CISP-3-应急响应

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,cnitsec,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全管理应急响应,中国信息安全产品测评认证中心（,CNITSEC,）,CISP-3,应急响应（培训样稿）,内容提要,应急响应服务背景,什么是应急响应,应急响应组的组建,应急响应服务的过程,应急响应服务的形式和内容,应急响应服务的指标,应急响应服务案例,2,应急响应服务背景,应急响应服务的诞生,CERT/CC,1988,年,Morris,蠕虫事件直接导致了,CERT/CC,的诞生。,美国国防部,(DoD),在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心,(CERT/CC),以协调,Internet,上的安全事件处理。目前，,CERT/CC,是,DoD,资助下的抗毁性网络系统计划,(Networked Systems Survivability Program),的一部分，下设三个部门：事件处理、脆弱性处理、计算机安全应急响应组（,CSIRT,）。,在,CERT/CC,成立之后的,14,年里，共处理了,28,万多封,Email,，,2,万多个热线电话，其运行模式帮助了,80,多个,CSIRT,组织的建设。,3,应急响应服务背景,CERT/CC,服务的内容,安全事件响应,安全事件分析和软件安全缺陷研究,缺陷知识库开发,信息发布：缺陷、公告、总结、统计、补丁、工具,教育与培训：,CSIRT,管理、,CSIRT,技术培训、系统和网络管理员安全培训,指导其它,CSIRT,（也称,IRT,、,CERT,）组织建设,4,内容提要,应急响应服务背景,什么是应急响应,应急响应组的组建,应急响应服务的过程,应急响应服务的形式和内容,应急响应服务的指标,应急响应服务案例,5,事件响应,事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。,事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。,网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。,6,应急响应描述,当安全事件发生需要尽快解决，而一般技术人员又无法迅速处理的时候，就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。,这种服务手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全服务商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。,7,什么是应急响应,应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式 。,应急响应服务是解决网络系统安全问题的有效安全服务手段之一。,8,应急响应的目的,应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。,9,应急响应服务的特点,技术复杂性与专业性,各种硬件平台、操作系统、应用软件,知识经验的依赖性,由,IRT,中的人提供服务，而不是一个硬件或软件产品,突发性强,需要广泛的协调与合作,10,内容提要,应急响应服务背景,什么是应急响应,应急响应组的组建,应急响应服务的过程,应急响应服务的形式和内容,应急响应服务的指标,应急响应服务案例,11,应急响应组的组建,什么是应急响应组,（,IRT,）,应急响应组就是一个或更多的个人组成的团队，能快速执行和处理与安全有关的事件的任务。,为什么需要成立应急响应组,容易协调响应工作,提高专业知识,提高效率,提高先期主动防御能力,更加适合于满足机构的需要,提高联络功能,提高处理制度障碍方面的能力,12,应急响应组的分类,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的,任何用户,产品用户,网络接入用户,企业部门、用户,商业,IRT,网络服务提供商,IRT,厂商,IRT,企业,/,政府,IRT,如：绿盟科技,如：,CCERT,如：,Cisco,、,IBM,如：中国银行、,公安部,如,CERT/CC, FIRST,如,CNCERT/CC,13,国外应急响应组建设情况,国外安全事件响应组（,CSIRT,）建设情况,FedCIRC,、,BACIRT,、,DFN-CERT,等,DOE CIAC,、,AFCERT,、,NavyCIRT,亚太地区：,AusCERT,、,SingCERT,等,FIRST,（,1990,）,FIRST,为,IRT,组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。,120,多个正式成员组织，覆盖,20,多个国家和地区。,FIRST,的大量工作都是由来自各成员组织的志愿者完成的，从,FIRST,中获益的比例与,IRT,愿意提供的贡献成比例。