《cisp之应急响应0321.ppt》由会员分享,可在线阅读,更多相关《cisp之应急响应0321.ppt(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、www.edu8848.org中启航国际教育学院议程议程o应急响应服务背景o什么是应急响应o应急响应组的组建o应急响应服务的过程o应急响应服务的形式和内容o应急响应服务的指标o应急响应预案的编制www.edu8848.org中启航国际教育学院应急响应的客体-安全事件安全事件=威胁+脆弱性www.edu8848.org中启航国际教育学院安全事件的组成威胁威胁是可能导致信息安全事故和组织信息资威胁是可能导致信息安全事故和组织信息资产损失的活动产损失的活动威胁是利用脆弱性来造成后果威胁是利用脆弱性来造成后果www.edu8848.org中启航国际教育学院安全事件的组成威胁举例:黑客入侵和攻击黑客入侵
2、和攻击病毒、蠕虫、木马病毒、蠕虫、木马软硬件故障软硬件故障人为误操作人为误操作自然灾害如:地震、火灾、爆自然灾害如:地震、火灾、爆炸等炸等盗窃盗窃网络监听网络监听供电故障供电故障未授权访问未授权访问www.edu8848.org中启航国际教育学院脆弱性是与信息资产有关的弱点或安全隐患。是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害,但是在一脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。用来对信息资产造成危害。安全事件的组成www.edu8848.org中启航国际教育学院脆弱性举例系统漏洞
3、系统漏洞程序程序BugBug后门后门系统没有进行安全配置系统没有进行安全配置缺少审计缺少审计物理环境不安全物理环境不安全缺乏安全意识缺乏安全意识缺乏专业人员缺乏专业人员不良习惯不良习惯安全事件的组成www.edu8848.org中启航国际教育学院应急响应的保障能力(XYZ)预防监测控制恢复资源策略平台组织间谍软件网络窃听僵尸网络DDOSX 需要的元素Z 各种事件的研究Y 需要的能力www.edu8848.org中启航国际教育学院应急响应的保障能力(Y应对能力)www.edu8848.org中启航国际教育学院应急响应的保障能力(X实现要素)www.edu8848.org中启航国际教育学院应急响应
4、的保障能力(Z事件研究)www.edu8848.org中启航国际教育学院我们面临的挑战-几个关键词规模-个人、组织、国家、国际速度-0day漏洞分析-海量数据和信息定位-没有边界的网络世界和有边界的行政管理目的-恶作剧、科学研究、商业敲诈、政治因素后果-经济损失、非经济损失www.edu8848.org中启航国际教育学院第一个应急响应组织机构-CERT/CC蠕虫攻击蠕虫攻击CERT/CC创建创建MorrisWorm1988年年11月月www.edu8848.org中启航国际教育学院应急响应管理概述第一个应急响应组织机构-CERT/CCoMorris蠕虫的背景蠕虫的背景nRobert Tappa
5、n Morris-Robert Tappan Morris-世界蠕虫之父,人类历史上的一个世界蠕虫之父,人类历史上的一个hackerhacker,美国前国家安全局首席科学家,美国前国家安全局首席科学家Robert MorrisRobert Morris的儿的儿子子 。nAPPANETAPPANET刚刚转为民用,大概有刚刚转为民用,大概有6-86-8万台电脑通过万台电脑通过InternetInternet进行互联进行互联nMorrisMorris出于研究互联网规模的目的开始在网络上注入了一个出于研究互联网规模的目的开始在网络上注入了一个程序文件,但由于程序自身的程序文件,但由于程序自身的BUGB
