1、安全網管技術概述1第6章 網絡安全事件響應本章主要內容安全事件響應簡介風險分析事件響應方法學追蹤方法陷阱及偽裝手段2參考資料：參考資料：網絡安全事件響應，段海新等譯，人民郵電出版社3安全事件響應簡介計算機時代初期，獨立的計算機非常安全只有物理上接觸計算機的用戶才有威脅Internet化的今天，安全成了大問題Internet缺乏內在的安全機制（因為安全機制通常是繁瑣的、混亂的、費錢的）CERT/CC的成立Computer security incident response team/ Coordination Center :/ 為整個Internet服務4事件影響計算機系統和網絡安全的不當行

2、為惡意事件：對系統的破壞、某個網絡內IP包的泛濫、未經授權的訪問、非授權修改網頁、毀壞數據。往往是非計劃發生的本章不討論與自然災害和能源有關的破壞事件5事件的種類破壞CIA（Confidential、Integrity、Availability）特性的事件竊取機密信息，篡改數據，DoS攻擊其它類型偵察性掃描抵賴-尤其是電子商務領域傳播色情內容欺詐-假的登錄界面竊取密碼愚弄6事件響應的工作事件響應是事件發生后采取的措施和行為。通常是阻止和減小事件帶來的影響。行動可能是人為驅動也可能是由計算機系統自動完成。事件響應不僅僅需要技術技能，還需要管理能力、法律知識、人際關系、甚至心理學等方面的知識和技能

3、7PDR 安全模型策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）8需要事件響應的理由保護網絡安全的困難設置很嚴格的安全政策由于成本和實際約束不可行因此探查安全威脅并迅速恢復是一個必要的保護策略注意：有效的事件響應可以一定程度彌補安全政策的不足，但是不能完全替代安全政策9風險分析計算機和信息安全，總是與處理風險和管理風險相關信息安全實踐的起點就是風險分析風險分析確定在計算機系統和網絡中每一種資源缺失造成的預期損失如：對一個機構，篡改財務應用程序可能是一種最大的風險，其次是網絡基礎設施的破壞和中斷，接著是外部侵入的風險，以及其他風險10風險

4、分析風險分析可以是定量的或定性的。定量的風險分析，用數字（通常是貨幣數字）來表示風險代表的數量。風險 = 概率X損失如：一年內客戶數據庫破壞的概率為0.005，一次破壞的損失是1000萬，則風險是1000X0.005=5萬定性的風險分析，用高、中等、低來決定某種危險的影響11風險分析的數據來源哪些類型的事件在某個機構經常發生？本機構內部發生事件的相關數據其他機構收集到的事故數據如CERT/CC發布近期事件的小結脆弱性分析通過掃描，找出系統、網絡設備、應用程序和數據庫的弱點，可以指導風險分析12風險分析的重要性通過風險分析，找出風險高的威脅，提前對相關事件給予更多的關注和分配更多的資源有了這些準

5、備，當相關事件出現時，事件的響應就會更有效風險是動態的，風險分析如果被正確使用也應該是動態的。保持與新的威脅和新的發展同步是進行成功事件緊急響應所必不可少的13事件響應方法學6階段事件響應方法學準備檢測抑制根除恢復跟蹤縮寫PDCERF14階段1：準備在事件的發生前為事件響應做好準備，包含基于威脅建立一組合理的防御/控制措施必須保證用于處理事件的系統和應用是安全的建立一組盡可能高效的事件處理程序采取哪些步驟、優先級、任務的分工、可接受的風險限制獲得處理問題必須的資源和人員建立一個支持事件響 應活動的基礎設施更新聯系表非常重要15階段2：檢測對于事件響應，檢測和入侵檢測不是同義詞檢測：是否出現了惡

6、意代碼、文件和目錄是否備篡改或者出現其他特征，問題在哪里，影響范圍有多大入侵檢測：確定對系統的非授權訪問和濫用是否發生如：病毒的檢測屬于前者檢測包含的范圍比入侵檢測廣事件響應過程的其他動作都依賴于檢測，檢測觸發事件響應，因此檢測特別重要16檢測方法依賴相關軟件病毒檢測軟件、木馬檢測軟件系統完整性檢查軟件通過一些征兆判斷異常活動：下班之后的登錄，不活躍或系統缺省賬號活動賬號異常：出現了不是由管理員創建的賬號文件異常：出現了不熟悉的程序、文件，www主頁被修改17初步動作和響應當發現異常事件，以下操作可能獲得很高的回報花時間分析異常現象啟動審計功能或增加審計信息量迅速備份系統，避免攻擊者刪除痕跡記

