9-CISP应急响应培训

2006-8-82应急响应CISP培训课程2006-8-83•主讲：石英–启明星辰M2S运营中心高级咨询顾问–启明星辰认证培训部高级讲师–曾任积极防御实验室资深工程师–原CNCERT成员•联系方法–邮件：shiying@venustech.com.cn2006-8-84内容提要•应急响应背景及介绍–网络安全事件趋势及实例–应急响应概要介绍–应急响应组织的发展–CNCERT/CC介绍•应急响应实践–应急响应的作用–应急响应的通用过程–应急响应技术2006-8-85网络安全事件的特点•攻击者可以轻易通过多个不同的网络、地区、或国家发起攻击–使得追查需要大范围的协调•攻击定位十分困难–无论是虚拟世界的定位还是现实世界的定位。使得防范和追查都十分困难•攻击者需要的技术水平逐渐降低，但是造成的危害逐渐增大–黑客工具的增多，功能增强–获取黑客工具容易•有些问题的解决需要行业标准或者政策规范的方式来解决–例如垃圾邮件和分布式拒绝服务攻击2006-8-862006-8-87网络安全事件的趋势•病毒、蠕虫和其它攻击行为互相融合–带来的危害•网络阻塞，服务中断•开放主机权限，失密威胁严重•设置后门，成为下一轮攻击的基础•传播方式的变化–利用漏洞自动传播–电子邮件传播的也逐步增多•NetSky、Bagle、Mydoom–即时消息客户端、P2P网络、互联网聊天室（IRC)2006-8-88网络安全事件的趋势•网络仿冒（phishing)–网页欺诈、网络仿冒、网络钓鱼–仿冒对象是金融网站和电子商务网站–电子邮件欺骗客户登录•促销•系统升级–2002年、2003年只有1起（cncert）–2004年223起（cncert）–2005年上半年143件2006-8-89网络安全事件的趋势•利益针对性越来越明显–越来越多的安全事件同所得经济利益联系起来–针对银行、网上交易、信用卡等等的安全事件越来越多2006-8-810网络安全事件实例•近六百位明星的私人电话号码(05.6.4)2006-8-811网络安全事件实例•万事达公司4000万信用卡用户被窃（05.6.17)–黑客进入万事达信用卡国际公司的网络并获取了客户的信息。黑客偷走了20万张信用卡和借记卡账户的数据，并可能访问了4000万名信用卡的信息，涉及到1390万名万事达客户、2200万Visa客户以及数量不详的美国运通和Discover客户–此次安全违规事件发生在CardSystems设在亚利桑纳州Tuscon市的运营中心–CardSystems公司，一家为数家信用卡处理交易的第三方公司,CardSystems每年为105000多家中小企业处理交易，并且每年为MasterCard、Visa、Discover和AmericanExpress以及在线借款处理150亿美元的交易。2006-8-812网络安全事件实例•万事达公司4000万信用卡用户被窃（续）–被偷窃的记录因“研究目的”保存在CardSystems公司的一个计算机文件中–《NewYorkTimes》报道说，被盗的数据没有被加密，并且信用卡公司发表声明说CardSystems没有遵守他们的恰当的安全要求。–实际上，出售这些信用卡信息可以让黑客赚得巨款。据网上欺诈分析师估计，每个万事达卡即便账号价值42美元。金卡，比如上限较高的白金或黄金卡则售价会高达70美元2006-8-813网络安全事件实例•工程师入侵北京移动充值中心获利370万–31岁的UT斯达康有限公司深圳分公司工程师程某，利用互联网多次侵入北京移动通信有限责任公司的充值中心数据库，窃取充值卡密码向他人销售，造成北京移动损失价值人民币300多万元。–06年2月23号，这起巨额盗窃案在市二中院开庭审理。这是全国最大一起网上盗窃通信公司资费案。程某曾给多家省级移动公司做过业务，其中也给西藏移动公司做过计算机系统项目，掌握了西藏移动的系统密码。