事件响应是指网络安全系统对安全事件的自动响应和基于人工的应急响应。传闻中有个说法,美国颇有名气的前黑客凯文•米特尼克侵入一个系统所需的时间是17s钟。若此说属实,留给入侵检测和响应的时间实在不多。 事件响应包括由网络安全工具实现的自动响应和由安全事件应急响应人员实施的人工响应两种方式。目前在使用的事件响应方法大体上分为报警、阻塞、阻断或切断连接、引入陷阱进行分析、取证、反击、恢复和人工处理,具体描述如下。 一、网络安全工具的自动响应 1.报警是最基本,也是最常用的自动响应方式 当入侵行为被确认之后,响应系统可以通过声音、图像、电子邮件、电传、寻呼机等方式向系统管理人员示警(在本体系中,由管理平台实现预警功能)。这是种纯被动和最保守的方式。 2.阻塞、阻断或切断连接 指响应系统通过防火墙、路由器或IDS切断入侵者与系统的联系,因为这种响应方式有一定的风险,特别是入侵者可能欺骗入侵检测系统去切断一个合法的连接,所以,这种响应一般只适用于攻击威胁的紧急程度很高且判断很有把握的情况下。 3.引入陷阱进行进一步研究 这是一种较为理想的响应方式,可以对黑客攻击行为进行进一步分析,也不会因误报而影响正常用户的访问请求,但这种响应方式只适用于攻击行为危害的紧急程度不是很高的情况下,且如何引入陷阱也是一个需要解决的关键问题。 4.取证 这种响应方式是一种常用的方式,可以对攻击事件进行取证记录,分析攻击行为的过程和来源,必要时作为使用法律手段的一种配合,但这种响应方式一般要和其他几种响应方式配合使用(并不能直接中断攻击行为,而只是记录和保护证据的一种响应手段)。 5.反击 这种响应方法是指被侵入系统采取主动手段对黑客使用的系统实施反侦察,在极端的情况下甚至可能实施反攻击。目前业内绝大多数人都不主张使用反攻击的响应方式。因为这种响应方式太激烈,在入侵检测系统虚警率高居不下的今天更易造成不必要的麻烦(因误报而造成攻击了不该攻击的系统或攻击了被黑客利用的系统),所以这种响应方式很少使用,那些保守一点的响应方法才是比较现实的响应方式。 6.恢复 这种响应方式是在黑客攻击行为造成被保护系统的数据破坏或更改的情况下进行的,这需要有对应的文件抗毁系统来实现自动恢复功能,若没有抗毁系统的支持,则需要采用人工响应方式来实现。 二、网络安全事件的人工响应 人工响应是最后一种响应方式,一般是在攻击行为造成攻击后果时进行的一种响应方式,包括修复、调查取证、审计分析、扫描评估、事件处理等,这需要建立一支应急响应队伍或使用安全服务外包的方式建立应急响应机构,实现人工响应。 一旦有严重的网络漏洞出现,或者有威胁到网络正常运行的安全问题发生,安全事件响应小组值班工程师除将在一线紧急排险以外,还将立刻通知安全事件响应小组负责人,由负责人组织人手增援,CERT成员及时增援来协助分析问题,找出原因,采取对策,以在最短的时间内排除险情,保证网络的正常工作。响应流程如图3-6所示。 具体处理方法可参考如下说明进行: 1.管理员误操作造成的问题 若是由误关机造成,则重新启动机器,并将需要的服务启动即可;若因文件的更改及删除造成,则应做到系统的配置文件有备份,能够及时地恢复原始文件;若因服务的停止造成,则重新将相应的服务启动即可。 2.硬件故障造成的问题 如果由于硬件的损坏造成服务的停止,应该及时检查出现故障的硬件,并及时和硬件供应商取得联系,更换损坏的硬件;将损坏的服务器上的服务移到备份机上,做到服务的不间断;等到硬件故障排除后,再将服务重新起来。 3.电源系统造成的问题 违反网络安全规程,造成事故:首先,将故障排除,把因为服务停止所造成的损失和影响降到最低;查明事故发生的原因,明确事故的责任;将事故的起因、造成的后果详细记录在案,做成报告,交双方负责人备案存档;吸取经验教训,引以为戒,让大家知道必须严格遵守安全规程的要求。 4.应用程序设计漏洞造成的事故 一旦发现应用程序的设计上有漏洞,造成安全隐患的,因及时和应用程序供应商联系,通报所发现的安全漏洞;一起研究解决对策,找出堵住漏洞的方法,将安全隐患降低到最低;如果一时难以解决,应考虑停止使用该应用程序,或找其他应用程序供应商的相应产品替代;对已改进的程序或其他替代的程序进行稳定性,可靠性的测试,以确定是否符合系统的安全要求。 5.黑客攻击造成网络和系统故障 将所有受攻击时的原始记录保存下来,以备以后的查询。包括系统的日志文件,入侵检测系统所记录的日志文件,被篡改的系统文件等;通过备份恢复被破坏的系统,同时将被停止的服务重新起来,将损失及影响降到最低;研究所有的记录,发现黑客的入侵痕迹及入侵方法,找出出现漏洞的地方,及时进行修补。
|