17.1 管理事件響應(yīng)
- 任何安全程序的主要目標(biāo)之一就是防止安全事件發(fā)生
17.1.1 事件界定
- 事件時(shí)對(duì)組織資產(chǎn)的保密性、完整性和可用性有負(fù)面影響的事故
- 計(jì)算機(jī)安全事件通常是指攻擊接口,或指部分用戶(hù)來(lái)說(shuō)是惡意或故意行動(dòng)的結(jié)果
17.1.2 事件響應(yīng)步驟
-
有效的時(shí)間響應(yīng)氛圍幾個(gè)步驟或處理階段
image.png
17.1.3 檢測(cè)
- IT環(huán)境包括許多檢測(cè)潛在時(shí)間的方法,常用的有:
- 相匹配的事項(xiàng)發(fā)生時(shí),入侵檢測(cè)和防御系統(tǒng)發(fā)送告警給管理員
- 檢測(cè)到惡意軟件時(shí),反惡意軟件會(huì)顯示彈出窗口加以提示
- 許多自動(dòng)化工具定期掃描審計(jì)日志,尋找預(yù)定義的時(shí)間
- 最終用戶(hù)有時(shí)會(huì)發(fā)現(xiàn)不規(guī)則的活動(dòng),并聯(lián)系技術(shù)人員或者管理員尋求幫助
17.1.4 響應(yīng)
- 檢測(cè)和驗(yàn)證時(shí)間后,下一步就是響應(yīng),響應(yīng)程度取決于事件的嚴(yán)重程度
- 團(tuán)隊(duì)成員應(yīng)該對(duì)時(shí)間響應(yīng)好組織的時(shí)間響應(yīng)計(jì)劃進(jìn)行培訓(xùn)
- 組織如果能較快的響應(yīng)一個(gè)時(shí)間,就可以更好的機(jī)會(huì)減少損害
- 在調(diào)查結(jié)束后,管理層可能決定起訴責(zé)任人,因此調(diào)查過(guò)程中保護(hù)所有的數(shù)據(jù)作為證據(jù)
17.1.5 緩解
- 緩解措施嘗試遏制事件,有效的事件響應(yīng)的主要目標(biāo)之一是限制時(shí)間的影響范圍
17.1.6 報(bào)告
- 報(bào)告是指組織內(nèi)部、同事向組織外部報(bào)告時(shí)間,針對(duì)嚴(yán)重的安全事故,組織應(yīng)考慮到報(bào)告時(shí)間給官方機(jī)構(gòu)
17.1.7 恢復(fù)
- 調(diào)查人員從系統(tǒng)收集所有適當(dāng)?shù)淖C據(jù)后,下一步就是恢復(fù)系統(tǒng)或?qū)⑾到y(tǒng)恢復(fù)到完全正常的狀態(tài)
- 當(dāng)受損的系統(tǒng)重建時(shí),重要的是確保配置正確
17.1.8 修復(fù)
- 在修復(fù)階段,人員觀(guān)察事件并確定什么原因?qū)е率录l(fā)生,然后措施以防止再次發(fā)生
- 執(zhí)行根本原因分析的目的是為了確定什么原因?qū)е率录l(fā)生
17.1.9 經(jīng)驗(yàn)教訓(xùn)
- 在檢測(cè)時(shí)間響應(yīng)時(shí),人們可以尋找改進(jìn)響應(yīng)的任何方面,完成經(jīng)驗(yàn)審查后,通常需要事件響應(yīng)團(tuán)隊(duì)編寫(xiě)一份報(bào)告
17.2 部署預(yù)防措施
- 組織可以通過(guò)實(shí)時(shí)預(yù)防措避免事故
17.2.1 基本的預(yù)防措施
- 一些對(duì)能抵抗大多數(shù)典型攻擊措施有幫助的步驟:
- 保持系統(tǒng)和應(yīng)用程序最新:補(bǔ)丁管理能確保系統(tǒng)和應(yīng)用程序上安裝最新的相關(guān)補(bǔ)丁
- 刪除和禁用不必要的服務(wù)和協(xié)議:縮小被攻擊的面
- 使用入侵檢測(cè)和防御系統(tǒng): 試圖檢測(cè)攻擊,并提供報(bào)警
- 使用最新的反惡意軟件:涵蓋各種類(lèi)型的惡意代碼
- 使用防火墻: 防火墻可以阻擋許多不同類(lèi)型的攻擊
17.2.2 理解攻擊
- 常見(jiàn)的攻擊
