CISP-3-应急响应

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,cnitsec,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,信息平安管理应急响应,中国信息平安产品测评认证中心（CNITSEC）,CISP-3应急响应（培训样稿）,内容提要,应急响应效劳背景,什么是应急响应,应急响应组的组建,应急响应效劳的过程,应急响应效劳的形式和内容,应急响应效劳的指标,应急响应效劳案例,2,应急响应效劳背景,应急响应效劳的诞生CERT/CC,1988年Morris蠕虫事件直接导致了CERT/CC的诞生。,美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的平安事件处理。目前,CERT/CC是DoD资助下的抗毁性网络系统方案(Networked Systems Survivability Program)的一局部,下设三个部门：事件处理、脆弱性处理、计算机平安应急响应组（CSIRT）。,在CERT/CC 成立之后的14年里,共处理了28万多封Email,2万多个热线 ,其运行模式帮助了80多个CSIRT组织的建设。,3,应急响应效劳背景,CERT/CC效劳的内容,平安事件响应,平安事件分析和软件平安缺陷研究,缺陷知识库开发,信息发布：缺陷、公告、总结、统计、补丁、工具,教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员平安培训,指导其它CSIRT（也称IRT、CERT）组织建设,4,内容提要,应急响应效劳背景,什么是应急响应,应急响应组的组建,应急响应效劳的过程,应急响应效劳的形式和内容,应急响应效劳的指标,应急响应效劳案例,5,事件响应,事件响应：对发生在计算机系统或网络上的威胁平安的事件进行响应。,事件响应是信息平安生命周期的必要组成局部。这个生命周期包括：对策、检测和响应。,网络平安的开展日新月异,谁也无法实现一劳永逸的平安效劳。,6,应急响应描述,当平安事件发生需要尽快解决,而一般技术人员又无法迅速处理的时候,就需要平安效劳商提供一种发现问题、解决问题的有效效劳手段来解决问题。,这种效劳手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹,而又无法当时解决和追查来源时,平安效劳商根据客户的要求以最快的速度赶到现场,协助客户解决问题,查找后门,保存证据和追查来源。,7,什么是应急响应,应急响应也叫紧急响应,是平安事件发生后迅速采取的措施和行动,它是平安事件响应的一种快速实现方式。,应急响应效劳是解决网络系统平安问题的有效平安效劳手段之一。,8,应急响应的目的,应急响应效劳的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减小平安事件带来的影响。,9,应急响应效劳的特点,技术复杂性与专业性,各种硬件平台、操作系统、应用软件,知识经验的依赖性,由IRT中的人提供效劳,而不是一个硬件或软件产品,突发性强,需要广泛的协调与合作,10,内容提要,应急响应效劳背景,什么是应急响应,应急响应组的组建,应急响应效劳的过程,应急响应效劳的形式和内容,应急响应效劳的指标,应急响应效劳案例,11,应急响应组的组建,什么是应急响应组（IRT）,应急响应组就是一个或更多的个人组成的团队,能快速执行和处理与平安有关的事件的任务。