过很多不同的方法来检测,并获得不同程度的细节和真实性自动化检测能力有基于网络的和基于主机的入侵检测系统、反病毒软件以及日志分析工具。也可以通过人工方法来检测安全事件,比如用户报告的问题。有些安全事件有隐含的征兆,可以很容易被检测到,而有些如果没有自动工具几乎无法检测到。●安全事件的潜在征兆数量一般都很高,比如组织每天受到上千甚至百万条入侵检测传感器报过来的告警信息并不少见。●对与安全事件相关的数据进行正确而有效的分析往往需要高水平的专业知识和丰富的实践经验。多数组织内,具备这些条件的人很少,并且一般都可能分配到其它工作中去了。安全事件的征兆可以分为两类:迹象(indication)和前兆(precursor)。前兆是指未来可能发生的安全事件的征兆,而迹象是指已经发生或正在发生的安全事件的征兆。迹象的种类太多,以至于无法一一介绍,以下是其中一些例子:●某台FTP服务器发生缓冲区溢出时网络入侵检测传感器报警;●反病毒软件发现某台主机被蠕虫感染时发出告警;●WEB服务器崩溃;●用户抱怨上网太慢;●系统管理员发现文件名有不寻常字符;●用户想求助台报告收到恐吓邮件;●某主机记录其日志中的审计配置发生变化;●某应用程序的日志记载了来自未知远程系统的多次失败登录尝试;●邮件管理员发现有大量可疑内容邮件流入。●网络管理员发现网络流量发生不寻常变化。不要认为安全事件检测只是一种反应式的,有时候组织也可能在安全事件发生之前就检测到有关行为。比如网络入侵检测传感器发现针对一组主机的不寻常端口扫描活动,这很可能就是对某台主机发起拒绝服务攻击的前兆。以下是其它一些有前兆的例子:●WEB服务器日志显示,有人使用WEB服务器弱点扫描工具;●公开针对组织邮件服务器弱点的一种新黑客攻击;●某黑客组织声称要攻击该组织。不是所有的攻击都可以通过前兆检测到,有的攻击没有前兆,有的攻击前兆则很难被组织发现的。如果在攻击之前发现前兆,那么该组织还有机会通过采用自动或人工方法来改变其安全生态来预防安全事件发生。但是大多数严重情况下,组织可能要确定采取行动,就像已经发生了安全事件,从而尽快减缓风险。很少情况下,组织可以密切监视某些活动,可能是针对特定主机的连接企图或某些网络流量类型。3、前兆和迹象的来源可以通过许多不同的来源来检测前
本文标题:计算机安全事件处理指南
链接地址:https://www.777doc.com/doc-1269118 .html