网络安全 频道

专家:火速救援之正确识别系统入侵事件

  系统被入侵是一件非常严重的事情,要想在系统入侵后能够成功阻止攻击者进一步的入侵行为,以及能够尽快恢复系统到正常状态,这就要求我们能够及时正确地识别出系统入侵事件的发生。

  为此,我们必需事先采取一些必要的措施,来帮助我们及时做出正确的判断。这些必要措施包括使用相应的工具和方法来发现和记录系统入侵行为,以及使用相应的工具或方法来及时识别系统入侵事件的真假,并对系统入侵事件的严重程度做出正确的判断。

  一、完成有利于发现和记录系统入侵行为、加快系统恢复的安全设置

  1、开启操作系统自有的审核功能

  对于Windows 系统,我们可以通过在“开始”—“运行”框中输入“gpedit.msc”命令来启动组策略编辑器。在组策略编辑器中打开“计算机配置”—“windows设置”—“安全设置”—“本地策略”—“审核策略”,然后开启审核成功的登录事件、审核成功的对象访问、审核成功的特殊使用,还可以开启审核成功的帐户登录事件和成功的帐户管理事件。开启这些系统审核功能后,通过按时查看这些审核功能产生的日志,可以了解系统中是否存在非授权的帐户登录事件,以及这些帐户对系统中哪些对象进行了什么样的操作等信息,也就可以了解系统是否已经被入侵或发生了入侵行为。

  2、在系统中安装防火墙

  现在,一些主流的主机型防火墙能够防止大部分的网络攻击行为,同时会将攻击行为记录到相应的日志文件当中,并且,有些防火墙还会将每天的网络连接活动全部记录到相应的日志文件中。我们可以通过定期查看这些防火墙日志文件,来了解某个时期系统受到了什么样的网络攻击,以及查看某个时期的网络连接情况是否异常,来确定是否发生了系统入侵事件。

  3、在系统中安装入侵检测系统(IDS)

  基于主机的入侵检测系统(IDS),例如SNORT,能够对进入本机的所有网络流量进行检测,然后与自身的攻击特征库进行对比,当检测到恶意的网络流量或攻击活动时,就会按设定的方式发出警报,并将这些内容记录到相应的日志文件当中。我们在通过IDS的警报发现系统入侵事件的同时,还应当分析此警报产生的日志文件内容来确定这个警报是否是真实的系统入侵事件,以及入侵事件的严重程度。以减少IDS误报带来的错误事件响应,以及正确了解系统入侵事件的严重程度,为后续的系统恢复工作确定正确的恢复方法,以便能及时快速地恢复系统。

  而且,通过分析IDS的日志文件,可以找到攻击者的入侵攻击途径,以及攻击者进行的攻击行为,由此可以让我们了解系统被入侵的主要原因是什么,以便能在恢复系统后及时修补这些带来系统入侵行为的漏洞,防止这类入侵事件的发生。

  4、在系统中安装系统监控和网络监控软件

  在系统中安装系统监控件,能够让我们实时了解到系统中正在运行的服务和进程的状况,以便能及时发现系统中的异常服务或系统进程,并确认是否是攻击者入侵系统后安装的后门程序。同样,在系统中安装网络监控软件,也就是用来了解与系统中实时的网络连接状况,以便能及时发现异常的网络连接和打开的端口。对于普通用户来说,雪源梅香认为使用360安全卫士“常用”页中的“系统全面诊断”可以了解到当前系统中运行的服务、进程和加载的模块,通过其“高级”页中的“网络连接状况”就可以完成监控当前网络连接状态的任务。

  5、将所有日志文件保存到其它存储设备上

  现在,大多数的攻击者在入侵系统之后,在离开系统时都会使用软件或命令修改系统、防火墙和IDS等日志文件中的内容,有的甚至会将这些日志文件全部删除,以防止有户发现他们的行踪。因此,为了保证我们能从这些日志文件中得到可靠的信息,就必需将它们同步保存到有硬件防火墙保护的专门的存储设备中。同时,要设置这些备份的日志文件只能以只读的方式打开,并且不能被复制、修改和删除。

  另外,如果日志文件体积比较大,可以在同步备份的同时进行压缩。同样,由于日志文件的内容太多,通过手工的查找的方式很难找到必要的信息,因此,我们可以通过一些自动化日志分析软件,按设定的时间定期对日志文件进行分析,以便能及时发现系统入侵事件。

  6、对系统和系统中的重要服务及数据进行备份

  通常,中小企业由于成本控制的需要,不可能建立一套与现行系统相似的冗余系统,而系统和数据备份是恢复被入侵系统和数据到某个特定时期非常好的、最快的方式,也是减少损失最好的方法。因此,我们必需对系统和系统中的重要数据建立相应的备份。

  对于系统或系统中不经常改变状态或数据的内容,可以建立一个完全备份,对于每天都会更改的数据,在建立完全备份的同时,还应当进行每日的增量备份。如果完全备份的对象某个时候发现改变,例如安装了新软件,重新设置了系统安全选项,更新了系统或软件补丁包,就应当对这些内容重新做一次完全备份,新的完全备份应当与旧的完全备份分开存储。

  至于备份存储的媒介,可以是同一网络中的处于防火墙保护下的网络存储设备,也可以将固定不变的完全备份刻录到光盘中和磁带中,将增量备份记录到磁带或其它质量可靠的移存储媒介中,还可以对最重要的数据进行异地备份,或将磁带和光盘保存到另一个地方,以防止自然灾害和人为的丢失和损坏备份。无论备份保存在什么媒介上,存放在什么位置,都应当按日期和内容进行编号分开存储,并且,还应当定期对备份进行检查,以确保在需要时保证这些备份是可用的。

  但是,如果当我们发现系统被入侵时,系统已经被黑客控制了相当长的一段时间,那么,在这段时间内产生的系统或数据的全盘备份,就有可能包括了攻击者对系统和数据做的修改,也就不能再被信任。这样系统或数据就不可能恢复到最近的时期,势必就会带来相应的损失,这也就是为什么要及时发现系统被入侵的主要原因之一。

  7、准备一些必要的工具。

  在对计算机进行系统入侵阻止和恢复的过程中,为了提高事件处理的速度和效率,还可能会使用到其它的第三方软件,例如文件完整性检测软件,弱点检测软件等等,我们应当根据自身的实际需求,来准备这些软件,并将它们保存到移动存储设备上妥善保管,以便在发现系统入侵事件后能够立即使用。

0
相关文章