图1:安全事件响应生命周期
1、准备
安全事件响应方法学通常都要强调准备工作,不仅要建立一个安全事件响应能力,使组织能够从容响应安全事件,而且要通过确保系统、网络及应用足够安全来预防安全事件。虽然预防安全事件一般不属于安全事件响应小组的职责,但是因为它太重要了,以至于现在它已经被认为是安全事件响应小组的基础组件工作。在提出系统安全保护建议时,安全事件响应小组的专长是非常有价值的。本节将针对安全事件处理及预防的准备工作提供指导。
1.1 准备处理安全事件
表1列出了在安全事件处理过程中一些有价值的工具和资源。可以看到对安全事件分析有用的具体软件信息以及一些包含对安全事件响应有帮助的信息的网站清单。
表1安全事件处理人员所需工具和资源
| 工具/资源 |
安全事件处理人员通信及设施 | |
| 联系信息 用于小组成员及组织内部和外部的其它人员(包括主要联系人和后备人员),比如执法机构和其它安全事件响应小组;这些信息可能包括电话号码、电子邮件地址、公钥(按照下面将要提到的加密软件)、以及验证联系人身份的指令 |
| 待命信息 用于组织内其它小组,包括问题升级信息 |
| 安全事件报告机制 比如电话号码、邮件地址和是网上表格,用户可以用它们来报告可以事件;至少要有一种方法允许用户可以用匿名方式报告事件 |
| 传呼机或移动电话 小组成员要随身携带的通信工具,保证成员在非工作时间也能联系得到。 |
| 加密软件 被用于小组成员之间在组织内部、以及和外部机构之间的通信,必须采用经过FIPS 140-2验证过的加密算法 |
| 作战指挥室 用于集中式通信和协调;如果不需要永久性的作战指挥室,安全事件响应小组应该制定一个流程用来在需要时获得一个临时的作战指挥室。 |
| 安全存储设施 用于保护证据和其它敏感信息 |
| 安全事件分析硬件和软件 | ||
|
| 笔记本计算机 由于这种计算机便于携带,可用于数据分析、监听数据包及编写报告 |
| 备用工作站、服务器及网络设备 这些设备可应用于许多用途,比如用备份来恢复系统、测试恶意代码;如果小组难以判断额外设备的费用,可以使用现有的实验设备,或者用操作系统仿真软件来建立虚拟实验室 | |
| 空白介质 比如软盘、只读CD和只读DVD | |
| 便携式打印机 用于从非网络连接系统中打印日志文件和其它证据副本。 | |
| 数据包监听和协议分析器 捕获并分析可能包含有事件证据的网络流量 | |
| 计算机取证软件 用于分析磁盘映象,查找安全事件证据 | |
| 软盘和光盘存放有程序可靠版本的软盘和光盘,可用它们从系统中收集证据 | |
| 证据收集辅助设备 通过包括笔记本计算机、数字像机、录音机、证据存放袋和标签、证据磁带等来保护证据,以备可能发生的法律 | |
| 安全事件分析资源 | |
| 端口列表 包括常用端口和特洛伊木马端口 |
| 文档 包括操作系统、应用、协议、入侵检测特征码、病毒特征码的文档。 |
| 网络拓扑图和关键资产清单 比如WEB服务器、邮件服务器、FTP服务器。 |
| 工具/资源 |
| 基线 预期网络、系统和应用的行为的基线。 |
| 关键文件的加密hash 提高安全事件的分析、验证和消除速度 |
安全事件减缓软件 | |
| 介质 包括操作系统引导盘和CD、操作系统介质及应用介质 |
| 安全补丁 来自操作系统和应用厂商 |
| 备份映像 存储在二级介质上的操作系统、应用和数据。 |
