互联网网络安全应急工作回顾与展望总结.pptVIP

* 国内已经发生假冒银行网站和利用DDoS攻击进行敲诈的事件，狼真的来了！ * 国内已经发生假冒银行网站和利用DDoS攻击进行敲诈的事件，狼真的来了！ * 预案 * Are there existing CSIRTs? E.g. a service of your network provider Are there existing policies? Security Policy? Acceptable Use Policy? Are there regulatory requirements? 用领导者的思路去分析安全小组的需要， * FIRST目前包括170多个成员； APCERT有15个成员； * 应急组织在全球的分布情况： * 基本模型；更多地考虑，组织整体安全管理，如人力资源管理、信息披露预案、法律诉讼等等； * Internet is many technologies, so the line is not so clear * Most people cannot break into a computer based on a vulnerability announcement only, so the majority of successful attacks occur after an exploit is published. CSIRTs have most effect on the position of the “fix implemented” arrow: encouraging your constituency to install patches promptly is the best way to reduce the number of incidents. If you can put pressure on vendors to get patches out quickly then that is also a benefit, but may be hard except for the largest teams. Note that the tail is *very* long. Incidents involving two-year-old vulnerabilities are all too common. This means that, for example, worms are likely to be extremely long-lived. * 信息要共享：漏洞、预警、监测信息等，统一的事件描述； 相互要信任：安全通信机制、相互传递用户敏感信息、WEB OF TRUST、信任机制对快速处理事件非常重要； 分析要深入：海量事件汇总、发现有用信息、事件信息关联和压缩方法等； 处理要配合：在事件处理中的协调配合非常重要，对DDoS攻击、反垃圾邮件等等； 服务要规范： 应急组织、策略和方法 一些建议 面临的基本问题 如何用合理的投入，使组织面临的整体网络安全风险降低到可以接受的程度 安全是相对的，不是绝对的 不同层面：国家、企业、个人 是否真正知道面临哪些风险？ 如何描述风险？ 安全的水平不是用投入多少来衡量？ …… 如何保障整体的安全 有明确整体的网络安全策略 适合组织需要的网络安全应急小组（至少应该有POC） 详细的规章、流程、手册，并真正得到贯彻 建立监测技术平台与应急工具库 开展应急培训、演练 网络安全知识、信息、经验积累、共享与交换 提高组织和个人网络安全意识 网络安全应急组织基础 计算机安全事件相应小组 CSIRT: Computer Security Incident Response Team 负责在确定的组织范围内，执行、协调、支持对计算机实践做出响应的小组 CNCERT/CC、CCERT… 理解组织自身的需要 为什么需要CSIRT? 组织的现状? 部门之间如何联系？负责人？ 需要说服那些关键人物? 现有的基础：内部的和外部的? 事件处理小组？安全流程?安全策略?法规?标准? 带来哪些好处，存在哪些障碍? CSIRT对整体整体目标带来哪些好处？ 商业优势、投资回报? 看看国外的情况 全球应急组织论坛 亚太应急组织 欧洲安全事件交换计划 事件处理的一般阶段 第一阶段：准备——让我们严阵以待 第二阶段：确认——对情况综合判断 第三阶段：封锁——制止事态的扩大 第四阶段：根除——彻底的补救措施 第五阶段：恢复——备份，顶上去！ 第六阶段：跟踪——还会有第二次吗 Handling the Incident 恢复 Recovery 根除 Eradication 发现 Identification 预防 Preparation