2006-8-814内容提要•应急响应背景及介绍–网络安全事件趋势及实例–应急响应概要介绍–应急响应组织的发展–CNCERT/CC介绍•应急响应实践–应急响应的作用–应急响应的通用过程–应急响应技术2006-8-815业务连续性计划BCP•业务连续性计划（BCP-BusinessContinuityPlan）应对业务活动的中断并应该保护关键业务过程免遭重大故障或灾难的影响。2006-8-816什么是应急响应•EmergencyResponse/IncidentResponse:安全人员在遇到突发事件后所采取的措施和行动•突发事件–影响一个系统正常工作的情况–这里的系统包括主机范畴内的问题，也包括网络范畴内的问题。–包括常见的黑客入侵、信息窃取等，也包括拒绝服务攻击、网络流量异常等2006-8-817应急响应术语2006-8-818应急响应的特点•技术复杂性与专业性•知识经验的依赖性•突发性强•需要广泛的协调与合作2006-8-819存在的问题•法律法规–垃圾邮件、恶意代码、扫描、隔离、用户权利和义务的局限性•组织体系–重要部门和行业尚没有建立专门的应急组织、国家应急体系尚不健全•协调机制–协调处理机制比较欠缺，跨网、跨部门处理难度大•服务规范–应急处理服务规范亟待建立•产品技术–关键性的、高指标要求的专门产品和技术尚不过关•数据收集–缺乏数据汇集渠道与综合分析能力，缺乏各种必要的基础资源•人力资源–缺乏各种层次的专业队伍，用户安全意识差2006-8-820内容提要•应急响应背景及介绍–网络安全事件趋势及实例–应急响应概要介绍–应急响应组织的发展–CNCERT/CC介绍•应急响应实践–应急响应的作用–应急响应的通用过程–应急响应技术2006-8-821Morris蠕虫•1988年“莫里斯事件”–1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特·莫里斯制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。1990年，Morris因这个蠕虫的破坏被判有罪并处以3年缓刑、1万美元罚金和400小时的社区义务劳动。2006-8-822应急处理组织的诞生•全球第一个计算机应急处理协调中心–在短短的2个小时内，只有90行代码的Morris蠕虫就攻击了包括5个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的6000台计算机，占1988年互联网上连接的电脑总数的10%。–Morris蠕虫爆发这起计算机安全事件极大地震动了美国政府、军方和学术界–在莫里斯事件发生之后，美国国防部高级计划研究署（DARPA）出资在卡内基-梅隆大学（CMU）的软件工程研究所（SEI）建立了计算机应急处理协调中心（CERT/CC）。该中心现在仍然由美国国防部支持，并且作为国际上的骨干组织积极开展相关方面的培训工作2006-8-823应急处理组织的诞生•美国能源部成立CIAC–1989年，美国能源部（DoE）成立了自已的计算机事件处理组织，称为CIAC（ComputerIncidentAdvisoryCapability)，专门保证能源部计算机系统的安全。至此，各有关部门纷纷开始成立自己的计算机安全事件处理组织•美国其他部门的情况–作为发起国，美国在国防部、能源部、空军、海军、众议院、国家宇航局、国家标准与技术局、部分重点大学、IT界知名公司先后成立了六十余个计算机安全事件相应组织。重在响应、协调、研究/分析与统计计算机安全事件2006-8-824应急处理的国际化qFIRST—计算机应急组织的国际舞台qFIRST—计算机应急组织的国际舞台qFIRST的宗旨qFIRST的宗旨qFIRST成员的情况qFIRST成员的情况FIRST的基本目的是使各成员能就安全漏洞、安全技术、安全管理等方面进行交流与合作，以实现国际间的信息共享、技术共享，最终达到联合防范计算机网络上的攻击行为的目标。FIRST的基本目的是使各成员能就安全漏洞、安全技术、安全管理等方面进行交流与合作，以实现国际间的信息共享、技术共享，最终达到联合防范计算机网络上的攻击行为的目标。