CISP-3-应急响应

信息安全管理应急响应中国信息安全产品测评认证中心（CNITSEC）－应急响应（培训样稿）cnitsec内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例cnitsec应急响应服务背景应急响应服务的诞生—CERT/CC•1988年Morris蠕虫事件直接导致了CERT/CC的诞生。•美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划(NetworkedSystemsSurvivabilityProgram)的一部分，下设三个部门：事件处理、脆弱性处理、计算机安全应急响应组（CSIRT）。•在CERT/CC成立之后的14年里，共处理了28万多封Email，2万多个热线电话，其运行模式帮助了80多个CSIRT组织的建设。cnitsec应急响应服务背景CERT/CC服务的内容•安全事件响应•安全事件分析和软件安全缺陷研究•缺陷知识库开发•信息发布：缺陷、公告、总结、统计、补丁、工具•教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训•指导其它CSIRT（也称IRT、CERT）组织建设cnitsec内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例cnitsec事件响应事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。cnitsec应急响应描述当安全事件发生需要尽快解决，而一般技术人员又无法迅速处理的时候，就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。这种服务手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全服务商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。cnitsec什么是应急响应应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。应急响应服务是解决网络系统安全问题的有效安全服务手段之一。cnitsec应急响应的目的应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。cnitsec应急响应服务的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品突发性强需要广泛的协调与合作cnitsec内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例cnitsec应急响应组的组建什么是应急响应组（IRT）应急响应组就是一个或更多的个人组成的团队，能快速执行和处理与安全有关的事件的任务。为什么需要成立应急响应组•容易协调响应工作•提高专业知识•提高效率•提高先期主动防御能力•更加适合于满足机构的需要•提高联络功能•提高处理制度障碍方面的能力cnitsec应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提供商IRT厂商IRT企业/政府IRT如：绿盟科技如：CCERT如：Cisco、IBM如：中国银行、公安部如CERT/CC,FIRST如CNCERT/CCcnitsec国外应急响应组建设情况国外安全事件响应组（CSIRT）建设情况•FedCIRC、BACIRT、DFN-CERT等•DOECIAC、AFCERT、NavyCIRT•亚太地区：AusCERT、SingCERT等FIRST（1990）•FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。•120多个正式成员组织，覆盖20多个国家和地区。•FIRST的大量工作都是由来自各成员组织的志愿者完成的，从FIRST中获益的比例与IRT愿意提供的贡献成比例。cnitsec国内应急响应组建设情况计算机网络基础设施已经严重依赖国外由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务组织还处在建设阶段•CCERT（1999年5月），中国教育科研网紧急响应组•NJCERT（1999年10月），中国教育网华东（北）地区网络安全事件响应组•中国电信ChinaNet安全小组•解放军，公安部•商业网络安全服务公司中国计算机应急响应组/协调中心CNCERT/CC•信息产业部安全管理中心，2000年3月，北京cnitsec国际应急响应组网址美国清华欧洲新加坡台湾省印尼瑞士澳大利亚德国日本马来西亚韩国墨西哥菲律宾内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例cnitsec应急响应服务的过程准备检测抑制根除恢复跟踪cnitsec应急响应服务的过程——准备基于威胁建立一组合理的防御/控制措施建立一组尽可能高效的事件处理程序获得处理问题必须的资源和人员建立一个支持事件响应活动的基础设施cnitsec应急响应服务的过程——检测确定事件是已经发生了还是在进行当中初步动作和响应•选择检测工具，分析异常现象•激活审计功能•迅速备份完整系统•记录所发生事件•估计安全事件的范围cnitsec应急响应服务的过程——抑制限制攻击的范围，同时限制了潜在的损失和破坏。抑制策略•完全关闭所有系统；•将网络断开；•修改所有防火墙和路由器的过滤规则，拒绝来自看起来是发起攻击的主机的所有的流量；•封锁或删除被攻击的登录账号；•提高系统或网络行为的监控级别；•设置诱饵服务器作为陷阱；•关闭被利用的服务；•反击攻击者的系统等。cnitsec应急响应服务的过程——根除安全事件被抑制后，找出事件根源并彻底根除，即根除事件的原因。cnitsec应急响应服务的过程——恢复把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。cnitsec应急响应服务的过程——跟踪回顾事件处理过程总结经验教训为管理或法律目的收集损失统计信息建立或补充自己的应急计划cnitsec内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例cnitsec应急响应服务的形式远程应急响应服务本地应急响应服务cnitsec远程应急响应服务客户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问题。经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程登陆主机进行检测和服务，问题解决后出具详细的应急响应服务报告。远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本地应急响应类型。cnitsec本地应急响应服务应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急响应服务报告。cnitsec应急响应服务的内容病毒事件响应系统入侵事件响应网络故障事件响应拒绝服务攻击事件响应cnitsec内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例cnitsec应急响应服务的指标远程应急响应服务在确认客户的应急响应请求后2小时内，交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应情况的简报，直到此次响应服务结束。本地应急响应服务对本地范围内的客户，3-6小时内到达现场；对异地的客户，24小时加路途时间内到达现场。cnitsec内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例cnitsec应急响应服务案例国家XX局的主机入侵应急响应XX证券公司“红色代码”病毒事件应急响应XX电信公司网络拒绝服务攻击事件应急响应XX省教育网拒绝服务攻击事件应急响应cnitsec国家XX局应急响应事件描述该主机位于国家XX局的X层计算机办公室，在2001年11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家XX局网络安全管理部门报告。主机用途做为国家XX局计算中心内部网站使用，负责发布计算中心内部信息。操作系统Windows2000ServerSP2，网站运行IIS5，后台数据库采用ACCESS。cnitsec国家XX局应急响应现场分析主要依据是服务器的IIS日志，利用查找功能在该日志的文件夹里查找是否有被攻击的行为。查找漏洞攻击的关键字后发现没有找到任何攻击行为的征兆，只有几次NIMUDA病毒发作的记录，和此次攻击事件无关。然后查找该主机数据库的关键字mynews.mdb后发现该数据库曾经在11月被来自10.71.1.98IP地址的的浏览者非法下载。进一步的跟踪该IP地址的浏览记录后发现，该IP地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此IP地址的访问并非远程管理员，所以初步怀疑为攻击者。cnitsec国家XX局应急响应扫描分析•发现服务器采用FAT32的磁盘格式，建议采用NTFS格式的磁盘分区提供更高的安全可靠性能；•没有采取端口访问限制策略，远程主机可以随意连接到电脑上的开放端口；•开放的SNMP协议暴露服务器主机的配置和使用情况；•没有禁止的IPC共享连接可以远程得到主机的网络和系统配置文件。cnitsec国家XX局应急响应原因分析由于此名攻击者是直接下载的xx局计算中心网站的数据库文件，之前没有做任何攻击和猜解尝试，表明该攻击者非常熟悉该网站文件和数据库结构，怀疑是内部知情人员所为。响应建议•由于主机的数据库名称已经暴露，所以建议把该数据库文件名称改为新的名称；•由于目标主机完全采用的是默认安装所以建议对该主机做一次全面的安全配置；•建议主机打全最新的安全补丁；•严格限制该主机的物理访问权限。cnitsecXX证券公司应急响应事件描述2001年8月10日下午4点30分，XX证券信息中心紧急电话:证券公司网络传输速度缓慢，严重影响正常业务运作。5点10分，三名应急技术人员到达xx证券信息中心机房。现场分析通过检查“冰之眼”入侵检测系统的日志