|响应|

浅析信息安全应急响应体系(2)

发布时间:2012-02-13 11:04 作者:佚名来源:e-works 点击:加载中...次

1.3.4取证技术

取证是一门针对不同情况要求灵活处理的技术，它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行伏态，对人的要求十分的高（这一点与应急响应本身的情况类似）。目前主要的取证对象是各种日志的审计，但并不是绝对的，取证可能来自任何一点蛛丝马迹。

但是在目前的情况下，海量的日志信息为取证造成的麻烦越来越大。

上述四个关键技术也是应急响应技术中的难点，尤其是在目前网络芯片处理水平、软件复杂度和高速网络日新月异的情况下，它们的难度不断的在加大，也越来越有挑战性。

2应急响应规程

为了能够合理、有序地处理安全事件，笔者采用最经典即被广为接受的PDCERF方法学，将应急响应分成准备、检测，抑制、根除、恢复、总结等六个阶段的工作。并根据响应政策对每个阶段定义适当的目的，明确响应顺序和过怪。在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源井彻底根除；然后就该着手系统恢复，恢复的目的是把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。其中主要的响应步骤是：抑制、根除和恢复。抑制是一种过渡或者暂时性的措施，实质性的响应应该是根除和恢复。根除事件的根源，需要分析并找出导致安全事件的系统漏洞，从而杜绝类似事件的再次发生。而系统恢复，则需要从事件结果的角度对系统受影响的程度进行分析，进而将系统恢复到正常状态。通过对攻击技术进行分类将有利于在响应过程中采取有效的抑制措施。通过发现和分析导致安全事件发生的系统漏洞，可以有效地执行系统响应过程中根除阶段的措施。应急响应规程中的这六个阶段是循环的，每一个阶段都是在为下一个阶段做准备。

3应急响应组的创建与管理

对于保障信息系统的安全来说，不存在单一的解决方案，而需要一种多层次的安全策略。在这些安全层次当中，现在正被很多组织纳入其安全策略的就是建立计算机安全事件应急响应小组。

应急响应组的创建和管理对事件响应工作是非常重要的，许多事件响应工作的失败就是因为在创建和管理应急响应组方面存在问题。有了事件响应组，响应组中的成员就更容易协调响应工作，因为他们通常向响应组领导报告，在领导的指挥下参与特定的响应活动。在事件响应过程中，事件响应的经验，策略的运用和应该遵循的过程等比纯粹的响应技术更重要，响应组更加适合进行经验的交流。一个响应组更有实力开发并遵循事件响应规程。而按照响应规程处理事件就可以提高响应的效率。应急响应组比个人更加适合于和别的组织联络和交流，事件响应组最根本的需求就是为所属的客户提供事件响应服务。因此，应急响应组必须明确自己的政策、功能与角色。明确服务的对象并与之保持联系，在此基础上制订适合的政策，建立事件报告渠道、应急响应流程和应急通信机制。应急响应组至少都有协调能力、专业知识、响应效率、先期主动防御能力、适应需求、联络能力和处理制度障碍能力上的优势。

4具体应急响应措施

4.1入侵事件晌应策略的建立

4.1.1响应行为的文档化

明确应急什划和响应策胳，应急什划中应包括了生异常事件（如系统瘫痪或涉密信息的失窃等）应急响应的基本步骤、基本处理方法和汇报流程。应制定能够确保应急计划和响应策略正确实施的规章制度。

4.1.2配置冗余策略的文档化

如果关键机器在入侵中被入侵。有备份设备就位就可以很快地恢复服务，同时，在被入侵的机器上保留所有证据以便子进行分析。审查事件的整个发生和处理过程，记录所有涉及执行此过程的员工的角色、责任和职权。

.1.3日常培训应急响应人员

就响应策略和过程，创建井执行周期性的培训。在培训过程中，用户应该掌握需要采取什么行为来报告怀疑为入侵的事件，包括由谁来报告事件、如何报告事件以及需要报告的信息。基于他们的角色和责任。熟悉事件处理的各种工具的使用以及环境。

4.2事件晌应的准备工作

选择，安装和熟悉那些响应过程中的协助下具及有助于收集和维护与入侵相关数据。

为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始的可靠的启动盘（或CD-ROMs）使机器以己知的预先设定的配置重新启动，这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。

为了防止不可预期的变化，在试验机器上安装可信任版本的系统，并比较文件（可信的同可能修改过的已经安装了的比较；为了避免有意或无意的破坏，所有的介质应该处于硬件写保护状态。

建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。

建立资源工具包并准备相关硬件设备资源工具包将包含在响应过程中可能要使用的所有工具。这类工具的例子包括那些进行备份和恢复备份，比较文件，建立和比较密码校验和，给系统”照快照“，审查系统配置，列出服务和过程，跟踪攻击站点的路径和它们的ISP等的工具。

确保测试系统正确配置且可用在任何分析或侧试中使用被入侵的系统都可能导致这些系统进一步的暴露和损害。已被入侵的系统产生的任何结果都是不可韶的。此外，采用这样的系统或许会由于恶意程序而暴露你正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中，并且部署新安装的打过补丁的安全的系统，以便继续运行。在完成分析后，清除所有的磁盘，这样可以确保任何残留文件或恶意程序不影响将来的分析，或任何正在测试系统上进行的工作，或是无意中被传到其他运行系统中。这在翻试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果，以备将来进一步的分析。

4.3分析所有可能得到的信息来确定入健行为的特征

一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵，需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹，进一步破坏你准备拯救的系统。这会使分析无法进行下去。

备份被入侵的系统，”隔离“被入侵的系统，进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志，确定攻击者的入侵路径和方法，确定入侵者进入系统后都做了什么。

4.4 向所有需要知道入住和入侵进展情况的信息化领导小组通报

适时通知并同入侵响应中的关键角色保持联系以便他们履行自己的职责。入侵响应需要管理层批准，需要决定是否关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活动的相关证据）。通报信息的数是和类型，通知什么人。

4.5收集和保护与入但相关的资料

收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据。

4.6消除入侵所有路径

改变全部可能受到攻击的系统的口令、重新设里被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序（包括应用服务）和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露捏度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。

4.7恢复系统正常操作

确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者又回来的信号。

4.8跟踪总结