务实、高效、可信的应急响应 [曹斌].pdfVIP

务实、高效、可信的应急响应 东软 • 网络安全 曹斌 案例一：无间之道 事发 受攻击目标：某机关网站 10月22 日，机关领导在出差时上网发现自己的网站遭到入 侵，主页被替换 10月23 日下午响应开始，现场情况： 网站服务器位于DMZ区，有东软NetEye防火墙保护 服务器类型：Win2003 + IIS6 + ASP +Access 位于DMZ区的东软NetEye IDS系统在攻击前一天被安全管 理员配置成了不记录和分析TCP协议 查看审计日志发现，12月13日上午，IDS服务器日志系统数 据库被安全管理员重整 防火墙没有配置针对Web服务器的应用层防护策略 防火墙日志功能没有启用 网络管理员于攻击发现当天使用同名覆盖恢复网站 网站日志被删除 初步分析 初步分析 通过分析网站源代码，初步判断攻击方式可能为SQL 注入，攻击者利用论坛的配置缺陷，上载了asp木马程 序，进而替换了页面 可疑对象： 有内部作案的可能 安全管理员：由于对IDS的异常配置，使安全管理员 成为首要怀疑对象 网络管理员：由于恢复网站的动作之前没有做任何保 留现场的备份工作，也非常可疑 难点：没有任何可直接利用的取证机制 真相 通过恢复服务器上被删除的数据，取得了 攻击者留下的入侵证据，证实了SQL注入 的攻击方式，并取得了上载的ASP后门程 序代码，再现入侵。 根据恢复出的日志数据，定位了攻击者的 信息，为外部无关人员，基本解除了对内 部人员的怀疑。 回味 入侵本可以避免 动网论坛的代码没有分析其安全性，并进行配 置上的修补； 防火墙针的“防SQL注入”、“ 网站信息隐藏”等 有效的网站保护措施没有被启用 定位本可以更快 IDS的审计功能被关闭了，否则即使入侵者扫 除了痕迹也能够在IDS系统中留下完整的记录 防火墙的日志功能没有启用 恢复被攻击的网页前没有备份攻击现场 案例二：资源之战 某市级运营商的DDOS攻击 持续2个月的洪水攻击 1500多台Internet主机参与攻击，遍布互 联网各处，部分在海外 运营商停止营运，公安部门介入，东软提 供技术支持 通过在若干个地点的取证分析定位了策动 攻击的15台主机 进一步分析确定攻击源头，找到发起攻击 的现场，攻击发动者被拘捕，攻击停止 教训 大多数客户没有为安全事件做好准备 缺少对信息资产的全面了解 缺少必要的审计环节，使得发生的事情不 容易追踪 网络安全防护设施不健全，有些时候需要 临时部署防护设施 信息系统的日常安全性维护做得不够好 很多客户在事件处理中没有采取正确的措施 获取外部资源比较盲目，延误事件处理进 程（案例：我们处理的一个案例，在我们 到现场之前已有6家不同的公司到现场处 理过） 现场保护不利，导致一些事件的处理时很 难准确评估损失的范围，以及难以追踪攻 击来源 很多客户没有在事件之后采取必要的措施 包括信息系统的整体加固、必要的安全设 施的完善、安全管理体系的加强，以及与 应急服务商的正式沟通渠道的建立。 应急处理的独特之处 应急处理的使命 在事件发生时阻止攻击 使被攻击的系统恢复到攻击前的状态 保留证据 分析攻击的机制，制定改进的策略，防止 同样的攻击再次发生 应急处理面对的局面 每个安全事件都是独特的 人的个性化导致攻击行为的个性化 目标、角色、目的、手段、性格 为了停止攻击有时需要调动超过组织范围 的资源 应急处理的策略 资源准备 知识、技能 关于自身系统方面的知识 关于缺陷与攻击的知识 掌握攻击者