《CISP之应急响应ppt课件》由会员分享,可在线阅读,更多相关《CISP之应急响应ppt课件(65页珍藏版)》请在金锄头文库上搜索。
1、中启航国际教育学院-CISP培训培训应急响应1议程议程应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制2应急响应的客体-安全事件安全事件=威胁+脆弱性3安全事件的组成威胁威胁是可能导致信息安全事故和组织信息资威胁是可能导致信息安全事故和组织信息资产损失的活动产损失的活动威胁是利用脆弱性来造成后果威胁是利用脆弱性来造成后果4安全事件的组成威胁举例:黑客入侵和攻击黑客入侵和攻击病毒、蠕虫、木马病毒、蠕虫、木马软硬件故障软硬件故障人为误操作人为误操作自然灾害如:地震、火灾、爆自然灾害如:地震、火灾、爆炸等炸等盗窃盗窃网络监听
2、网络监听供电故障供电故障未授权访问未授权访问5脆弱性是与信息资产有关的弱点或安全隐患。是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害,但是在一脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。用来对信息资产造成危害。安全事件的组成6脆弱性举例系统漏洞系统漏洞程序程序BugBug后门后门系统没有进行安全配置系统没有进行安全配置缺少审计缺少审计物理环境不安全物理环境不安全缺乏安全意识缺乏安全意识缺乏专业人员缺乏专业人员不良习惯不良习惯安全事件的组成7应急响应的保障能力(XYZ)预防监测控制恢复资
3、源策略平台组织间谍软件网络窃听僵尸网络DDOSX 需要的元素Z 各种事件的研究Y 需要的能力8应急响应的保障能力(Y应对能力)9应急响应的保障能力(X实现要素)10应急响应的保障能力(Z事件研究)11我们面临的挑战-几个关键词规模-个人、组织、国家、国际速度-0day漏洞分析-海量数据和信息定位-没有边界的网络世界和有边界的行政管理目的-恶作剧、科学研究、商业敲诈、政治因素后果-经济损失、非经济损失12第一个应急响应组织机构-CERT/CC蠕虫攻击蠕虫攻击CERT/CC创建创建MorrisWorm1988年年11月月13应急响应管理概述第一个应急响应组织机构-CERT/CCoMorris蠕虫的
4、背景蠕虫的背景nRobert Tappan Morris-Robert Tappan Morris-世界蠕虫之父,人类历史上的一个世界蠕虫之父,人类历史上的一个hackerhacker,美国前国家安全局首席科学家,美国前国家安全局首席科学家Robert MorrisRobert Morris的儿子的儿子 。nAPPANETAPPANET刚刚转为民用,大概有刚刚转为民用,大概有6-86-8万台电脑通过万台电脑通过InternetInternet进进行互联行互联nMorrisMorris出于研究互联网规模的目的开始在网络上注入了一个出于研究互联网规模的目的开始在网络上注入了一个程序文件,但由于程序
5、自身的程序文件,但由于程序自身的BUGBUG开始自我复制并造成开始自我复制并造成10%10%的的电脑死机电脑死机n最后最后MorrisMorris自首,并根据美国自首,并根据美国19861986年颁布的年颁布的计算机欺诈和计算机欺诈和滥用法令滥用法令 被判有罪并处以被判有罪并处以3 3年缓刑、年缓刑、1 1万美元罚金和万美元罚金和400400小小时的社区义务劳动时的社区义务劳动 14应急响应服务背景应急响应服务背景应急响急响应服服务的的诞生生CERT/CCCERT/CC19881988年年MorrisMorris蠕虫事件直接蠕虫事件直接导致了在致了在2 2周后的周后的CERT/CCCERT/C
6、C的的诞生。生。美国国防部美国国防部(DoD)(DoD)在卡内基梅隆大学的在卡内基梅隆大学的软件工程研究所成件工程研究所成立了立了计算机算机应急响急响应组协调中心中心(CERT/CC)(CERT/CC)以以协调InternetInternet上的安全事件上的安全事件处理。目前,理。目前,CERT/CCCERT/CC是是DoDDoD资助下助下的抗的抗毁性网性网络系系统计划划(Networked Systems (Networked Systems Survivability Program)Survivability Program)的一部分,下的一部分,下设三个部三个部门:事件:事件处理、脆弱