,14,国内应急响应组建设情况,计算机网络基础设施已经严重依赖国外,由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织,国内的应急响应服务组织还处在建设阶段,CCERT,（,1999,年,5,月），中国教育科研网紧急响应组,NJCERT,（,1999,年,10,月），,中国教育网华,东（北）,地区网络安全,事件,响应组,中国电信,ChinaNet,安全小组,解放军，公安部,商业网络安全服务公司,中国计算机应急响应组,/,协调中心,CNCERT/CC,信息产业部安全管理中心 ，,2000,年,3,月，北京,15,国际应急响应组网址,美国,清华,欧洲,新加坡,台湾省,印尼,瑞士,澳大利亚,德国,日本,马来西亚,韩国,墨西哥,菲律宾,16,内容提要,应急响应服务背景,什么是应急响应,应急响应组的组建,应急响应服务的过程,应急响应服务的形式和内容,应急响应服务的指标,应急响应服务案例,17,应急响应服务的过程,准备,检测,抑制,根除,恢复,跟踪,18,应急响应服务的过程,准备,基于威胁建立一组合理的防御,/,控制措施,建立一组尽可能高效的事件处理程序,获得处理问题必须的资源和人员,建立一个支持事件响应活动的基础设施,19,应急响应服务的过程,检测,确定事件是已经发生了还是在进行当中,初步动作和响应,选择检测工具，分析异常现象,激活审计功能,迅速备份完整系统,记录所发生事件,估计安全事件的范围,20,应急响应服务的过程,抑制,限制攻击的范围，同时限制了潜在的损失和破坏。,抑制策略,完全关闭所有系统；,将网络断开；,修改所有防火墙和路由器的过滤规则，拒绝来自看起来是 发起攻击的主机的所有的流量；,封锁或删除被攻击的登录账号；,提高系统或网络行为的监控级别；,设置诱饵服务器作为陷阱；,关闭被利用的服务；,反击攻击者的系统等。,21,应急响应服务的过程,根除,安全事件被抑制后，找出事件根源并彻底根除，即根除事件的原因。,22,应急响应服务的过程,恢复,把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。,23,应急响应服务的过程,跟踪,回顾事件处理过程,总结经验教训,为管理或法律目的收集损失统计信息,建立或补充自己的应急计划,24,内容提要,应急响应服务背景,什么是应急响应,应急响应组的组建,应急响应服务的过程,应急响应服务的形式和内容,应急响应服务的指标,应急响应服务案例,25,应急响应服务的形式,远程应急响应服务,本地应急响应服务,26,远程应急响应服务,客户通过电话、,Email,、传真等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问题。,经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程登陆主机进行检测和服务，问题解决后出具详细的应急响应服务报告。,远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本地应急响应类型。,27,本地应急响应服务,应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急响应服务报告。,28,应急响应服务的内容,病毒事件响应,系统入侵事件响应,网络故障事件响应,拒绝服务攻击事件响应,29,内容提要,应急响应服务背景,什么是应急响应,应急响应组的组建,应急响应服务的过程,应急响应服务的形式和内容,应急响应服务的指标,应急响应服务案例,30,应急响应服务的指标,远程应急响应服务,在确认客户的应急响应请求后,2,小时内，交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应情况的简报，直到此次响应服务结束。,本地应急响应服务,对本地范围内的客户，,3-6,小时内到达现场；对异地的客户，,24,小时加路途时间内到达现场。,31,内容提要,应急响应服务背景,什么是应急响应,应急响应组的组建,应急响应服务的过程,应急响应服务的形式和内容,应急响应服务的指标,应急响应服务案例,32,应急响应服务案例,国家,XX,局的主机入侵应急响应,XX,证券公司“红色代码”病毒事件应急响应,XX,电信,公司网络拒绝服务攻击事件应急响应,XX,省教育网拒绝服务攻击事件应急响应,33,国家,XX,局应急响应,事件描述,该主机位于国家,XX,局的,X,层计算机办公室，在,2001,年,11,月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家,XX,局网络安全管理部门报告。,主机用途,做为国家,XX,局计算中心内部网站使用，负责发布计算中心内部信息。操作系统,Windows 2000 Server SP2,，网站运行,IIS5,，后台数据库采用,ACCESS,。,34,国家,XX,局应急响应,现场分析,主要依据是服务器的,IIS,日志，利用查找功能在该日志的文件夹里查找是否有被攻击的行为。,查找漏洞攻击的关键字后发现没有找到任何攻击行为的征兆，只有几次,NIMUDA,病毒发作的记录，和此次攻击事件无关。然后查找该主机数据库的关键字,mynews.mdb,后发现该数据库曾经在,11,月被来自,10.71.1.98 IP,地址的的浏览者非法下载。