,为什么需要成立应急响应组,容易协调响应工作,提高专业知识,提高效率,提高先期主动防御能力,更加适合于满足机构的需要,提高联络功能,提高处理制度障碍方面的能力,12,应急响应组的分类,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的,任何用户,产品用户,网络接入用户,企业部门、用户,商业,IRT,网络效劳提供商 IRT,厂商,IRT,企业,/,政府,IRT,如：绿盟科技,如：,CCERT,如：,Cisco,、,IBM,如：中国银行、,公安部,如,CERT/CC,FIRST,如,CNCERT/CC,13,国外应急响应组建设情况,国外平安事件响应组（CSIRT）建设情况,FedCIRC、BACIRT、DFN-CERT等,DOE CIAC、AFCERT、NavyCIRT,亚太地区：AusCERT、SingCERT等,FIRST（1990）,FIRST为IRT组织、厂商和其他平安专家提供一个论坛,讨论平安缺陷、入侵者使用的方法和技巧、建议等,共同的寻找一个可接受的方案。,120多个正式成员组织,覆盖20多个国家和地区。,FIRST的大量工作都是由来自各成员组织的志愿者完成的,从FIRST 中获益的比例与IRT愿意提供的奉献成比例。,14,国内应急响应组建设情况,计算机网络根底设施已经严重依赖国外,由于地理、语言、政治等多种因素,平安效劳不可能依赖国外的组织,国内的应急响应效劳组织还处在建设阶段,CCERT（1999年5月）,中国教育科研网紧急响应组,NJCERT（1999年10月）,中国教育网华东（北）地区网络平安事件响应组,中国电信ChinaNet平安小组,解放军,公安部,商业网络平安效劳公司,中国计算机应急响应组/协调中心CNCERT/CC,信息产业部平安管理中心,2000年3月,北京,15,国际应急响应组网址,美国,清华,欧洲,新加坡,台湾省,印尼,瑞士,澳大利亚,德国,日本,马来西亚,韩国,墨西哥,菲律宾,16,内容提要,应急响应效劳背景,什么是应急响应,应急响应组的组建,应急响应效劳的过程,应急响应效劳的形式和内容,应急响应效劳的指标,应急响应效劳案例,17,应急响应效劳的过程,准备,检测,抑制,铲除,恢复,跟踪,18,应急响应效劳的过程准备,基于威胁建立一组合理的防御/控制措施,建立一组尽可能高效的事件处理程序,获得处理问题必须的资源和人员,建立一个支持事件响应活动的根底设施,19,应急响应效劳的过程检测,确定事件是已经发生了还是在进行当中,初步动作和响应,选择检测工具,分析异常现象,激活审计功能,迅速备份完整系统,记录所发生事件,估计平安事件的范围,20,应急响应效劳的过程抑制,限制攻击的范围,同时限制了潜在的损失和破坏。,抑制策略,完全关闭所有系统；,将网络断开；,修改所有防火墙和路由器的过滤规则,拒绝来自看起来是 发起攻击的主机的所有的流量；,封锁或删除被攻击的登录账号；,提高系统或网络行为的监控级别；,设置诱饵效劳器作为陷阱；,关闭被利用的效劳；,还击攻击者的系统等。,21,应急响应效劳的过程铲除,平安事件被抑制后,找出事件根源并彻底铲除,即铲除事件的原因。,22,应急响应效劳的过程恢复,把所有受侵害或被破坏的系统、应用、数据库等彻底地复原到它们正常的任务状态。,23,应急响应效劳的过程跟踪,回忆事件处理过程,总结经验教训,为管理或法律目的收集损失统计信息,建立或补充自己的应急方案,24,内容提要,应急响应效劳背景,什么是应急响应,应急响应组的组建,应急响应效劳的过程,应急响应效劳的形式和内容,应急响应效劳的指标,应急响应效劳案例,25,应急响应效劳的形式,远程应急响应效劳,本地应急响应效劳,26,远程应急响应效劳,客户通过 、Email、传真等方式请求平安事件响应,应急响应组通过相同的方式为客户解决问题。,经与客户网络相关人员确认后,客户方提供主机或设备的临时支持账号,由应急响应组远程登陆主机进行检测和效劳,问题解决后出具详细的应急响应效劳报告。,远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,客户确认后,转到本地应急相应流程,同时此次远程响应无效,归于本地应急响应类型。,27,本地应急响应效劳,应急响应组在第一时间赶往客户网络系统平安事件的事发地点,在现场为客户查找事发原因并解决相应问题,最后出具详细的应急响应效劳报告。