6、UG开始自我复制并造成开始自我复制并造成10%10%的电脑死机的电脑死机n最后最后MorrisMorris自首,并根据美国自首,并根据美国19861986年颁布的年颁布的计算机欺诈和计算机欺诈和滥用法令滥用法令 被判有罪并处以被判有罪并处以3 3年缓刑、年缓刑、1 1万美元罚金和万美元罚金和400400小小时的社区义务劳动时的社区义务劳动 www.edu8848.org中启航国际教育学院应急响应服务背景应急响应服务背景o应急响应服务的诞生应急响应服务的诞生CERT/CCCERT/CCn19881988年年MorrisMorris蠕虫事件直接导致了在蠕虫事件直接导致了在2 2周后的周后的CERT
7、/CCCERT/CC的诞生。的诞生。n美国国防部美国国防部(DoD)(DoD)在卡内基梅隆大学的软件工程研究所在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心成立了计算机应急响应组协调中心(CERT/CC)(CERT/CC)以协调以协调InternetInternet上的安全事件处理。目前,上的安全事件处理。目前,CERT/CCCERT/CC是是DoDDoD资助下的抗毁性网络系统计划资助下的抗毁性网络系统计划(Networked Systems (Networked Systems Survivability Program)Survivability Program)的一部分,
8、下设三个部门:事的一部分,下设三个部门:事件处理、脆弱性处理、计算机安全应急响应组件处理、脆弱性处理、计算机安全应急响应组(CSIRTCSIRT)。)。n在在CERT/CC CERT/CC 成立至今,共处理了成立至今,共处理了7070万多封万多封EmailEmail,1010万多个热线电话,其运行模式帮助了万多个热线电话,其运行模式帮助了100100多个多个CSIRTCSIRT组织的建设。组织的建设。www.edu8848.org中启航国际教育学院应急响应服务背景应急响应服务背景oCERT/CCCERT/CC服务的内容服务的内容n安全事件响应安全事件响应n安全事件分析和软件安全缺陷研究安全事件
9、分析和软件安全缺陷研究n缺陷知识库开发缺陷知识库开发n信息发布:缺陷、公告、总结、统计、补丁、工具信息发布:缺陷、公告、总结、统计、补丁、工具n教育与培训:教育与培训:CSIRTCSIRT管理、管理、CSIRTCSIRT技术培训、系统和网技术培训、系统和网络管理员安全培训络管理员安全培训n指导其它指导其它CSIRTCSIRT(也称(也称IRTIRT、CERTCERT)组织建设)组织建设www.edu8848.org中启航国际教育学院议程议程o应急响应服务背景o什么是应急响应o应急响应组的组建o应急响应服务的过程o应急响应服务的形式和内容o应急响应服务的指标o应急响应预案的编制www.edu88
10、48.org中启航国际教育学院事件响应事件响应o事件响应:对发生在计算机系统或网络上事件响应:对发生在计算机系统或网络上的威胁安全的事件进行响应。的威胁安全的事件进行响应。o事件响应是信息安全生命周期的必要组成事件响应是信息安全生命周期的必要组成部分。这个生命周期包括:对策、检测、部分。这个生命周期包括:对策、检测、响应响应准备、遏制、根除和恢复、事后活动。o网络安全的发展日新月异,谁也无法实现网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务。一劳永逸的安全服务。www.edu8848.org中启航国际教育学院什么是应急响应什么是应急响应o应急响应也叫紧急响应,是安全事件发应急响应也叫紧
11、急响应,是安全事件发生后迅速采取的措施和行动,它是安全生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式事件响应的一种快速实现方式 。o应急响应服务是解决网络系统安全问题应急响应服务是解决网络系统安全问题的有效安全服务手段之一。的有效安全服务手段之一。www.edu8848.org中启航国际教育学院应急响应的目的应急响应的目的o应急响应服务的目的是最快速度恢复系应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。减小安全事件带来的影响。www.edu8848.org中启航国际教育学院应急响应服务的特点应急响应服