7、性理、脆弱性处理、理、计算机安全算机安全应急响急响应组(CSIRTCSIRT)。)。在在CERT/CC CERT/CC 成立至今,共成立至今,共处理了理了7070万多封万多封EmailEmail,1010万多万多个个热线电话,其运行模式帮助了,其运行模式帮助了100100多个多个CSIRTCSIRT组织的建的建设。15应急响应服务背景应急响应服务背景CERT/CCCERT/CC服服务的内容的内容安全事件响安全事件响应安全事件分析和安全事件分析和软件安全缺陷研究件安全缺陷研究缺陷知缺陷知识库开开发信息信息发布:缺陷、公告、布:缺陷、公告、总结、统计、补丁、工具丁、工具教育与培教育与培训:CSIR
8、TCSIRT管理、管理、CSIRTCSIRT技技术培培训、系、系统和网和网络管管理理员安全培安全培训指指导其它其它CSIRTCSIRT(也称(也称IRTIRT、CERTCERT)组织建建设16议程议程应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制17事件响应事件响应事件响应:对发生在计算机系统或网络事件响应:对发生在计算机系统或网络上的威胁安全的事件进行响应。上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组事件响应是信息安全生命周期的必要组成部分。这个生命周期包括:对策、检成部分。这个生命周期包括:对策
9、、检测、响应测、响应准备、遏制、根除和恢复、事后活动。网络安全的发展日新月异,谁也无法实网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务。现一劳永逸的安全服务。18什么是应急响应什么是应急响应应急响应也叫紧急响应,是安全事件发应急响应也叫紧急响应,是安全事件发生后迅速采取的措施和行动,它是安全生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式事件响应的一种快速实现方式 。应急响应服务是解决网络系统安全问题应急响应服务是解决网络系统安全问题的有效安全服务手段之一。的有效安全服务手段之一。19应急响应的目的应急响应的目的应急响应服务的目的是最快速度恢复系应急响应服务的目的是最快速度
10、恢复系统的保密性、完整性和可用性,阻止和统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。减小安全事件带来的影响。20应急响应服务的特点应急响应服务的特点技技术复复杂性与性与专业性性各种硬件平台、操作系各种硬件平台、操作系统、应用用软件件知知识经验的依的依赖性性由由IRTIRT中的人提供服中的人提供服务,而不是一个硬件或,而不是一个硬件或软件件产品品 突突发性性强需要广泛的需要广泛的协调与合作与合作21议程议程应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制22应急响应组的组建应急响应组的组建什么是什么是应急响
11、急响应组(IRTIRT) 应急响急响应组就是一个或更多的个人就是一个或更多的个人组成的成的团队,能快速能快速执行和行和处理与安全有关的事件的任理与安全有关的事件的任务。为什么需要成立什么需要成立应急响急响应组容易容易协调响响应工作工作提高提高专业知知识提高效率提高效率提高先期主提高先期主动防御能力防御能力更加适合于更加适合于满足机构的需要足机构的需要提高提高联络功能功能提高提高处理制度障碍方面的能力理制度障碍方面的能力23应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提供商 IRT厂商 IRT企业 /政府 IR
12、T如:专业安全厂商如:电信企业如:Cisco、IBM如:中国银行、 公安部如CERT/CC, FIRST如CNCERT/CC24国外应急响应组建设情国外应急响应组建设情况况FIRSTFIRST(19901990)FIRSTFIRST为IRTIRT组织、厂商和其他安全、厂商和其他安全专家提供一个家提供一个论坛,讨论安安全缺陷、入侵者使用的方法和技巧、建全缺陷、入侵者使用的方法和技巧、建议等,共同的等,共同的寻找一个找一个可接受的方案。可接受的方案。120120多个正式成多个正式成员组织,覆盖,覆盖2020多个国家和地区。多个国家和地区。FIRSTFIRST的大量工作都是由来自各成的大量工作都是由