- 拒絕服務(wù)攻擊: 能工阻止系統(tǒng)處理或相應(yīng)來(lái)自資源和客體的合法數(shù)據(jù)和請(qǐng)求,拒絕服務(wù)攻擊會(huì)導(dǎo)致系統(tǒng)崩潰、系統(tǒng)重啟、數(shù)據(jù)損壞、服務(wù)被阻斷等
- SYN泛洪攻擊:通過(guò)破壞TCP/IP啟動(dòng)通信會(huì)話(huà)的三步握手標(biāo)準(zhǔn)來(lái)實(shí)施攻擊
- smurf和fraggle攻擊
- smurf和fraggle屬于dos攻擊
- smurf是一種泛洪攻擊,使用受害者的IP地址作為源IP地址偽造廣播Ping
- fraggle攻擊類(lèi)似于smurf,使用UDP端口7和19,偽造IP地址發(fā)送UDP數(shù)據(jù)包發(fā)送給受害者
- ping泛洪攻擊
- ping泛洪攻擊通過(guò)給受害者發(fā)送洪水般的請(qǐng)求來(lái)達(dá)到攻擊目的
- 僵尸網(wǎng)絡(luò)
- 僵尸網(wǎng)絡(luò)中的計(jì)算機(jī),將會(huì)按照攻擊者要求的命令執(zhí)行,發(fā)起大范圍攻擊,發(fā)送垃圾郵件和釣魚(yú)郵件
- 死亡ping
- 采用一個(gè)超大的ping數(shù)據(jù)包,現(xiàn)在死亡ping攻擊很少成功
- 淚滴攻擊
- 攻擊者阻礙傳輸,系統(tǒng)無(wú)法將數(shù)據(jù)包一起發(fā)送,淚滴攻擊以一種系統(tǒng)無(wú)法將文件還原的方式分割數(shù)據(jù)包,目前系統(tǒng)部容易受到淚滴攻擊
- land攻擊
- 攻擊者使用受害者的IP地址作為源地址和目的地址,發(fā)送偽造的SYN數(shù)據(jù)包給受害者,自己不斷的做出回應(yīng),并最終可能會(huì)凍結(jié)、崩潰和重新啟動(dòng)
- 零日攻擊
- 利用他人未知的系統(tǒng)漏洞對(duì)系統(tǒng)發(fā)現(xiàn)攻擊
- 保護(hù)零日漏洞攻擊的方法包括許多基本預(yù)防措施,不運(yùn)行不需要的服務(wù)和協(xié)議,使用基于網(wǎng)絡(luò)和基于主機(jī)的防火墻,使用入侵檢測(cè)和防御系統(tǒng)檢測(cè)和組織潛在攻擊,使用蜜罐和填充單元
- 惡意代碼
- 在計(jì)算機(jī)系統(tǒng)上執(zhí)行不必要、未授權(quán)的或位置活動(dòng)的腳本或者程序
- 偷渡式下載可以未經(jīng)用戶(hù)許可就將惡意軟件下載并安裝到用戶(hù)的系統(tǒng)
- 安裝惡意軟件的另一種流行方法就是使用付費(fèi)的安裝方法
- 中間人攻擊
- 當(dāng)惡意用戶(hù)能夠邏輯上獲得正在進(jìn)行通信的兩個(gè)端點(diǎn)之間的位置時(shí),中間人攻擊就會(huì)產(chǎn)生
- 通過(guò)保持系統(tǒng)最新補(bǔ)丁,能夠預(yù)防一些中間人攻擊,入侵檢測(cè)系統(tǒng)能檢測(cè)通信線(xiàn)路上的異常活動(dòng)
- 戰(zhàn)爭(zhēng)撥號(hào)
- 一種使用調(diào)制解調(diào)器搜素接受入棧連接嘗試的系統(tǒng)的行為
- 新的戰(zhàn)爭(zhēng)撥號(hào)能夠在不使用調(diào)制解調(diào)器的情況下,使用互聯(lián)網(wǎng)協(xié)議撥號(hào)
- 抵御戰(zhàn)爭(zhēng)撥號(hào)的對(duì)策包括:實(shí)施強(qiáng)大的遠(yuǎn)程訪(fǎng)問(wèn)安全,確保不存在未授權(quán)的調(diào)制解調(diào)器,使用回叫安全機(jī)制,協(xié)議約束和呼叫登入
- 破壞
- 破壞指的是員工對(duì)組織的破壞行為
- 預(yù)防破壞的措施:禁用解雇員工賬號(hào),定期審計(jì),檢測(cè)異常和未授權(quán)的活動(dòng)
- 間諜
- 一種收集專(zhuān)有的、秘密的、私人的、敏感或機(jī)密信息的惡意行為