12、务的特点o技术复杂性与专业性技术复杂性与专业性各种硬件平台、操作系统、应用软件各种硬件平台、操作系统、应用软件o知识经验的依赖性知识经验的依赖性由由IRTIRT中的人提供服务,而不是一个硬件或软件产品中的人提供服务,而不是一个硬件或软件产品 o突发性强突发性强o需要广泛的协调与合作需要广泛的协调与合作www.edu8848.org中启航国际教育学院议程议程o应急响应服务背景o什么是应急响应o应急响应组的组建o应急响应服务的过程o应急响应服务的形式和内容o应急响应服务的指标o应急响应预案的编制www.edu8848.org中启航国际教育学院应急响应组的组建应急响应组的组建o什么是应急响应组(什么
13、是应急响应组(IRTIRT) 应急响应组就是一个或更多的个人组成的团队,能快应急响应组就是一个或更多的个人组成的团队,能快速执行和处理与安全有关的事件的任务。速执行和处理与安全有关的事件的任务。o为什么需要成立应急响应组为什么需要成立应急响应组n容易协调响应工作容易协调响应工作n提高专业知识提高专业知识n提高效率提高效率n提高先期主动防御能力提高先期主动防御能力n更加适合于满足机构的需要更加适合于满足机构的需要n提高联络功能提高联络功能n提高处理制度障碍方面的能力提高处理制度障碍方面的能力www.edu8848.org中启航国际教育学院应急响应组的分类国际间的协调组织国内的协调组织国内的协调组
14、织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提供商 IRT厂商 IRT企业 /政府 IRT如:专业安全厂商如:电信企业如:Cisco、IBM如:中国银行、 公安部如CERT/CC, FIRST如CNCERT/CCwww.edu8848.org中启航国际教育学院国外应急响应组建设情况国外应急响应组建设情况oFIRSTFIRST(19901990)nFIRSTFIRST为为IRTIRT组织、厂商和其他安全专家提供一个论坛,讨论组织、厂商和其他安全专家提供一个论坛,讨论安全缺陷、入侵者使用的方法和技巧、建议等,共同的寻找一安全缺陷、入侵者使用的方法和技巧、建议等,共同的寻
15、找一个可接受的方案。个可接受的方案。n120120多个正式成员组织,覆盖多个正式成员组织,覆盖2020多个国家和地区。多个国家和地区。nFIRSTFIRST的大量工作都是由来自各成员组织的志愿者完成的,从的大量工作都是由来自各成员组织的志愿者完成的,从FIRST FIRST 中获益的比例与中获益的比例与IRTIRT愿意提供的贡献成比例。愿意提供的贡献成比例。o国外安全事件响应组(国外安全事件响应组(CSIRTCSIRT)建设情况)建设情况nFedCIRCFedCIRC(联邦计算机事故反应中心(联邦计算机事故反应中心 )、)、BACIRTBACIRT(美国银(美国银行计算机事故反应中心)、行计算
16、机事故反应中心)、DFN-CERTDFN-CERT(德国国家研究及教(德国国家研究及教育网络育网络 )等)等nDOE CIACDOE CIAC、 AFCERTAFCERT(美国空军)、(美国空军)、NavyCIRTNavyCIRTn亚太地区:亚太地区:AusCERTAusCERT(澳大利亚)、(澳大利亚)、SingCERTSingCERT(新加坡)(新加坡)等等www.edu8848.org中启航国际教育学院国内应急响应组建设情况国内应急响应组建设情况o计算机网络基础设施已经严重依赖国外计算机网络基础设施已经严重依赖国外o由于地理、语言、政治等多种因素,安全服务不可能依赖国由于地理、语言、政治
17、等多种因素,安全服务不可能依赖国外的组织外的组织o国内的应急响应服务组织还处在建设阶段国内的应急响应服务组织还处在建设阶段nCCERTCCERT(19991999年年5 5月),中国教育科研网紧急响应组月),中国教育科研网紧急响应组nNJCERTNJCERT(19991999年年1010月),月),中国教育网华中国教育网华东(北)东(北)地区地区网络安全网络安全事件事件响应组响应组n中国电信中国电信ChinaNetChinaNet安全小组安全小组n解放军(总参),公安部解放军(总参),公安部n商业网络安全服务公司商业网络安全服务公司o中国计算机应急响应组中国计算机应急响应组/ /协调中心协调中