13、来自各成员组织的志愿者完成的,从的志愿者完成的,从FIRST FIRST 中中获益的比例与益的比例与IRTIRT愿意提供的愿意提供的贡献成比例。献成比例。国外安全事件响国外安全事件响应组(CSIRTCSIRT)建)建设情况情况FedCIRCFedCIRC(联邦邦计算机事故反算机事故反应中心中心 )、)、BACIRTBACIRT(美国(美国银行行计算机事故反算机事故反应中心)、中心)、DFN-CERTDFN-CERT(德国国家研究及教育网(德国国家研究及教育网络 )等等DOE CIACDOE CIAC、 AFCERTAFCERT(美国空(美国空军)、)、NavyCIRTNavyCIRT亚太地区:
14、太地区:AusCERTAusCERT(澳大利(澳大利亚)、)、SingCERTSingCERT(新加坡)等(新加坡)等25国内应急响应组建设情国内应急响应组建设情况况计算机网算机网络基基础设施已施已经严重依重依赖国外国外由于地理、由于地理、语言、政治等多种因素,安全服言、政治等多种因素,安全服务不可能依不可能依赖国国外的外的组织国内的国内的应急响急响应服服务组织还处在建在建设阶段段CCERTCCERT(19991999年年5 5月),中国教育科研网月),中国教育科研网紧急响急响应组NJCERTNJCERT(19991999年年1010月),中国教育网月),中国教育网华东(北)地区网(北)地区网
15、络安安全事件响全事件响应组中国中国电信信ChinaNetChinaNet安全小安全小组解放解放军(总参),公安部参),公安部商商业网网络安全服安全服务公司公司中国中国计算机算机应急响急响应组/ /协调中心中心CNCERT/CCCNCERT/CC原信息原信息产业部安全管理中心部安全管理中心 ,20002000年年3 3月,北京月,北京26CNCERT/CC CNCERT/CC 概述概述27CNCERT/CC CNCERT/CC 概述概述28议程议程应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制29应急响应服务的过程应急
16、响应服务的过程应急响应处理生命周期准备检测遏制、根除和恢复事后活动30应急响应服务的过程应急响应服务的过程准备准备基于威胁建立一组合理的防御基于威胁建立一组合理的防御/控制措施控制措施建立一组尽可能高效的事件处理程序建立一组尽可能高效的事件处理程序获得处理问题必须的资源和人员获得处理问题必须的资源和人员建立一个支持事件响应活动的基础设施建立一个支持事件响应活动的基础设施31准备阶段制定制定应急响急响应计划划资源准源准备应急急经费筹集筹集人力人力资源源相关相关软硬件硬件设备理解网理解网络、系、系统和和应用的正常行用的正常行为建立同外部方建立同外部方报告事故的机制告事故的机制保持所有主机保持所有主
17、机时钟同步。同步。维护和使用信息知和使用信息知识库。业务连续性保障性保障系系统容灾容灾搭建搭建临时业务系系统32应急响应服务的过程应急响应服务的过程检测检测确定事件是已确定事件是已经发生了生了还是在是在进行当中行当中初步初步动作和响作和响应选择检测工具,分析异常工具,分析异常现象象激活激活审计功能功能迅速迅速备份完整系份完整系统记录所所发生事件生事件估估计安全事件的范安全事件的范围33检测和分析阶段通通过各种各种类型的型的计算机安全算机安全设备所所产生的告警来生的告警来标识预兆和征兆。兆和征兆。需要在所有系需要在所有系统上建立日志和上建立日志和审计的基的基线级别现场备份份使用集中的日志并使用集
18、中的日志并创建日志关建日志关联策略。策略。执行事件关行事件关联。为经验较少的人少的人员编制制诊断矩断矩阵。当当应急小急小组怀疑事故疑事故发生生时,尽可能快的开始,尽可能快的开始记录所有信息。所有信息。安全保安全保护事故数据。事故数据。在在组织机构机构应急响急响应策略中包含事故策略中包含事故汇报相关的内容。相关的内容。34应急响应服务的过程应急响应服务的过程抑制抑制限制攻击的范围,同时限制了潜在的损限制攻击的范围,同时限制了潜在的损失和破坏。失和破坏。抑制策略抑制策略完全关完全关闭所有系所有系统;将网将网络断开;断开;修改所有防火修改所有防火墙和路由器的和路由器的过滤规则,拒,拒绝异常流量;异常
19、流量;封封锁或或删除被攻除被攻击的登的登录账号;号;提高系提高系统或网或网络行行为的的监控控级别;设置置诱饵服服务器作器作为陷阱;陷阱;关关闭被利用的服被利用的服务;反反击攻攻击者的系者的系统等。等。35应急响应服务的过程应急响应服务的过程根根除除安全事件被抑制后,找出事件根源并彻底安全事件被抑制后,找出事件根源并彻底根除,即根除事件的原因。根除,即根除事件的原因。36应急响应服务的过程应急响应服务的过程恢恢复复把所有受侵害或被破坏的系统、应用、数把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。据库等彻底地还原到它们正常的任务状态。37应急响应服务的过程应急响应服务的
