经验谈:网络安全事件响应方案
三、事件响应的具体实施
在进行事件响应之前,你应该非常明白一个道理,就是事件处理时不能违背你制定的响应目标,不能在处理过程中避重就轻。例如,本来是要尽快恢复系统运行的,你却只想着如何去追踪攻击者在何方,那么,就算你最终追查到了攻击者,但此次攻击所带来的影响却会因此而变得更加严重,这样一来,不仅不能给带来什么样成就感,反而是得不偿失的。但如果你事件响应的目标本身就是为了追查攻击者,例如网络警察,那么对如何追踪攻击者就应当是首要目标了。
事实证明,按照事先制定的处理步骤来对事件进行响应,能减少处理过程当中的杂乱无章,减少操作及判断失误而引起的处理不及时,因此,所有事件响应小组的成员,不仅要熟习整个事件响应计划,而且要特别熟练事件处理时的步骤。
总体来说,一个具体的事件响应步骤,应当包括五个部分:事件识别,事件分类,事件证据收集,网络、系统及应用程序数据恢复,以及事件处理完成后建档上报和保存。现将它们详细说明如下:
1、事件识别
在整个事件处理过程当中,这一步是非常重要的,你必需从众多的信息中,识别哪些是真正的攻击事件,哪些是正常的网络访问。
事件识别,不仅要依赖安全软件及系统所产生的各种日志中的异常记录项来做出判断,而且也与事件识别者的技术水平及经验有很大的关系。这是因为,不仅安全软件有误报和漏报的现象,而且,攻击者往往会在成功入侵后,会用一切手段来修改这些日志,以掩盖他的行踪,让你无法从日志中得到某些重要的信息。这时,一个有着丰富经验的事件识别者,就可以通过对网络及系统中某种现象的判断,来决定是否已经受到了攻击。
有了可靠的日志,再加上在受到了攻击时会出现各种异常现象,我们就可以通过分析这些日志文件中的记录项,以及对各种现象的判断来确定是否受到了真正的攻击。因此,如果日志中出现了下面列出项中的记录,或网络和主机系统出现了下面列出项中的现象,就一定表明你所监控的网络或主机已经或正在面临着某种类别的攻击:
(1)、日志文件中记录有异常的没有登录成功的审计事件;
(2)、日志文件中有成功登录的不明账号记录;
(3)、日志文件中存在有异常的修改某些特殊文件的记录;
(4)、日志文件中存在有某段时间来自网络的不正常扫描记录;
(5)、日志文件中存在有在某段时间启动的不明服务进程的记录;
(6)、日志文件中存在有特殊用户权限被修改或添加了不明用户账号的记录;
(7)、日志文件中存在有添加了某种不明文件的记录;
(8)、日志文件中存在有不明软件主动向外连接的记录;
(9)、查看日志文件属性时,时间戳不对,或者日志文件大小与你的记录不相符;
(10)、查看日志文件内容时,发现日志文件中的某个时间段不存在或被修改;
(11)、发现系统反应速度变慢,或在某个时间段突然变慢,但已经排除了系统硬件性能影响的原因;
(12)、发现系统中安全软件被停止,正常服务被停止;
(13)、发现网站网页被篡改或被删除替换;
(14)、发现系统变得不稳定,突然死机,系统资源占用过大,不断重启;
(15)、发现网络流量突然增大,查看发现对外打开了不明端口;
(16)、发现网卡被设为混杂模式;
(17)、某些正常服务不能够被访问等等。
能够用来做出判断异常记录和异常现象还有很多,笔者就不在这里全部列出了。这要求事件响应人员应当不断学习,努力提高自身的技术水平,不断增加识别异常现象的经验,然后形成一种适合自己的判断方法后,再加上日志分析工具以及安全监控软件的帮助,就不难在这些日志记录项和现象中找出真正的攻击事件来。
到目前为止,通过分析各种日志文件来识别事件性质,依然是最主要的方法之一。你可以重新设置这些安全软件的日志输出格式,使它们容易被理解;你也可以重新详细设置安全软件的过滤规则,减少它们的误报和漏报,增加可识别强度;你还可以使用一些专业的日志文件分析工具,例如OSSEC HIDS,来加快分析大体积日志文件的速度,提高识别率,同时也会减轻你的负担。至于担心日志会被攻击者删除或修改,你可以将所有的日志文件都保存到受防火墙保护的存储系统之中,来减少这种风险。总之,为了能从日志文件中得到我们想要的信息,就应该想法使日志文件以我们需要的方式来工作。
所有这些,都得要求事件响应人员在平时经常检查网络及系统的运行情况,不断分析日志文件中的记录,查看各种网络或系统异常现象,以便能及时真正的攻击事件做出正确的判断。另外,你应当在平时在对网络系统中的某些对象进行操作时,应当详细记录下你所操作过的所有对象的内容及操作时间,以便在识别时有一个判断的依据。在工作当中,经常用笔记录下这些操作是一个事件响应人员应当养成的好习惯。
当发现了上述出现的异常记录或异常现象,就说明攻击事件已经发生了,因而就可以立即进入到下一个环节当中,即对出现的攻击事件的严重程度进行分类。