许多安全事件响应小组都创建了一个简便工具箱(jump kit),一般是一个轻便的袋子或箱子,里面装有安全事件处理人员在异地调查时可能需要的东西。这种工具箱随时可用,这样在发生严重事件时,安全事件处理人员可以拿起来就走,工具箱中配备了很多表1中所列出的东西。比如每个工具箱中一般都有一台笔记本计算机并安装了适当的软件(如包监听和计算机取证等)。其它重要材料包括备份设备、空白介质、基本网络设备和线缆以及操作系统和应用介质和补丁。因为这种工具箱主要是为了工作方便,所以工具箱中的东西一般不要外借,还要注意保证工具箱中工具得到不断升级和更新(比如笔记本计算机要经常安装新的安全补丁,更新操作系统介质)。组织要在创建和维护一个工具箱的费用和因为更有效和高效地限制安全事件的收益之间取得平衡。
1.2预防安全事件
将安全事件发生次数保持在一个合理的数量之下是非常重要的。如果安全控制措施不充分,就可能发生大量安全事件,超出安全事件响应小组的能力,这将使安全事件响应迟缓和响应不完全,从而对组织造成更大的负面业务影响(比如导致更大的破坏、或导致更长时间的服务或数据中断)。一个改善组织的安全生态并预防安全事件的合理方法是定期对系统和应用进行风险评估。这些评估应该确定威胁和弱点合在一起会带来什么样的风险。应该将风险进行优先级排序,风险可以被减缓、转移或直到达到一个合理的总体风险级别时接受它。采纳或至少检查相同组织(认真负责的)的控制策略可以提供合理的信心保证,即别人的哪些工作应该用在本组织里。
经常性地进行风险评估另外一个好处就是确定关键资源,使人们可以重点对其进行监视和响应。组织不能以认为某些资源不重要为借口来忽视其安全性,因为组织安全水平和其最薄弱环节一样。需要注意是,无论风险评估多么有效,它反映的也只是当前的风险而已。由于新的威胁和弱点层出不穷,所以计算机安全是一个持续的、要求工作有效的过程。
就保护网络、系统及应用提出具体建议超出了本文档的讨论范围。尽管安全事件响应小组一般不负责保护资源,但它可以提出合理的安全实践。其它一些文档中在总体安全概念中、操作系统和具体应用指南方面给出了一些建议。下面对网络、系统和应用方面的一些主要建议实践进行简要介绍:
补丁管理 许多信息安全专家都同意很大部分安全事件是因为利用了系统和应用中数量相对较少的弱点所致。大型组织应该落实补丁管理项目来协助系统管理员确定、获得、测试并采用补丁。
主机安全 所有主机都应该被适当加固。除了保证对主机打上正确的补丁外,还应该对主机进行配置,只允许对适当的用户和主机开放尽可能少的服务,即最小特权原则。对于那些不安全的缺省配置(比如缺省口令、不安全的共享)进行重置。当用户试图通过访问受保护资源时,要显示一个警告横幅。主机应该打开审计功能,并记录与安全相关的重大事件。很多组织使用操作系统和应用配置指南来帮助管理员一致且有效地保护主机。
网络安全 应该对网络边界进行配置,对那些不是明确允许的流量加以拒绝。只有那些正确功能所必须的活动才被允许。这包括保护所有的连接点,比如调制解调器、VPN及到其它组织的专线连接。
恶意代码预防 应该在整个组织内采用能检测和阻止恶意代码(如病毒、蠕虫和特洛伊木马)的软件。应该在主机级(如服务器和工作站操作系统)、应用服务器级(如邮件服务器、WEB代理)和应用客户级(如邮件客户端和即时通信客户端)落实恶意代码保护。
用户意识和培训 用户应该了解正常使用网络、系统和应用的政策和流程,从以前安全事件中汲取的经验教训应该和用户共享,这样他们可以看到他们的行为是如何对组织产生影响的。提高用户对安全事件的意识应该可以减少安全事件的频率,尤其是那些恶意代码和违反安全政策的事件。应该培训IT人员,使他们能够根据本组织的安全标准来维护网络、系统和应用。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