,28,应急响应效劳的内容,病毒事件响应,系统入侵事件响应,网络故障事件响应,拒绝效劳攻击事件响应,29,内容提要,应急响应效劳背景,什么是应急响应,应急响应组的组建,应急响应效劳的过程,应急响应效劳的形式和内容,应急响应效劳的指标,应急响应效劳案例,30,应急响应效劳的指标,远程应急响应效劳,在确认客户的应急响应请求后2小时内,交与相关应急响应人员进行处理。无论是否解决,进行处理的当天必须返回响应情况的简报,直到此次响应效劳结束。,本地应急响应效劳,对本地范围内的客户,3-6小时内到达现场；对异地的客户,24小时加路途时间内到达现场。,31,内容提要,应急响应效劳背景,什么是应急响应,应急响应组的组建,应急响应效劳的过程,应急响应效劳的形式和内容,应急响应效劳的指标,应急响应效劳案例,32,应急响应效劳案例,国家XX局的主机入侵应急响应,XX证券公司“红色代码病毒事件应急响应,XX电信公司网络拒绝效劳攻击事件应急响应,XX省教育网拒绝效劳攻击事件应急响应,33,国家,XX,局应急响应,事件描述,该主机位于国家XX局的X层计算机办公室,在2001年11月中曾经连续发生数据库被删除记录的事件,最后该网站管理员认定事件可疑,随即向国家XX局网络平安管理部门报告。,主机用途,做为国家XX局计算中心内部网站使用,负责发布计算中心内部信息。操作系统Windows 2000 Server SP2,网站运行IIS5,后台数据库采用ACCESS。,34,国家,XX,局应急响应,现场分析,主要依据是效劳器的IIS日志,利用查找功能在该日志的文件夹里查找是否有被攻击的行为。,查找漏洞攻击的关键字后发现没有找到任何攻击行为的征兆,只有几次NIMUDA病毒发作的记录,和此次攻击事件无关。然后查找该主机数据库的关键字mynews.mdb后发现该数据库曾经在11月被来自10.71.1.98 IP地址的的浏览者非法下载。进一步的跟踪该IP地址的浏览记录后发现,该IP地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此IP地址的访问并非远程管理员,所以初步疑心为攻击者。,35,国家,XX,局应急响应,扫描分析,发现效劳器采用FAT32的磁盘格式,建议采用NTFS格式的磁盘分区提供更高的平安可靠性能；,没有采取端口访问限制策略,远程主机可以随意连接到电脑上的开放端口；,开放的SNMP协议暴露效劳器主机的配置和使用情况；,没有禁止的IPC共享连接可以远程得到主机的网络和系统配置文件。,36,国家,XX,局应急响应,原因分析,由于此名攻击者是直接下载的xx局计算中心网站的数据库文件,之前没有做任何攻击和猜解尝试,说明该攻击者非常熟悉该网站文件和数据库结构,疑心是内部知情人员所为。,响应建议,由于主机的数据库名称已经暴露,所以建议把该数据库文件名称改为新的名称；,由于目标主机完全采用的是默认安装所以建议对该主机做一次全面的平安配置；,建议主机打全最新的平安补丁；,严格限制该主机的物理访问权限。,37,XX,证券公司应急响应,事件描述,2001年8月10日下午4点30分,XX证券信息中心紧急 :证券公司网络传输速度缓慢,严重影响正常业务运作。5点10分,三名应急技术人员到达xx证券信息中心机房。,现场分析,通过检查“冰之眼入侵检测系统的日志和使用网络监听设备监听网络流量,发现机房中一台清算业务的效劳器网络连接异常,经过仔细检查后,可以做出明确判断：XX证券内部网系统已经遭受“红色代码蠕虫的攻击,有大量Windows效劳器受到感染,并且正在以非常快的速度进行扫描和攻击,造成网络堵塞,严重影响了网络传输速度。,38,XX,证券公司应急响应,原因分析,“红色代码蠕虫不是普通的病毒,不会通过邮件等方式进行传播,很有可能是因为拨号上网等方式传播进内部网,造成“红色代码蠕虫在证券内部网泛滥,严重影响正常的业务运作。,处理过程,证券信息中心迅速做出反响,通过 、Email等方式,将我公司发布的关于防范“红色代码蠕虫的公揭发布给各个营业部,并限定了问题处理期限。,我公司应急响应人员与信息中心技术人员相互配合,于当晚将信息中心的效劳器进行了仔细的检查,对相关效劳器做了完备