20、过程跟跟踪踪回顾事件处理过程回顾事件处理过程总结经验教训总结经验教训为管理或法律目的收集损失统计信息为管理或法律目的收集损失统计信息建立或补充自己的应急计划建立或补充自己的应急计划报请公安机关立案报请公安机关立案38应急响应服务的过程应急响应服务的过程归档与统计归档与统计处理人处理人时间时间地点地点工作量工作量事件的类型事件的类型处置情况处置情况代价代价细节细节39议程议程应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制40应急响应服务的形式应急响应服务的形式远程应急响应服务远程应急响应服务本地应急响应服务本地应急响应
21、服务41远程应急响应服务远程应急响应服务客客户通通过电话、EmailEmail、传真等方式真等方式请求安全事件求安全事件响响应,应急响急响应组通通过相同的方式相同的方式为客客户解决解决问题。经与客与客户网网络相关人相关人员确确认后,客后,客户方提供主机方提供主机或或设备的的临时支持支持账号,由号,由应急响急响应组远程登程登陆主机主机进行行检测和服和服务,问题解决后出具解决后出具详细的的应急响急响应服服务报告。告。远程系程系统无法登无法登陆,或无法通,或无法通过远程程访问的方式的方式替客替客户解决解决问题,客,客户确确认后,后,转到本地到本地应急相急相应流程,同流程,同时此次此次远程响程响应无效
22、,无效,归于本地于本地应急急响响应类型。型。42本地应急响应服务本地应急响应服务应急响急响应组在第一在第一时间赶往客赶往客户网网络系系统安全事安全事件的事件的事发地点,在地点,在现场为客客户查找事找事发原因并解原因并解决相决相应问题,最后出具,最后出具详细的的应急响急响应服服务报告。告。 43应急响应服务的内容应急响应服务的内容拒绝服务攻击事件响应拒绝服务攻击事件响应恶意代码事件响应恶意代码事件响应非授权访问事件响应非授权访问事件响应不正确使用事件响应不正确使用事件响应44应急响应处理实践所处理的事故类型拒绝服务事故拒拒绝服服务(DoSDoS):):通过耗尽资源来阻止或伤害网络、系统或应用的攻
23、击。分布拒分布拒绝服服务(DDoSDDoS):):一种使用大量主机执行攻击的 DoS技术。恶意代码事故恶意代意代码:感染主机的病毒、蠕虫、特洛伊木马或其它代码实体。非授权访问事故非授非授权访问: 人员没有没有得到许可,获得对网络、应用、数据或其它资源的逻辑或物理访问。 不正确使用事故不正确使用:不正确使用: 人员违反可接受的信息系统使用策略。 45拒绝服务事故主要工作推荐增加增加备份冗余机制。份冗余机制。部署部署专业设备,并正确配置网,并正确配置网络设备和服和服务器。器。确定确定组织机构的互机构的互联网服网服务提供商(提供商(ISPISP)和)和第二第二层提供商能帮助提供商能帮助处理网理网络D
24、oSDoS攻攻击。配置安全配置安全软件以件以检测DoSDoS攻攻击。配置网配置网络边界以拒界以拒绝所有没有明确允所有没有明确允许的入局的入局流量。流量。46恶意代码事故主要工作推荐让用用户意意识到到恶意代意代码问题。阅读防病毒公告。防病毒公告。为关关键主机部署主机入侵主机部署主机入侵检测系系统,包括文件,包括文件完整性完整性检查器。器。使用防病毒使用防病毒软件,并且保持更新件,并且保持更新为最新的病毒最新的病毒特征特征码。配置配置软件以阻止可疑的文件。件以阻止可疑的文件。减少开放的减少开放的WindowsWindows共享。共享。 47非授权访问事件主要工作推荐配置入侵配置入侵检测软件以件以对
25、获得非授得非授权访问的企的企图进行告警。行告警。配置所有主机使用集中日志。配置所有主机使用集中日志。建立流程,以使所有用建立流程,以使所有用户修改其口令。修改其口令。配置网配置网络边界以拒界以拒绝所有没有明确允所有没有明确允许的入局流量。的入局流量。安全保安全保护所有的所有的远程程访问方式,包括方式,包括调制解制解调器和虚器和虚拟专用用网(网(VPNVPN)。)。将所有公共将所有公共访问的服的服务放在安全保放在安全保护的非的非军事区(事区(DMZDMZ)网)网段。段。在主机上禁止所有不需要的服在主机上禁止所有不需要的服务并隔离关并隔离关键的服的服务。在个人主机上使用主机防火在个人主机上使用主机