18、心CNCERT/CCCNCERT/CCn原信息产业部安全管理中心原信息产业部安全管理中心 ,20002000年年3 3月,北京月,北京www.edu8848.org中启航国际教育学院CNCERT/CC CNCERT/CC 概述概述www.edu8848.org中启航国际教育学院CNCERT/CC CNCERT/CC 概述概述www.edu8848.org中启航国际教育学院议程议程o应急响应服务背景o什么是应急响应o应急响应组的组建o应急响应服务的过程o应急响应服务的形式和内容o应急响应服务的指标o应急响应预案的编制www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的
19、过程o应急响应处理生命周期n准备n检测n遏制、根除和恢复n事后活动www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的过程准备准备o基于威胁建立一组合理的防御基于威胁建立一组合理的防御/控制措施控制措施o建立一组尽可能高效的事件处理程序建立一组尽可能高效的事件处理程序o获得处理问题必须的资源和人员获得处理问题必须的资源和人员o建立一个支持事件响应活动的基础设施建立一个支持事件响应活动的基础设施www.edu8848.org中启航国际教育学院准备阶段o制定应急响应计划制定应急响应计划o资源准备资源准备n应急经费筹集应急经费筹集n人力资源人力资源n相关软硬件设备相关软硬
20、件设备n理解网络、系统和应用的正常行为理解网络、系统和应用的正常行为n建立同外部方报告事故的机制建立同外部方报告事故的机制n保持所有主机时钟同步。保持所有主机时钟同步。n维护和使用信息知识库。维护和使用信息知识库。n业务连续性保障业务连续性保障o系统容灾系统容灾o搭建临时业务系统搭建临时业务系统www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的过程检测检测o确定事件是已经发生了还是在进行当中确定事件是已经发生了还是在进行当中o初步动作和响应初步动作和响应n选择检测工具,分析异常现象选择检测工具,分析异常现象n激活审计功能激活审计功能n迅速备份完整系统迅速备份完整系
21、统n记录所发生事件记录所发生事件n估计安全事件的范围估计安全事件的范围www.edu8848.org中启航国际教育学院检测和分析阶段n通过各种类型的计算机安全设备所产生的告警来标识预兆和征兆。通过各种类型的计算机安全设备所产生的告警来标识预兆和征兆。n需要在所有系统上建立日志和审计的基线级别需要在所有系统上建立日志和审计的基线级别n现场备份现场备份n使用集中的日志并创建日志关联策略。使用集中的日志并创建日志关联策略。n执行事件关联。执行事件关联。n为经验较少的人员编制诊断矩阵。为经验较少的人员编制诊断矩阵。n当应急小组怀疑事故发生时,尽可能快的开始记录所有信息。当应急小组怀疑事故发生时,尽可能
22、快的开始记录所有信息。n安全保护事故数据。安全保护事故数据。n在组织机构应急响应策略中包含事故汇报相关的内容。在组织机构应急响应策略中包含事故汇报相关的内容。www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的过程抑制抑制o限制攻击的范围,同时限制了潜在的损失限制攻击的范围,同时限制了潜在的损失和破坏。和破坏。o抑制策略抑制策略n完全关闭所有系统;完全关闭所有系统;n将网络断开;将网络断开;n修改所有防火墙和路由器的过滤规则,拒绝异常流量;修改所有防火墙和路由器的过滤规则,拒绝异常流量;n封锁或删除被攻击的登录账号;封锁或删除被攻击的登录账号;n提高系统或网络行为的
