07安全事件应急响应及分析.pptx

安全事件应急响应及分析;目 录;1）安全事件响应概述 及流程介绍;什么是突发事件 中断正常运作的程序并使系统突然陷入某种级别危机的事件。 计算机入侵，拒绝服务攻击，信息泄露等。 什么是应急响应 信息安全应急响应是对危机信息安全的事件做出及时、准确的响应处理，综合利用检测、抑制、根除、恢复等手段，杜绝危害的进一步蔓延扩大，保证系统能够提供正常服务。 ;漏洞发布到攻击出现的时间越来越短 Witty蠕虫事件、MS08-067 花样翻新，防不胜防 尼姆达蠕虫：通过email、共享网络资源、IIS服务器传播 变种速度令人惊叹 黑客：从单打独斗到“精诚”合作 Botnet 攻击程序日益自动化、并唾手可得 ;确认与排除突发事件是否发生 收集与突发事件有关的信息 提供有价值的报告和建议 使损失最小化 支持民事或刑事诉讼 保护由法律或者正常规定的隐私权;第一阶段：准备——让我们严阵以待 第二阶段：确认——对情况综合判断 第三阶段：封锁——制止事态的扩大 第四阶段：根除——彻底的补救措施 第五阶段：恢复——备份，顶上去！ 第六阶段：跟踪——还会有第二次吗 ; ;预防为主 帮助服务对象建立安全政策 帮助服务对象按照安全政策配置安全设备和软件 扫描，风险分析，打补丁 如有条件且得到许可，建立监控设施 ; ;确定事件的责任人 指定一个责任人全权处理此事件 给予必要的资源 确定事件的性质 误会？玩笑？还是恶意的攻击/入侵？ 影响的严重程度 预计采用什么样的专用资源来修复？ ;即时采取的行动 防止进一步的损失，确定后果 确定适当的封锁方法 咨询安全策略 确定进一步操作的风险 损失最小化 可列出若干选项，讲明各自的风险，由服务对象选择 ;长期的补救措施 确定原因，定义征兆 分析漏洞 加强防范 修复隐患 修改安全策略 ;被攻击的系统由备份来恢复 作一个新的备份 把所有安全上的变更作备份 服务重新上线 持续监控 ;关注系统恢复以后的安全状况，特别是曾经出问题的地方 建立跟踪文档，规范记录跟踪结果 追踪来源，建立基线库 调查取证;外部原因 攻击类型 拒绝服务：SYN-flood、UDP-flood、cc DNS欺骗：DNS poison ARP欺骗： arp病毒 问题分析 抓包分析：wireshark 简单命令：nslookup、arp 解决办法 封攻击者IP;内部原因 攻击类型 系统被入侵，入侵者已获取部分权限或已完全控制系统。 问题分析 系统或应用程序存在漏洞 解决办法 恢复系统 查找原因 清除后门 修补漏洞;2） 网络流量异常事件 响应与分析;网络流量异常事件;3）网站篡改事件响应与分析;网站页面篡改案例;篡改事件处置流程;篡改事件分析过程;审核日志： 系统日志 应用日志 安全性日志 Web日志 FTP日志 数据库日志 查看攻击者遗留痕迹 分析入侵原因并弥补漏洞 ;分析网站系统日志，一般IIS日志和Apache日志等均有web访问详细记录，若日志在系统中已被删除，应通过日志服务器或者日志审计系统查看日志。日志分析有以下方式： 分析安全事件发生时间段内的日志信息，查看是否有异常访问（如网站扫描日志、上传页面日志、管理员登陆页面访问日志等） 以遭篡改或者挂暗链的页面名称为关键字，搜索日志内容，判断是否存在管理员IP之外的访问地址。若存在，则应以此地址为关键字做进一步分析，判断攻击者的攻击方式和路径。 若网站已被上传木马，则查看日志中对该木马的访问记录，进而根据此木马来源IP地址为关键字做进一步分析。 ;WEB日志 IIS日志在%systemroot%\system32\logfiles下相应子目录中 ;WEB日志格式 日期和时间 默认采用格林威治时间，比北京时间晚8小时 客户端地址 服务器地址 服务器端口 方法（GET、POST、PUT、DELETE等） URI资源 协议状态 请求成功，200-299 临时资源，300-307 请求错误，400-499 服务器端内部错误，500-599 ;WEB日志(SQL注入示例) 2009-10-13 15:16:42 27 GET /list.asp id=19%20and%20user0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]将_nvarchar_值_article_user_转换为数据类型为_int_的列时发生语法错误。 80 - 4 Mozilla/4.0+ ;WEB日志(路径扫描示例) 2009-10-13 15:20:44 27 GET /admin_main.asp - 80 - 4 Mozilla/4.0 404 0 2 2009-10-13 15:20:44 27 GET /admintab.as