26、防火墙软件以限制主机件以限制主机对攻攻击的暴露。的暴露。创建和建和实施口令策略。施口令策略。 48不当操作事故主要工作推荐同同组织机构的人力机构的人力资源和法源和法务部部门一起一起讨论不当操作事故的不当操作事故的处理。理。同同组织机构的法机构的法务部部门讨论责任任义务问题。配置网配置网络入侵入侵检测系系统以以检测某些某些类型的不正确使用。型的不正确使用。日志日志记录用用户活活动的基本信息。的基本信息。配置所有配置所有电子子邮件服件服务器以使其不再用于非授器以使其不再用于非授权的的邮件件转发。在所有在所有电子子邮件服件服务器上器上实施垃圾施垃圾邮件件过滤软件。件。实施施URLURL过滤软件。件。
27、 49议程议程应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制50应急响应服务的指标应急响应服务的指标远程应急响应服务 在确在确认客客户的的应急响急响应请求后求后2 2小小时内,交内,交与相关与相关应急响急响应人人员进行行处理。无理。无论是否解决,是否解决,进行行处理的当天必理的当天必须返回响返回响应情况的情况的简报,直到,直到此次响此次响应服服务结束。束。 本地应急响应服务 对本地范本地范围内的客内的客户,3-63-6小小时内到达内到达现场;对异地的客异地的客户,2424小小时加路途加路途时间内到达内到达现场。 51
28、应急响应之Web入侵主要目标:本次紧急响应是根据XX客户请求进行的。由于客户端增值业务的数据库服务器大量发送ARP欺骗包,工程师通过对该服务器进行检查,发现有黑客入侵的痕迹。因此,发现黑客进入系统的途径,并有效进行防护,减少、避免进一步的损失,防止同类事件再次发生,是我们这次紧急响应的主要目标。工作时间:2006年12月24日晚22:05 起至12月31日主要人员:我方安全顾问,客户方工程师52应急响应之Web入侵过程描述:12月24日,工程师在为用户实施安全检查时发现有一台内网数据库主机频繁发出ARP欺骗包,且其日志出现部分内容被非法删除和伪造的痕迹,同时在系统目录下发现由黑客上传的网络嗅探
29、工具,断定此台服务器已经遭受黑客的入侵通过进一步分析,该黑客是利用Google HACK工具,通过其Web主机作为跳板,进入后台服务器的,检查其他主机,并未发现入侵痕迹。进行整体入侵流程分析,发现黑客是利用其后台管理系统,通过暴力的口令猜解取得管理员权限,上传带有木马的网页,并利用Web主机和DB主机之间的访问控制漏洞,借助139、445、3389等端口成功渗透数据库主机入侵DB主机后,利用SQLSEVER的漏洞取得ADMIN权限,安装CAIN工具,进一步嗅探内网其他主机的信息通过抓包工具分析,客户内网主机存在大量的明文传输的信息,但由于发现及时,该黑客尚未来得及采取下一步行动12月29日凌晨
30、,检测该黑客再次登陆DB主机,启动CAIN工具,成功追查到源IP地址,发现并未伪造及时保存其日志通过定位,查找到其来源评估损失,考虑是否上报公安机关,采取进一步措施53应急响应之Web入侵54应急响应之Web入侵黑客利用nb.vbs脚本提升权限 55应急响应之Web入侵过程描述:善后处理措施:删除木马程序和黑客攻击,定期更改管理员权限实施应用层加固,进行代码检查在Web主机和DB主机之间加装防火墙,并设置严格的访问控制策略加强各项管理规范的制定和实施,特别是规范系统开发阶段的一些行为和措施部署IDS和日志审计系统,加强日常的安全检查定期对重要服务器进行安全评估和加固56议程议程应急响应服务背景
31、什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制57应急响应预案的编制应急响应预案的编制信息安全应急响应体系信息安全应急响应工作内容典型事件应急预案大纲58信息安全应急响应体系 法律、法规和标准组织架构和职责工作流程保障机制59信息安全应急响应工作内容 监测工作准备工作响应工作善后工作60典型事件应急预案大纲一、一、总则1.应急响应需求2.适用范围3.启动条件4.适用性法规标准5.相关预案 61典型事件应急预案大纲二、组织结构及分工1.1.领导小小组 2.2.指指挥小小组3.3.应急响急响应任任务组62典型事件应急预案大纲三、应急响应流程监测工作准备工作响应工作善后工作四、演练及维护63典型事件应急预案大纲五、保障措施1.人员保障2.设备保障3.技术资料保障4.经费保障5.后勤保障六、附件1.人员/厂商联系名单2.系统软硬件配置清单3.其它。64坚韧不拔、追求卓越坚韧不拔、追求卓越65