- 嚴(yán)格控制訪(fǎng)問(wèn)所有的非公開(kāi)數(shù)據(jù),徹底篩查新的員工,并有效跟蹤員工活動(dòng)
- 拒絕服務(wù)攻擊: 能工阻止系統(tǒng)處理或相應(yīng)來(lái)自資源和客體的合法數(shù)據(jù)和請(qǐng)求,拒絕服務(wù)攻擊會(huì)導(dǎo)致系統(tǒng)崩潰、系統(tǒng)重啟、數(shù)據(jù)損壞、服務(wù)被阻斷等
17.2.3入侵檢測(cè)和防御系統(tǒng)
- 入侵檢測(cè)是一種特定形式的檢測(cè),通過(guò)監(jiān)控記錄信息和實(shí)時(shí)事件來(lái)檢測(cè)潛在時(shí)間或入侵的異常活動(dòng)
- 入侵防御系統(tǒng)有入侵檢測(cè)的所有功能,還可以采取額外的措施來(lái)組織或防止入侵
- 基于知識(shí)和基于行為的檢測(cè)
- 基于知識(shí)的入侵檢測(cè)(匹配模式檢測(cè)或基于簽名的檢測(cè)):使用入侵檢測(cè)系統(tǒng)供應(yīng)商開(kāi)發(fā)的數(shù)據(jù)庫(kù),缺點(diǎn)是僅對(duì)已知的攻擊方法有效
- 基于行為的入侵檢測(cè)(統(tǒng)計(jì)入侵檢測(cè)、異常入侵檢測(cè)、基于啟發(fā)式的檢測(cè)):基于檢測(cè)最開(kāi)始在系統(tǒng)中創(chuàng)建正常獲得和時(shí)間的基線(xiàn),基于行為的入侵檢測(cè)可以被認(rèn)為是專(zhuān)家系統(tǒng)和偽人工系統(tǒng),缺點(diǎn)是會(huì)發(fā)現(xiàn)大量的假報(bào)警
- IDS響應(yīng)
- 被動(dòng)響應(yīng): 系統(tǒng)通過(guò)電子郵件、文本、尋呼消息或彈出消息的方式將信息發(fā)送給管理員
- 主動(dòng)響應(yīng):使用集中不同的方法來(lái)修改環(huán)境,典型ed如通過(guò)修改ACL組織基于端口、協(xié)議和源地址的流量輸出
- 主機(jī)性和網(wǎng)絡(luò)型IDC
- IDC根據(jù)信息來(lái)源分類(lèi)
- 主機(jī)型IDS:監(jiān)控單個(gè)計(jì)算機(jī)上的活動(dòng),可以檢測(cè)到主機(jī)系統(tǒng)上的異常,缺點(diǎn)是費(fèi)用和相關(guān)的可用性,降低主機(jī)的性能
- 網(wǎng)絡(luò)型IDS:檢測(cè)并評(píng)估網(wǎng)絡(luò)活動(dòng)來(lái)檢測(cè)攻擊事件或異常,不能檢測(cè)加密流量的內(nèi)容,可以檢測(cè)其他數(shù)據(jù)的信息
- 優(yōu)點(diǎn):整體性能的負(fù)面影響較小
- 缺點(diǎn): 能檢測(cè)攻擊或?qū)⒁M(jìn)行的攻擊,但是不能提供有關(guān)攻擊成功的信息
- IDC根據(jù)信息來(lái)源分類(lèi)
- 入侵防御系統(tǒng)
- 入侵防御系統(tǒng)(IPS)是一種特殊類(lèi)型的主動(dòng)入侵檢測(cè)系統(tǒng),能夠在攻擊達(dá)到目標(biāo)系統(tǒng)之前檢測(cè)并阻止,所有流量都必須經(jīng)過(guò)IPS,IPS在分析后選擇將流量通過(guò)或組織,IDS只有在攻擊到達(dá)目標(biāo)之后才能檢測(cè)到,IPS可以使用基于知識(shí)或基于行為的檢測(cè)
- 理解黑暗網(wǎng)絡(luò)
- 黑暗網(wǎng)絡(luò)使用已分配的,不用IP地址網(wǎng)絡(luò)ongoin空間的一部分,包括一臺(tái)已配置為捕獲所有進(jìn)入黑暗網(wǎng)絡(luò)的流量的設(shè)備
17.2.4 特殊的防御措施
- 蜜罐/密網(wǎng):創(chuàng)建獨(dú)立的及實(shí)際作為陷阱來(lái)捕獲入侵者,目的使入侵者遠(yuǎn)離保留有機(jī)制資源的合法網(wǎng)絡(luò),同時(shí)在不破壞真實(shí)環(huán)境下觀(guān)察攻擊者的活動(dòng)