23、监控级别;提高系统或网络行为的监控级别;n设置诱饵服务器作为陷阱;设置诱饵服务器作为陷阱;n关闭被利用的服务;关闭被利用的服务;n反击攻击者的系统等。反击攻击者的系统等。www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的过程根除根除o安全事件被抑制后,找出事件根源并彻底根安全事件被抑制后,找出事件根源并彻底根除,即根除事件的原因。除,即根除事件的原因。www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的过程恢复恢复o把所有受侵害或被破坏的系统、应用、数据把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。库等彻底地
24、还原到它们正常的任务状态。www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的过程跟踪跟踪o回顾事件处理过程回顾事件处理过程o总结经验教训总结经验教训o为管理或法律目的收集损失统计信息为管理或法律目的收集损失统计信息o建立或补充自己的应急计划建立或补充自己的应急计划o报请公安机关立案报请公安机关立案www.edu8848.org中启航国际教育学院应急响应服务的过程应急响应服务的过程归档与统计归档与统计o处理人处理人o时间时间o地点地点o工作量工作量o事件的类型事件的类型o处置情况处置情况o代价代价o细节细节www.edu8848.org中启航国际教育学院议程议程o应
25、急响应服务背景o什么是应急响应o应急响应组的组建o应急响应服务的过程o应急响应服务的形式和内容o应急响应服务的指标o应急响应预案的编制www.edu8848.org中启航国际教育学院应急响应服务的形式应急响应服务的形式o远程应急响应服务远程应急响应服务o本地应急响应服务本地应急响应服务www.edu8848.org中启航国际教育学院远程应急响应服务远程应急响应服务o客户通过电话、客户通过电话、EmailEmail、传真等方式请求安全事、传真等方式请求安全事件响应,应急响应组通过相同的方式为客户解决件响应,应急响应组通过相同的方式为客户解决问题。问题。o经与客户网络相关人员确认后,客户方提供主机
26、经与客户网络相关人员确认后,客户方提供主机或设备的临时支持账号,由应急响应组远程登陆或设备的临时支持账号,由应急响应组远程登陆主机进行检测和服务,问题解决后出具详细的应主机进行检测和服务,问题解决后出具详细的应急响应服务报告。急响应服务报告。o远程系统无法登陆,或无法通过远程访问的方式远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,客户确认后,转到本地应急相替客户解决问题,客户确认后,转到本地应急相应流程,同时此次远程响应无效,归于本地应急应流程,同时此次远程响应无效,归于本地应急响应类型。响应类型。www.edu8848.org中启航国际教育学院本地应急响应服务本地应急响应服务o应
27、急响应组在第一时间赶往客户网络系统安全事应急响应组在第一时间赶往客户网络系统安全事件的事发地点,在现场为客户查找事发原因并解件的事发地点,在现场为客户查找事发原因并解决相应问题,最后出具详细的应急响应服务报告。决相应问题,最后出具详细的应急响应服务报告。 www.edu8848.org中启航国际教育学院应急响应服务的内容应急响应服务的内容o拒绝服务攻击事件响应拒绝服务攻击事件响应o恶意代码事件响应恶意代码事件响应o非授权访问事件响应非授权访问事件响应o不正确使用事件响应不正确使用事件响应www.edu8848.org中启航国际教育学院应急响应处理实践所处理的事故类型o拒绝服务事故n拒绝服务(拒
