7-2 应急响应.ppt

信息安全管理应急响应,中国信息安全产品测评认证中心（CNITSEC）CISP-3应急响应（培训样稿）,内容提要,应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例,应急响应服务背景,应急响应服务的诞生CERT/CC1988年Morris蠕虫事件直接导致了CERT/CC的诞生。美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分，下设三个部门：事件处理、脆弱性处理、计算机安全应急响应组（CSIRT）。在CERT/CC 成立之后的14年里，共处理了28万多封Email，2万多个热线电话，其运行模式帮助了80多个CSIRT组织的建设。,应急响应服务背景,CERT/CC服务的内容提供技术建议安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设,内容提要,应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例,事件响应,事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。,应急响应描述,当安全事件发生需要尽快解决，而一般技术人员又无法迅速处理的时候，就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。这种服务手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全服务商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。,什么是应急响应,应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。应急响应服务是解决网络系统安全问题的有效安全服务手段之一。,应急响应的目的,应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。,应急响应服务的特点,技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品 突发性强需要广泛的协调与合作,内容提要,应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例,应急响应组的组建,什么是应急响应组（IRT）应急响应组就是一个或更多的个人组成的团队，能快速执行和处理与安全有关的事件的任务。为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力,应急响应组的分类,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的任何用户,产品用户,网络接入用户,企业部门、用户,商业IRT,网络服务提供商 IRT,厂商 IRT,企业/政府 IRT,如：绿盟科技,如：CCERT,如：Cisco、IBM,如：中国银行、公安部,如CERT/CC,FIRST,如CNCERT/CC,国外应急响应组建设情况,国外安全事件响应组（CSIRT）建设情况FedCIRC、BACIRT、DFN-CERT等DOE CIAC、AFCERT、NavyCIRT亚太地区：AusCERT、SingCERT等FIRST（1990）FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。120多个正式成员组织，覆盖20多个国家和地区。FIRST的大量工作都是由来自各成员组织的志愿者完成的，从FIRST 中获益的比例与IRT愿意提供的贡献成比例。,国内应急响应组建设情况,计算机网络基础设施已经严重依赖国外由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务组织还处在建设阶段CCERT（1999年5月），中国教育科研网紧急响应组NJCERT（1999年10月），中国教育网华东（北）地区网络安全事件响应组中国电信ChinaNet安全小组解放军，公安部商业网络安全服务公司中国计算机应急响应组/协调中心CNCERT/CC信息产业部安全管理中心，2000年3月，北京,国际应急响应组网址,美国 http:/www.cert.org/清华 http:/http:/http:/www.singcert.org.sg/台湾省 http:/www.cert.org.tw/印尼 http:/www.paume.itb.ac.id/rahard/id-cert/瑞士 http:/www.switch.ch/cert/澳大利亚 http:/www.auscert.org.au/德国 http:/www.cert.dfn.de/eng/日本 http:/www.jpcert.or.jp/马来西亚 http:/www.mycert.mimos.my/韩国 http:/www.certcc.or.kr/墨西哥 http:/www.mxcert.org.mx/菲律宾 http:/,内容提要,应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例,应急响应服务的过程,准备检测抑制根除恢复跟踪,应急响应服务的过程准备,基于威胁建立一组合理的防御/控制措施建立一组尽可能高效的事件处理程序获得处理问题必须的资源和人员建立一个支持事件响应活动的基础设施,应急响应服务的过程检测,确定事件是已经发生了还是在进行当中初步动作和响应选择检测工具，分析异常现象激活审计功能迅速备份完整系统记录所发生事件估计安全事件的范围,应急响应服务的过程抑制,限制攻击的范围，同时限制了潜在的损失和破坏。抑制策略完全关闭所有系统；将网络断开；修改所有防火墙和路由器的过滤规则，拒绝来自看起来是 发起攻击的主机的所有的流量；封锁或删除被攻击的登录账号；提高系统或网络行为的监控级别；设置诱饵服务器作为陷阱；关闭被利用的服务；反击攻击者的系统等。,应急响应服务的过程根除,安全事件被抑制后，找出事件根源并彻底根除，即根除事件的原因。,应急响应服务的过程恢复,把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。,应急响应服务的过程跟踪,回顾事件处理过程总结经验教训为管理或法律目的收集损失统计信息建立或补充自己的应急计划,内容提要,应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例,应急响应服务的形式,远程应急响应服务本地应急响应服务,远程应急响应服务,客户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问题。经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程登陆主机进行检测和服务，问题解决后出具详细的应急响应服务报告。