- 理解偽漏洞:故意植入系統(tǒng)中,視圖引誘攻擊者的虛假漏洞或明顯漏洞
- 理解填充單元:和蜜罐類(lèi)似,但是使用不同的方式來(lái)隔離入侵,填充單元是模擬環(huán)境
- 警告框:將基本安全策略準(zhǔn)則通知給用戶(hù)和入侵者,提示他們?cè)诰€(xiàn)活動(dòng)會(huì)被審計(jì)和監(jiān)控,并提供受限的活動(dòng)提醒
- 反惡意軟件:組織惡意代碼最重要的措施就是帶有最新簽名的反惡意軟件,
- 白名單和黑名單:可以有效組織用戶(hù)運(yùn)行未授權(quán)的 應(yīng)用程序
- 防火墻:通過(guò)過(guò)濾流量為網(wǎng)絡(luò)提供保護(hù)
- 基本防火墻:使用協(xié)議號(hào)過(guò)濾基于IP地址、端口和一些協(xié)議的流量
- 第二代防火墻:添加額外的過(guò)濾功能,應(yīng)用級(jí)網(wǎng)關(guān)防火墻基于特定應(yīng)用需求的流量,電路級(jí)防火墻過(guò)濾基于通信的流量
- 第三代防火墻(狀態(tài)監(jiān)測(cè)防火墻和動(dòng)態(tài)數(shù)據(jù)包監(jiān)測(cè)防火墻):基于狀態(tài)的流量
- 下一代防火墻:含有統(tǒng)一威脅管理裝置的功能
- 沙箱:提供一個(gè)安全邊界,組織應(yīng)用程序與其他應(yīng)用程序交互
- 第三方安全服務(wù):一些組織獎(jiǎng)安全服務(wù)外包給第三方
- 滲透測(cè)試:模仿實(shí)際攻擊,嘗試確定攻擊者會(huì)使用哪些技術(shù)繞過(guò)應(yīng)用程序、系統(tǒng)、網(wǎng)絡(luò)和組織的安全性
- 滲透測(cè)試風(fēng)險(xiǎn): 有些操作可能導(dǎo)致中斷
- 獲得滲透測(cè)試權(quán)限:經(jīng)過(guò)高級(jí)管理人仔細(xì)深意和批準(zhǔn)后才能進(jìn)行滲透測(cè)試
- 滲透測(cè)試技術(shù):組織聘請(qǐng)外部顧問(wèn)進(jìn)行滲透測(cè)試很常見(jiàn)
- 零知識(shí)團(tuán)隊(duì)黑盒測(cè)試
- 全知識(shí)團(tuán)隊(duì)白盒測(cè)試
- 部分知識(shí)會(huì)和測(cè)試
- 防護(hù)報(bào)告: 滲透測(cè)試人員提供一份記錄測(cè)試結(jié)果的報(bào)告,且該報(bào)告作為敏感信息而被保護(hù)
- 道德黑客行為:了解網(wǎng)絡(luò)安全知識(shí)并指導(dǎo)如何破解安全性,卻不利用該知識(shí)為自己謀利的人
17.3 日志、監(jiān)控和審計(jì)
17.3.1 日志和監(jiān)控
1、日志技術(shù)
- 日志記錄:將事件的信息記錄到日志文件或數(shù)據(jù)庫(kù)的過(guò)程
2、通用日志類(lèi)型:
- 安全日志:記錄一些對(duì)資源的訪(fǎng)問(wèn)
- 系統(tǒng)日志:記錄系統(tǒng)或服務(wù)的開(kāi)啟或關(guān)閉等事件
- 應(yīng)用程序日志:記錄特定應(yīng)用程序的信息
- 防火墻日志: 記錄與到達(dá)防火墻的流量相關(guān)的任何事件
- 代理日志:記錄詳細(xì)的代理功能
- 變更日志: 記錄變更請(qǐng)求,批準(zhǔn)和系統(tǒng)的實(shí)際變更
3、保護(hù)日志數(shù)據(jù)
- 中央系統(tǒng)上存儲(chǔ)日志副本是很常見(jiàn)的保護(hù)日志方法
- 對(duì)實(shí)施日志文件備份的組織有嚴(yán)格的管理策略
4、角色監(jiān)控 - 監(jiān)控功能為組織增加可問(wèn)責(zé)性、幫助調(diào)查、提供基本的故障排除方法
- 監(jiān)控和可問(wèn)責(zé)性
- 監(jiān)控能確保受監(jiān)控著可以對(duì)他們的行為和活動(dòng)負(fù)責(zé)