28、绝服务(DoSDoS):):通过耗尽资源来阻止或伤害网络、系统或应用的攻击。n分布拒绝服务(分布拒绝服务(DDoSDDoS):):一种使用大量主机执行攻击的 DoS技术。o恶意代码事故n恶意代码:恶意代码:感染主机的病毒、蠕虫、特洛伊木马或其它代码实体。o非授权访问事故n非授权访问:非授权访问: 人员没有没有得到许可,获得对网络、应用、数据或其它资源的逻辑或物理访问。 o不正确使用事故n不正确使用:不正确使用: 人员违反可接受的信息系统使用策略。 www.edu8848.org中启航国际教育学院拒绝服务事故o主要工作推荐n增加备份冗余机制。增加备份冗余机制。n部署专业设备,并正确配置网络设备和
29、服务器。部署专业设备,并正确配置网络设备和服务器。n确定组织机构的互联网服务提供商(确定组织机构的互联网服务提供商(ISPISP)和第)和第二层提供商能帮助处理网络二层提供商能帮助处理网络DoSDoS攻击。攻击。n配置安全软件以检测配置安全软件以检测DoSDoS攻击。攻击。n配置网络边界以拒绝所有没有明确允许的入局配置网络边界以拒绝所有没有明确允许的入局流量。流量。www.edu8848.org中启航国际教育学院恶意代码事故o主要工作推荐n让用户意识到恶意代码问题。让用户意识到恶意代码问题。n阅读防病毒公告。阅读防病毒公告。n为关键主机部署主机入侵检测系统,包括文件为关键主机部署主机入侵检测系
30、统,包括文件完整性检查器。完整性检查器。n使用防病毒软件,并且保持更新为最新的病毒使用防病毒软件,并且保持更新为最新的病毒特征码。特征码。n配置软件以阻止可疑的文件。配置软件以阻止可疑的文件。n减少开放的减少开放的WindowsWindows共享。共享。 www.edu8848.org中启航国际教育学院非授权访问事件o主要工作推荐n配置入侵检测软件以对获得非授权访问的企图进行告警。配置入侵检测软件以对获得非授权访问的企图进行告警。n配置所有主机使用集中日志。配置所有主机使用集中日志。n建立流程,以使所有用户修改其口令。建立流程,以使所有用户修改其口令。n配置网络边界以拒绝所有没有明确允许的入局
31、流量。配置网络边界以拒绝所有没有明确允许的入局流量。n安全保护所有的远程访问方式,包括调制解调器和虚拟安全保护所有的远程访问方式,包括调制解调器和虚拟专用网(专用网(VPNVPN)。)。n将所有公共访问的服务放在安全保护的非军事区(将所有公共访问的服务放在安全保护的非军事区(DMZDMZ)网段。网段。n在主机上禁止所有不需要的服务并隔离关键的服务。在主机上禁止所有不需要的服务并隔离关键的服务。n在个人主机上使用主机防火墙软件以限制主机对攻击的在个人主机上使用主机防火墙软件以限制主机对攻击的暴露。暴露。n创建和实施口令策略。创建和实施口令策略。 www.edu8848.org中启航国际教育学院不
32、当操作事故o主要工作推荐n同组织机构的人力资源和法务部门一起讨论不当操作事同组织机构的人力资源和法务部门一起讨论不当操作事故的处理。故的处理。n同组织机构的法务部门讨论责任义务问题。同组织机构的法务部门讨论责任义务问题。n配置网络入侵检测系统以检测某些类型的不正确使用。配置网络入侵检测系统以检测某些类型的不正确使用。n日志记录用户活动的基本信息。日志记录用户活动的基本信息。n配置所有电子邮件服务器以使其不再用于非授权的邮件配置所有电子邮件服务器以使其不再用于非授权的邮件转发。转发。n在所有电子邮件服务器上实施垃圾邮件过滤软件。在所有电子邮件服务器上实施垃圾邮件过滤软件。n实施实施URLURL过
33、滤软件。过滤软件。 www.edu8848.org中启航国际教育学院议程议程o应急响应服务背景o什么是应急响应o应急响应组的组建o应急响应服务的过程o应急响应服务的形式和内容o应急响应服务的指标o应急响应预案的编制www.edu8848.org中启航国际教育学院应急响应服务的指标应急响应服务的指标o远程应急响应服务 在确认客户的应急响应请求后在确认客户的应急响应请求后2 2小时内,交与小时内,交与相关应急响应人员进行处理。无论是否解决,相关应急响应人员进行处理。无论是否解决,进行处理的当天必须返回响应情况的简报,直进行处理的当天必须返回响应情况的简报,直到此次响应服务结束。到此次响应服务结束。