进一步的跟踪该,IP,地址的浏览记录后发现，该,IP,地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此,IP,地址的访问并非远程管理员，所以初步怀疑为攻击者。,35,国家,XX,局应急响应,扫描分析,发现服务器采用,FAT32,的磁盘格式，建议采用,NTFS,格式的磁盘分区提供更高的安全可靠性能；,没有采取端口访问限制策略，远程主机可以随意连接到电脑上的开放端口；,开放的,SNMP,协议暴露服务器主机的配置和使用情况；,没有禁止的,IPC,共享连接可以远程得到主机的网络和系统配置文件。,36,国家,XX,局应急响应,原因分析,由于此名攻击者是直接下载的,xx,局计算中心网站的数据库文件，之前没有做任何攻击和猜解尝试，表明该攻击者非常熟悉该网站文件和数据库结构，怀疑是内部知情人员所为。,响应建议,由于主机的数据库名称已经暴露，所以建议把该数据库文件名称改为新的名称；,由于目标主机完全采用的是默认安装所以建议对该主机做一次全面的安全配置；,建议主机打全最新的安全补丁；,严格限制该主机的物理访问权限。,37,XX,证券公司应急响应,事件描述,2001,年,8,月,10,日下午,4,点,30,分，,XX,证券信息中心紧急电话,:,证券公司网络传输速度缓慢，严重影响正常业务运作。,5,点,10,分，三名应急技术人员到达,xx,证券信息中心机房。,现场分析,通过检查 “冰之眼”入侵检测系统的日志和使用,网络监听设备,监听网络流量，发现机房中一台清算业务的服务器网络,连接异常，经过仔细检查后，可以做出明确判断：,XX,证券内部网系统已经遭受“红色代码”蠕虫的攻击，有大量,Windows,服务器受到感染，并且正在以非常快的速度进行扫描和攻击，造成网络堵塞，严重影响了网络传输速度。,38,XX,证券公司应急响应,原因分析,“红色代码”蠕虫不是普通的病毒，不会通过邮件等方式进行传播，很有可能是因为拨号上网等方式传播进内部网，造成“红色代码”蠕虫在证券内部网泛滥，严重影响正常的业务运作。,处理过程,证券信息中心迅速做出反应，通过电话、,Email,等方式，将我公司发布的关于防范“红色代码”蠕虫的公告发布给各个营业部，并限定了问题处理期限。,我公司应急响应人员与信息中心技术人员相互配合，于当晚将信息中心的服务器进行了仔细的检查，对相关服务器做了完备的防范措施。,39,XX,证券公司应急响应,响应结论,对于新出现的攻击方式应进行及时的跟踪并进行相应的处理。,攻击事件发生后，应提高反应速度及处理速度，把可能出现的影响减至最小。,建立全网的监控体系，及时发现问题。,建立,xx,证券系统应急响应体系。,严格网络安全制度，避免病毒、蠕虫等通过,Internet,传播进内部网系统。,40,XX,电信公司应急响应,事件描述,2001,年,3,月,xx,电信公司遭受不明拒绝服务攻击 ，造成了服务器所在网段的堵塞，导致服务器不能正常访问的后果。,现场分析,监听和仔细分析被攻击服务器，然后利用攻击服务器上的日志及相应的侦测手段,，最后确定攻击者采用的是国内出现的一种新型攻击软件,。,经过仔细查找以及分析，发现攻击者的来源，确认攻击者,IP,地址为,202.105.xxx.xxx,，来自,xx,省，初步判断为拨号用户，攻击时间为,2001,年,3,月,16,日凌晨,2,点,5,点。,41,XX,电信公司应急响应,原因分析,本攻击软件可以在互联网上自动查找存在,Windows,操作系统,Unicode,漏洞的服务器，然后利用,unicode,的漏洞，通过,URL,地址栏发送攻击指令如下：,ping l,攻击包长度,n,重复次数 攻击目标,例如：,ping l 65000 n 500 172.133.30.208,大量的互联网主机同时用巨大的,ping,包针对某台服务器进行攻击，造成了服务器所在网段的堵塞，导致服务器不能正常访问的后果。,42,XX,电信公司应急响应,处理过程,针对服务器的,Unicode,漏洞进行修补，补丁说明如下：,Windows NT 4.0,简体中文版,IIS4 Unicode,补丁,prmcan4i.exe,Windows 2000,简体中文版,IIS5 Unicode,补丁,q269862_w2k_sp2_x86_cn.exe,在服务器上直接运行此程序，然后按提示执行，服务器重新启动后补丁生效。,43,XX,电信公司应急响应,响应结论,因为此种攻击手段会暴露攻击者,IP,地址和攻击点,IP,地址，同时被利用作为攻击点的服务器会因为负荷问题而产生,IIS,服务停止或反应缓慢的症状，攻击者因权限问题不能完全消除系统日志，因此为进一步的追查提供了重要依据。,44,XX,省教育网,应急响应,事件描述,2002,年,7,月，,XX,省教育网网站高考成绩查询系统连续遭受攻击，致使全省,28,万考生无法及时查询高考成绩。,现场分析,通过应急响应组成员的现场分析，确定本次网络入侵为,SYN Flood,拒绝服务攻击。,45,XX,省教育网,应急响应,处理过程,使用专用抗拒绝服务设备“黑洞”，有效的过滤掉了攻击包，使得网络畅通，系统功能正常。通过审核“黑洞”的攻击记录日志，发现了入侵的源,IP,，为进一步侦察提供了证据。,46,中国信息安全产品,测评认证中心,对外办公地点：,北京西三环北路,27,号,互联网址：,电话：,传真：,47,问题？,48,