- 監(jiān)控和調(diào)查
- 審計(jì)跟蹤通使得調(diào)查人員在發(fā)生事件之后能夠?qū)ζ溥M(jìn)行重建
- 監(jiān)控和問(wèn)題識(shí)別
- 監(jiān)控跟蹤為管理員提供一些有用的、與事件相關(guān)的詳細(xì)信息
5、監(jiān)控技術(shù)
- 監(jiān)控跟蹤為管理員提供一些有用的、與事件相關(guān)的詳細(xì)信息
- 監(jiān)控和可問(wèn)責(zé)性
- 監(jiān)控是一種檢查信息日志并尋找具體某些細(xì)節(jié)的過(guò)程
- 日志分析是檢測(cè)過(guò)程中一種詳細(xì)且系統(tǒng)化的模式
- 手動(dòng)分析日志,管理員只需打開(kāi)日志文件
- 安全信息和事件管理
- 許多組織使用集中式應(yīng)用程序來(lái)自動(dòng)監(jiān)控網(wǎng)絡(luò)上的系統(tǒng)
- 安全信息和事件管理(SIEM)、安全事件管理(SEM)和安全信息管理(SIM)
- 審計(jì)跟蹤
- 審計(jì)跟蹤提供了系統(tǒng)活動(dòng)的記錄,并可以重建導(dǎo)致安全事件的活動(dòng)
- 抽樣
- 從大量的數(shù)據(jù)中提取元素的過(guò)程
- 閥值級(jí)別
它只選擇超過(guò)閥值平均值的時(shí)間,閥值平均值是時(shí)間的預(yù)定義閥值 - 其他監(jiān)控工具
- 擊鍵監(jiān)控: 記錄用戶(hù)在wuli鍵盤(pán)上的記錄行為
- 流量分析和趨勢(shì)分析:對(duì)數(shù)據(jù)包的流量進(jìn)行檢測(cè)
17.3.2 出口監(jiān)控
- 出口監(jiān)控是指檢測(cè)傳出去的流量、以防止數(shù)據(jù)泄露
1、數(shù)據(jù)泄露保護(hù)(DLP):能夠檢測(cè)和阻止數(shù)據(jù)邪路的企圖- 基于網(wǎng)絡(luò)的DLP:掃描所有網(wǎng)絡(luò)輸出數(shù)據(jù)以尋找具體的數(shù)據(jù)
- 基于終端的DLP:可以?huà)呙璐鎯?chǔ)在系統(tǒng)中的文件以及發(fā)送到外部設(shè)備的文件
- DLP通常具備進(jìn)入深層次檢查的能力
2、隱寫(xiě)術(shù) - 隱寫(xiě)術(shù)指的是在文件中嵌入消息
3、水印 - 水印指的是在紙上嵌入不容易感知的圖像或圖案,經(jīng)常用來(lái)防止偽造貨幣
17.3.4 審計(jì)和評(píng)估有效性
- 審計(jì)是對(duì)環(huán)境有條理的進(jìn)行檢查和審查,目的是確保符合法規(guī),還能檢測(cè)異常、未授權(quán)的事件或犯罪
- 審計(jì)人員負(fù)責(zé)測(cè)試和驗(yàn)證安全策略或法規(guī)的具體落實(shí)過(guò)程和程序
1、檢驗(yàn)審計(jì):來(lái)發(fā)現(xiàn)和糾正漏洞
2、訪(fǎng)問(wèn)審計(jì):檢測(cè)用戶(hù)權(quán)限,以及確保安全流程和程序都正常運(yùn)行
3、用戶(hù)權(quán)限審計(jì): 在用戶(hù)權(quán)限的北京下,最小特權(quán)
4、特權(quán)組審計(jì): 顯限制小組成員只有在必須時(shí)才使用它們的搞特權(quán)賬戶(hù)
5、 高級(jí)別管理組:
6、雙重管理員賬號(hào):管理員擁有兩個(gè)賬號(hào),一個(gè)日常使用,一個(gè)賬號(hào)額外特權(quán)
7、安全審計(jì)和審查:幫助組織確定正確實(shí)施安全控制,審查條目有- 補(bǔ)丁管理
- 漏洞管理
- 配置管理
- 變更管理
8、報(bào)告審計(jì)結(jié)果
9、保護(hù)審計(jì)結(jié)果:審計(jì)報(bào)告包含敏感信息,只有足夠特權(quán)的人能夠訪(fǎng)問(wèn)審計(jì)報(bào)告
10、發(fā)布審計(jì)報(bào)告
11、使用外部審計(jì)師