34、 o本地应急响应服务 对本地范围内的客户,对本地范围内的客户,3-63-6小时内到达现场;小时内到达现场;对异地的客户,对异地的客户,2424小时加路途时间内到达现场。小时加路途时间内到达现场。 www.edu8848.org中启航国际教育学院应急响应之Web入侵o主要目标:本次紧急响应是根据XX客户请求进行的。由于客户端增值业务的数据库服务器大量发送ARP欺骗包,工程师通过对该服务器进行检查,发现有黑客入侵的痕迹。因此,发现黑客进入系统的途径,并有效进行防护,减少、避免进一步的损失,防止同类事件再次发生,是我们这次紧急响应的主要目标。 o工作时间:2006年12月24日晚22:05 起至12
35、月31日o主要人员:我方安全顾问,客户方工程师www.edu8848.org中启航国际教育学院应急响应之Web入侵o过程描述:n12月24日,工程师在为用户实施安全检查时发现有一台内网数据库主机频繁发出ARP欺骗包,且其日志出现部分内容被非法删除和伪造的痕迹,同时在系统目录下发现由黑客上传的网络嗅探工具,断定此台服务器已经遭受黑客的入侵n通过进一步分析,该黑客是利用Google HACK工具,通过其Web主机作为跳板,进入后台服务器的,检查其他主机,并未发现入侵痕迹。n进行整体入侵流程分析,发现黑客是利用其后台管理系统,通过暴力的口令猜解取得管理员权限,上传带有木马的网页,并利用Web主机和D
36、B主机之间的访问控制漏洞,借助139、445、3389等端口成功渗透数据库主机n入侵DB主机后,利用SQLSEVER的漏洞取得ADMIN权限,安装CAIN工具,进一步嗅探内网其他主机的信息n通过抓包工具分析,客户内网主机存在大量的明文传输的信息,但由于发现及时,该黑客尚未来得及采取下一步行动n12月29日凌晨,检测该黑客再次登陆DB主机,启动CAIN工具,成功追查到源IP地址,发现并未伪造n及时保存其日志通过定位,查找到其来源n评估损失,考虑是否上报公安机关,采取进一步措施www.edu8848.org中启航国际教育学院应急响应之Web入侵www.edu8848.org中启航国际教育学院应急响
37、应之Web入侵黑客利用nb.vbs脚本提升权限 www.edu8848.org中启航国际教育学院应急响应之Web入侵o过程描述:n善后处理措施:o删除木马程序和黑客攻击,定期更改管理员权限o实施应用层加固,进行代码检查o在Web主机和DB主机之间加装防火墙,并设置严格的访问控制策略o加强各项管理规范的制定和实施,特别是规范系统开发阶段的一些行为和措施o部署IDS和日志审计系统,加强日常的安全检查o定期对重要服务器进行安全评估和加固www.edu8848.org中启航国际教育学院议程议程o应急响应服务背景o什么是应急响应o应急响应组的组建o应急响应服务的过程o应急响应服务的形式和内容o应急响应服
38、务的指标o应急响应预案的编制www.edu8848.org中启航国际教育学院o信息安全应急响应体系 o信息安全应急响应工作内容 o典型事件应急预案大纲 应急响应预案的编制应急响应预案的编制www.edu8848.org中启航国际教育学院信息安全应急响应体系 o法律、法规和标准o组织架构和职责o工作流程o保障机制www.edu8848.org中启航国际教育学院信息安全应急响应工作内容 o监测工作o准备工作o响应工作 o善后工作www.edu8848.org中启航国际教育学院典型事件应急预案大纲一、总则一、总则应急响应需求适用范围启动条件适用性法规标准1.相关预案 www.edu8848.org中启航国际教育学院典型事件应急预案大纲二、组织结构及分工领导小组领导小组 指挥小组指挥小组应急响应任务组应急响应任务组www.edu8848.org中启航国际教育学院典型事件应急预案大纲三、应急响应流程n监测工作n准备工作n响应工作 n善后工作四、演练及维护www.edu8848.org中启航国际教育学院典型事件应急预案大纲五、保障措施v人员保障v设备保障v技术资料保障v经费保障v后勤保障v六、附件v人员/厂商联系名单v系统软硬件配置清单1.其它。中启航国际教育学院www.edu8848.org坚韧不拔、追求卓越坚韧不拔、追求卓越