远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本地应急响应类型。,本地应急响应服务,应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急响应服务报告。,应急响应服务的内容,病毒事件响应系统入侵事件响应网络故障事件响应拒绝服务攻击事件响应,内容提要,应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例,应急响应服务的指标,远程应急响应服务 在确认客户的应急响应请求后2小时内，交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应情况的简报，直到此次响应服务结束。本地应急响应服务 对本地范围内的客户，3-6小时内到达现场；对异地的客户，24小时加路途时间内到达现场。,内容提要,应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例,应急响应服务案例,国家XX局的主机入侵应急响应XX证券公司“红色代码”病毒事件应急响应XX电信公司网络拒绝服务攻击事件应急响应XX省教育网拒绝服务攻击事件应急响应,国家XX局应急响应,事件描述 该主机位于国家XX局的X层计算机办公室，在2001年11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家XX局网络安全管理部门报告。主机用途 做为国家XX局计算中心内部网站使用，负责发布计算中心内部信息。操作系统Windows 2000 Server SP2，网站运行IIS5，后台数据库采用ACCESS。,国家XX局应急响应,现场分析 主要依据是服务器的IIS日志，利用查找功能在该日志的文件夹里查找是否有被攻击的行为。查找漏洞攻击的关键字后发现没有找到任何攻击行为的征兆，只有几次NIMUDA病毒发作的记录，和此次攻击事件无关。然后查找该主机数据库的关键字mynews.mdb后发现该数据库曾经在11月被来自10.71.1.98 IP地址的的浏览者非法下载。进一步的跟踪该IP地址的浏览记录后发现，该IP地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此IP地址的访问并非远程管理员，所以初步怀疑为攻击者。,国家XX局应急响应,扫描分析发现服务器采用FAT32的磁盘格式，建议采用NTFS格式的磁盘分区提供更高的安全可靠性能；没有采取端口访问限制策略，远程主机可以随意连接到电脑上的开放端口；开放的SNMP协议暴露服务器主机的配置和使用情况；没有禁止的IPC共享连接可以远程得到主机的网络和系统配置文件。,国家XX局应急响应,原因分析 由于此名攻击者是直接下载的xx局计算中心网站的数据库文件，之前没有做任何攻击和猜解尝试，表明该攻击者非常熟悉该网站文件和数据库结构，怀疑是内部知情人员所为。响应建议由于主机的数据库名称已经暴露，所以建议把该数据库文件名称改为新的名称；由于目标主机完全采用的是默认安装所以建议对该主机做一次全面的安全配置；建议主机打全最新的安全补丁；严格限制该主机的物理访问权限。,XX证券公司应急响应,事件描述 2001年8月10日下午4点30分，XX证券信息中心紧急电话:证券公司网络传输速度缓慢，严重影响正常业务运作。5点10分，三名应急技术人员到达xx证券信息中心机房。现场分析 通过检查“冰之眼”入侵检测系统的日志和使用网络监听设备监听网络流量，发现机房中一台清算业务的服务器网络连接异常，经过仔细检查后，可以做出明确判断：XX证券内部网系统已经遭受“红色代码”蠕虫的攻击，有大量Windows服务器受到感染，并且正在以非常快的速度进行扫描和攻击，造成网络堵塞，严重影响了网络传输速度。,XX证券公司应急响应,原因分析“红色代码”蠕虫不是普通的病毒，不会通过邮件等方式进行传播，很有可能是因为拨号上网等方式传播进内部网，造成“红色代码”蠕虫在证券内部网泛滥，严重影响正常的业务运作。处理过程证券信息中心迅速做出反应，通过电话、Email等方式，将我公司发布的关于防范“红色代码”蠕虫的公告发布给各个营业部，并限定了问题处理期限。我公司应急响应人员与信息中心技术人员相互配合，于当晚将信息中心的服务器进行了仔细的检查，对相关服务器做了完备的防范措施。,XX证券公司应急响应,响应结论对于新出现的攻击方式应进行及时的跟踪并进行相应的处理。攻击事件发生后，应提高反应速度及处理速度，把可能出现的影响减至最小。建立全网的监控体系，及时发现问题。建立xx证券系统应急响应体系。严格网络安全制度，避免病毒、蠕虫等通过Internet传播进内部网系统。,XX电信公司应急响应,事件描述 2001年3月xx电信公司遭受不明拒绝服务攻击，造成了服务器所在网段的堵塞，导致服务器不能正常访问的后果。现场分析 监听和仔细分析被攻击服务器，然后利用攻击服务器上的日志及相应的侦测手段，最后确定攻击者采用的是国内出现的一种新型攻击软件。经过仔细查找以及分析，发现攻击者的来源，确认攻击者IP地址为202.105.xxx.xxx，来自xx省，初步判断为拨号用户，攻击时间为2001年3月16日凌晨2点5点。,XX电信公司应急响应,原因分析 本攻击软件可以在互联网上自动查找存在Windows操作系统Unicode漏洞的服务器，然后利用unicode的漏洞，通过URL地址栏发送攻击指令如下：ping l 攻击包长度 n 重复次数 攻击目标 例如：ping l 65000 n 500 172.133.30.208 大量的互联网主机同时用巨大的ping包针对某台服务器进行攻击，造成了服务器所在网段的堵塞，导致服务器不能正常访问的后果。,XX电信公司应急响应,处理过程 针对服务器的Unicode漏洞进行修补，补丁说明如下：Windows NT 4.0简体中文版 IIS4 Unicode补丁prmcan4i.exeWindows 2000 简体中文版 IIS5 Unicode补丁 q269862_w2k_sp2_x86_cn.exe 在服务器上直接运行此程序，然后按提示执行，服务器重新启动后补丁生效。,XX电信公司应急响应,响应结论 因为此种攻击手段会暴露攻击者IP地址和攻击点IP地址，同时被利用作为攻击点的服务器会因为负荷问题而产生IIS服务停止或反应缓慢的症状，攻击者因权限问题不能完全消除系统日志，因此为进一步的追查提供了重要依据。,XX省教育网应急响应,事件描述 2002年7月，XX省教育网网站高考成绩查询系统连续遭受攻击，致使全省28万考生无法及时查询高考成绩。现场分析 通过应急响应组成员的现场分析，确定本次网络入侵为SYN Flood拒绝服务攻击。,XX省教育网应急响应,处理过程 使用专用抗拒绝服务设备“黑洞”，有效的过滤掉了攻击包，使得网络畅通，系统功能正常。通过审核“黑洞”的攻击记录日志，发现了入侵的源IP，为进一步侦察提供了证据。,中国信息安全产品测评认证中心对外办公地点：北京西三环北路27号互联网址：电话：68428899传真：68462942,问题？,