qFIRST的工作规范qFIRST的工作规范ðFIRST组织有两类成员，一是正式成员，二是观察员。ðFIRST组织有一个由十人构成的指导委员会，负责对重大问题做出讨论，包括接受新的成员。新成员的加入必须有推荐人，并且需要得到指导委员会三分之二的成员同意。该委员会每月进行一次电话会议。ðFIRST的技术活动除了各成员之间通过保密通信进行信息交流外，FIRST组织每季度开一次内部技术交流会议，每年开一次开放型会议。通常是在美国与非美国国家交替进行。这是因为要照顾到美国代表的利益。ðFIRST组织有两类成员，一是正式成员，二是观察员。ðFIRST组织有一个由十人构成的指导委员会，负责对重大问题做出讨论，包括接受新的成员。新成员的加入必须有推荐人，并且需要得到指导委员会三分之二的成员同意。该委员会每月进行一次电话会议。ðFIRST的技术活动除了各成员之间通过保密通信进行信息交流外，FIRST组织每季度开一次内部技术交流会议，每年开一次开放型会议。通常是在美国与非美国国家交替进行。这是因为要照顾到美国代表的利益。1990年11月，在美国等的发起下，一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”，简称FIRST–ForumofIncidentResponseandSecurityTeam。10个小组来自美国，1个来自欧洲1990年11月，在美国等的发起下，一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”，简称FIRST–ForumofIncidentResponseandSecurityTeam。10个小组来自美国，1个来自欧洲CNCERT/CC于2002年8月成为FIRST的正式成员，处理.CN的安全事件。截止到2005年3月低，加入FIRST的CERT组织共有170多个。CNCERT/CC于2002年8月成为FIRST的正式成员，处理.CN的安全事件。截止到2005年3月低，加入FIRST的CERT组织共有170多个。2006-8-825国内应急组织的发展•1999年5月，清华大学成立了中国的第一个网络安全应急响应组织——中国教育和科研计算机网络安全应急响应组CCERT•1999年10月，东南大学成立华东地区安全事件响应组NJCERT•2000年10月，国家计算机网络与信息安全管理中心（国信安办）成立了中国计算机安全应急响应协调中心CNCERT/CC2006-8-826内容提要•应急响应背景及介绍–网络安全事件趋势及实例–应急响应概要介绍–应急响应组织的发展–CNCERT/CC介绍•应急响应实践–应急响应的作用–应急响应的通用过程–应急响应技术2006-8-827国家计算机网络应急技术处理协调中心•CNCERT/CC–国家计算机网络应急技术处理协调中心（简称CNCERT/CC）成立于2000年10月–由信息产业部互联网应急处理协调办公室直接领导–2002年8月成为国际权威组织“事件响应与安全组织论坛（FIRST）”的正式成员。–CNCERT/CC参与组织成立了亚太地区的专业组织APCERT，是APCERT的指导委员会委员。2006-8-828我国互联网应急体系2006-8-829CNCERT/CC职责ð收集、汇总、核实、发布权威性的应急处理信息ð为国家重要部门提供应急处理服务ð协调全国CERT组织共同处理大规模网络安全事件ð对全国计算机应急处理有关的数据进行统计ð根据当前情况提出相应的对策ð与其他国家和地区的CERT进行交流ð收集、汇总、核实、发布权威性的应急处理信息ð为国家重要部门提供应急处理服务ð协调全国CERT组织共同处理大规模网络安全事件ð对全国计算机应急处理有关的数据进行统计ð根据当前情况提出相应的对策ð与其他国家和地区的CERT进行交流2006-8-830CNCERT/CC的基本情况ð目前已经提供24小时响应服务ð组织建设应急处理基础信息库，如漏洞库、补丁库、攻击特征库、IP地址定位库等ð组织建设应急处理应用系统，如被黑网站自动发现系统、恶意代码主动发现