制定事件响应计划是网络安全不可缺少的条件之一。有完良好、高效的事件响应计划一事件响应计划可能会在最大程度上减少安全破坏带来的影响,减小损失,尽快恢复网络访问正常,保护我们信息资源的安全。
(1)设立目标为了确保弘拓订单管理系统(下面简称弘拓),稳定、高效、持续和安 全地运行。
(2)为了保证同步到弘拓上的订单数据完整性,以及客户的个人信息不丢下不泄露。
(3)在确保系统安全运行时,弘拓还会收集入侵日记、对入侵进行追踪和分析,及时 修复完弘拓系统可能的安全问题,同时建档保存,为以后的反侵工作提供可靠真实 的证据。
(1)弘拓根据自己公司的组织架构和成员,选择技术水平及配合能达到的默契程度高 的小组成员
(2)选择一个高技术水平和经验丰富的工程师作为小组的最高领导者,最高领导者直 接领导小组组员,组员严格执行上报制度和事件监控识别处理的工作,并向上级报 告;
(3)小组中的部门领导可作为小组响应人员的上一级领导,直接负责督促各小组成员 完成工作,并且接受下一级的报告并将事件响应过程建档上报;
(4)小组最高领导者负责协调整个事件响应小组的工作,对事件处理方法做出明确决 定,并监督小组每一次事件响应过程。
以’要尽快恢复系统运行’是弘拓主要目标之一。按照事先制定的处理步骤来对事件进行响应,能减少处理过程当中的杂乱无章,减少操作及判断失误而引起的处理不及时,具体分步骤,包括五个部分:事件识别,事件分类,事件证据收集,系统和系统数据恢复,以及事件处理完成后建档上报和保存。现将它们详细说明如下:
(1)弘拓分配经验丰富的高级IT技术人员使用一些Namp,Tcpdump,Fport,Ntop,OSSEC HIDS等安全软件及系统所产生的各种日志中的异常记录项来做出判断,防止一些 安全软件有误报和漏报的现象。
(2)弘拓根据分配高级的数据安全专家,分析这些日志文件中的记录项,以及对各种现象的判断来确定是否受到了真正的攻击。如分析日记中:
a. 有没有异常登录、特殊字符的修记录
b. 有没有存在特殊用户权限被修改或添加了不明用户账号的记录
c. 判断是否存在某种不明文件的记录和不明软件主动向外链接的记录
d. 查看日记的时间戳和记录的内容不对,或者日志文件大小与你的记录不相符
e. 分析系统反应速度是否变慢,或在某个时间段突然变慢,排除了系统硬件性能影响的原因;
f. 查看系统中安全软件是否被停止,正常服务被停止;
g. 查看网站网页被篡改或被删除替换
h. 是否存在系统变得不稳定,突然死机,系统资源占用过大,不断重启的现象
i. 是否网络流量突然增大,查看发现对外打开了不明端口以及网卡被设为混杂模式
当前,弘拓会根据入侵的事件后,响应小组立即对已经出现了的攻击事件做出严重程度的判断,以明确攻击事件到达了什么地步,以便决定下一步采取什么样的应对措施。例如,如果入侵事件是涉及到服务器中的一些机密数据,这肯定是非常严重的攻击事件,就应当立即断开受到攻击的服务器的网络连接,并将其隔离,以防止事态进一步的恶化及影响网络中其它重要主机。
对攻击事件进行分类,可以通过确认攻击事件发展到了什么地步,以及造成了什么样的后果来进行分类,这样就可以将攻击事件分为以下几个类别:
(1)试探性事件;
(2)一般性事件;
(3)控制系统事件;
(4)拒绝服务事件;
(5)得到机密数据事件。
弘拓响应小组会根据以上的几种事件分类别,迅速对攻击事件发展到了哪种地步做出明确的判断,并及时上报小组领导,以及通报给其他小组成员,以便整个小组中的所有成员能够明确此次攻击事件的严重程度,然后决定采取什么样的应对方法来进行响应,以防止事态向更加严重的程度发展,或者尽量减小损失,及时修补漏洞,恢复网络系统正常运行,并尽快收集好所有的证据,以此来找到攻击者。
为了能为析入侵事件产生的原因及攻击所产生的破坏,也为了能找到攻击者,并提供将他绳之以法的证据,就应该在恢复已被攻击的系统正常之前,将这些能提供证据的数据全部收集起来,妥善保存。比如,我们收集的数据列表:
(1)操作系统事件和审计日志;
(2)网络应用程序日志;
(3)防火墙和入侵检测日志;
(4)受损系统及软件镜像。
(1)首先不管是否会发生入侵事件,弘拓都会事先所有重要数据做一个安全的备份,因为它直接影响到事件响应过程中恢复的及时性和可能性。
(2)数据恢复后,弘拓当前可能存在的入侵情况进行修复,更新了最新的补丁包,并且已经重新对修补过的系统做了新的备份。
(3)弘拓会根据系统受损的情况来决定来恢复系统,例如,系统中只是开放了一些不正常的端口,那就没有必要恢复整个系统,只要将这些端口关闭,然后堵住产生攻击的漏洞就可以了。如果系统中的重要文件已经被修改或删除,系统不能正常运行,而这些文件又不能够被修复,就只能恢复整个系统了。恢复时,即可以通过手工操作方式来达到恢复目的,也可以通过一些专业的备份恢复软件来进行恢复。
在将所有事件都已调查清楚,系统也恢复正常运行后,弘拓都会将所有与这次事件相关的所有种种都做一个详细的记录存档。建档的目的有二点,一是用来向上级领导报告事件起因及处理方法,二是用来做学习的例子,用来分析攻击者的攻击方法,以便以后更加有效地防止此类攻击事件的发生。具体要记录保存的内容涉及到整个事件响应过程,要记录的内容比较多,而且响应过程有时比较长,因此,这就要求安全事件响应人员在事件处理过程当中,应当随时记录下响应过程中发现的点点滴滴和所有的操作事件,以便建档时能使用。
具体要建档的内容如下所示:
(1)入侵事件发生在什么时候,什么时候发现的,发现人是谁?
(2)入侵者利用的是什么漏洞来攻击的,这种漏洞是已经发现了的,还现在才出事的,漏洞的具体类别及数量?
(3)入侵者在系统中进行了哪些方面的操作,有哪些数据或文件被攻击者攻击了?
(4)攻击的大体发展顺序是怎么进行的?
(5)造成此次事件的关键因素是什么?
(6)解决此次事件的具体流程是什么?
(7)攻击造成了什么后果,严重程度如何,攻击者得到了什么权限和数据?
(8)攻击者是如何突破安全防线的?
(9)用什么工具软件解决的?
(10)此次事件在发现及处理时有哪些人员参与,上报给了哪些部门及人员?
(11)事件发生后,损失的恢复情况如何?
(12)此次攻击有了什么新的改变,是否可以预防和应对?
(13)以后应该如何应对这种安全事件,给出一个具体的方案附后等等。
以上所列出的,都是建档时应当记录的内容。弘拓的安全响应计划的建档人员都会通过自由安排记录的顺序,但是得和事件处理的顺序相对应,以便让其它人员更好地理解和学习。