7、錄發生的事情18估計事件的范圍檢測到事件后，需要迅速估計事件影響的范圍影響了多少主機涉及到多大范圍的網絡侵入到網絡內部有多遠得到了什么權限風險是什么攻擊者利用的漏洞存在范圍有多大19報告過程確定事件發生后第一事件通知合法的權威機構不幸的是，現實中人們通常不會把信息盡可能的讓需要的人知道 通常是首先通知首席信息安全官報告內容：事件的基本信息：攻擊的類型、目的、涉及網絡攻擊源的信息攻擊的結果威脅狀態20階段3：抑制目的：限制攻擊的范圍，限制潛在的損失和破壞抑制的措施可能相對簡單，如一個賬號的多次登錄失敗，簡單封鎖該賬號就可以了抑制策略：完全關閉所有系統從網絡上斷開修改防火墻過濾規則封鎖或刪除有破壞

8、行為的賬號提高系統的監控級別關閉部分服務21抑制事件抑制的一個基本部分是找到攻擊者或安裝在系統中的惡意程序和后門程序，并進行處理，避免攻擊者未經授權再次進入系統22階段4：根除目標：根除事件的原因找出事件根源并徹底根除，防止發生同樣的事件如：對病毒：清除內存、系統、備份中的所有病毒對木馬：找出并刪除恢復關鍵的文件和信息23階段5：恢復目標：把所有被攻破的系統和網絡設備徹底地還原到它們正常的任務狀態通常的做法：重新安裝系統，然后恢復數據從備份中恢復整個系統安裝所有操作系統、防火墻的補丁，修補路由器等網絡設備的缺陷去除在抑制和根除階段增加的臨時防護措施24階段6：跟蹤目標：回顧并整合發生事件的相關

9、信息跟蹤是最有可能被忽略的階段重要性：有助于事件處理人員總結經驗，提高技能有助于評價一個組織機構的事件響應能力所吸取的任何教訓都可以當作新成員的培訓教材25跟蹤內容對每個重要事件進行事后的剖析什么時候發生了什么事事件處理過程中，需要哪些消息，如何得到了這些消息下一次應該怎么做最好其他：比如評估事件造成的損失26網絡攻擊的追蹤含義：廣義的，指確定引發事件的攻擊者的身份狹義的，找到事件發生的源頭，大部分情況下是找到事件源頭的IP地址、MAC地址或主機名注意：IP地址、MAC地址都是可以偽造的27和PDCERF方法學的關系在檢測、抑制和根除階段最密切檢測階段：追蹤一個特定IP的事件能幫助判斷網絡中的

10、流量是否是非法的抑制階段：找到攻擊源有助于采取正確的措施根除階段：如UNIX系統的.文件中的錯誤記錄28追蹤方法搜索引擎攻擊者可能會在某個地方炫耀自己的攻擊經歷，甚至會泄漏自己的身份netstat -an察看當前連接，對于Linux系統，netstat可能會被替換，這時cat /proc/net/tcp能看到連接日志數據登錄日志、syslog、審計數據、防火墻日志為了防止日志數據被攻擊者刪除，可以考慮設置日志服務器專用于記錄日志29追蹤方法入侵檢測系統的警報和數據原始的數據包直接在網絡上抓包對于交換網絡要預先考慮好抓包的手段30構建“攻擊路徑”攻擊路徑？由于攻擊者可能會把若干臺機器作為跳板，因此構建“攻擊路徑”可能會非常困難31陷阱及偽裝手段陷阱和偽裝手段就是使用模擬的方法，使一個看起來像是真實的系統、服務、環境等，但事實上它并不是這樣的系統的一些方法。偽裝手段是為了使攻擊及濫用系統和網絡的人，得到錯誤的信息；或與虛擬的或其他非真實環境交互，在這些虛擬或非真實環境里，他們無法造成破壞或只能進行很小的破壞。“陷阱”被設計用于吸引攻擊者，并將攻擊者的行為和動作記錄下來。“陷阱”是偽裝手段的一種32“蜜罐” Honey pot