计算机安全事件处理指南（三）：限制、消除和恢复[译文?]

 

 

1、选择限制策略

 

    在安全事件被检测并分析完毕后，要在它超出控制或造成更大的破坏之前就对它加以限制。对大多数的安全事件都要加以限制，所以每次安全事件处理过程中要尽早考虑到这一点。限制的一个必要环节就是作出决定（比如关机、从有线或无线网络中断接、断开modem线、禁用某些功能）。如果已经预先确定了安全事件限制策略和流程，做出决定就容易的多组织应该在安全事件处理中定义什么样的风险是可接受的，并据此制定策略。

 

    限制策略随安全事件类型不同而不同。比如，针对邮件病毒感染事件的限制策略和针对基于网络的分布式拒绝服务的限制策略就很不一样。强烈建议组织要针对各个主要安全事件类型制定单独的限制策略。相关标准应该被明确记录下来，以便方便快速有效地作出决定。确定适当策略的标准有：

 

    ●资源的潜在破坏和失窃

 

    ●证据的保存需求

 

    ●服务的可用性（比如网络连接、对外提供的服务）

 

    ●执行策略所需的资源和时间

 

    ●策略的有效性（如部分限制了安全事件、完全限制了安全事件）

 

    ●解决方案的持续时间（比如紧急工作区需要在4小时内拆除、临时工作区需要在2周内拆除、永久的）

 

    某些情况下，有些组织可能会推迟对安全事件进行限制以便对攻击行为加以监视，往往来收集更多的证据。安全事件响应小组必须先同法律部门协商，以确定这种推延是否可行。如果组织在察觉到系统被破坏后，还允许这种破坏行为继续进行，那么它要对攻击者利用已被破坏的系统来攻击其它行动的后果承担责任。这种推延限制策略是非常危险的，因为攻击者可能提高未经授权的访问级别或很快去破坏其它系统。只有经验丰富的安全事件响应小组在能够监视所有的攻击行为并能迅速切断攻击者的连接的前提下才能试用这一策略。即便如此，推延限制的好处往往够不上它所带来的风险。

 

    与限制相关的另一个潜在问题是有些攻击在被限制时可能会带来其它破坏。比如一个被破坏的主机可能运行一个恶意进程，定期ping另一个主机，当安全事件处理人员为了限制安全事件而切断该主机与网络的连接时，以后的ping将无法发挥作用，结果该恶意进程可能将所有数据写到主机的硬盘中。安全事件处理人员不应该假定仅仅因为主机从网络中断接了，就防止了对主机的进一步破坏。

 

2、证据收集和处理

 

    尽管在安全事件中收集证据的主要理由是解决安全事件，但是这还需要法律行动。这些情况下，要明确记录所有证据，包括被破坏系统是如何得到保留的。应该按照一定的流程来收集证据，这些流程要符合所有适用法律和条例，并根据和法律人员或适当的执法机构的讨论结果制定出来，这样才能在法庭上被采纳。此外，对证据要随时给以说明，当证据从一个人交到另一人手上时，应该在保管链表上对交接要详加说明并要有各方的签名。要为所有证据保留一份详细的日志，包括如下内容：

 

    ●识别信息（比如位置、序列号、型号、主机名介质访问控制地址以及主机的IP地址）

 

    ●在调查中每个参与收集或处理证据的人员姓名、职称和电话号码
    
    ●每次处理证据的时间和日期（包括时区）

 

    ●证据的存放位置

 

    从计算资源中收集证据有很大困难。通常人们倾向于一旦怀疑发生了安全事件时，就从相关系统中寻找证据。许多安全事件都会引发一系列的动态事件；初始系统快照对找出问题及其来源比起这一阶段可以采取的大多数其它行动帮助更大。从证据的角度看，获得系统快照比事后让安全事件处理人员、系统管理员及其它人员在调查中漫不经心地提供机器状态要好的多。用户和系统管理员应该知道保留证据应该采取的步骤。

 

    在从受影响主机上复制文件之前，人们经常想捕获那些在文件系统和映像备份中没有记录的易失信息，比如当前的网络连接、进程、登录会话、打开文件、网络接口配置及内存内容。这些数据可能会保留攻击者的身份或其所用到的攻击方法等线索。记录本地时间与实际时间的偏差也很有用。但是，在从运行系统中获取信息也伴随着风险，因为对主机本身的任何操作都可能会在一定程度上改变机器状态。而且，攻击者当时可能正在系统中并注意到处理人员的活动，这可能会造成灾难性的结果。

 

    一个训练有素，心思缜密的安全事件处理人员通常都使用尽量少的命令，在不改变“犯罪现场”的情况下来获取尽可能多的证据和信息。因为，即使是误用了任何一个命令都有可能导致证据永远的被破坏；比如只是简单的用命令来显示一个目录内的文件就会把日志中最后一次访问的文件的记录改变。而且，在出安全事件主机上执行命令会改变或是覆盖一些重要的信息或是造成其它额外的破坏。所以，安全事件处理人员应该用配置写入保护的安全的系统启动磁盘或光盘，在保证主机系统不被改变的情况下执行一些必要的命令。安全事件处理人员还可以使用一些防止改变主机系统信息的软件来对此进行进一步的防护。

 

    受过良好培训的并且心细的安全事件处理人员应该能够只使用获得动态证据所必须的命令，而不会因为疏忽而改动其它证据。一个选择不好的命令可能导致证据不可恢复的破坏。比如仅仅显示一下目录内容可能改变每个列出文件的最近访问时间。而且在受影响主机上运行命令是很危险的，因为它们可能已经被改动或替换（比如特洛伊木马、根工具件）而隐藏信息或导致其它破坏。安全事件处理人员应该使用有写保护的软盘或光盘来存放可信命令及所有相关文件，从而可以在无需使用受影响主机上的命令前提下运行所有必需的命令。安全事件处理人员可以使用写阻止程序防止主机写自己的硬盘。

 

    在获得易失性数据后，受过计算机取证培训的安全事件处理人员应该立即将全盘映像到一个干净的写保护或一次性写介质上。磁盘映像在磁盘上保存了全部数据，包括被删除文件和文件碎片。如果可能需要用于诉讼或内部惩处行动，事件处理人员应该至少做两个全盘映像，适当打上标签，并安全存放其中之一只作为证据用。（所有证据，不仅仅限于磁盘映像，都应该被作上标记并存放在安全位置）。有时侯，处理人员可能要求并取得原始磁盘作为证据，那么另一个映像就可作为系统恢复的一部分被重新恢复到另一张磁盘上。

 

    对计算机取证来说，获得磁盘映像要比标准的文件系统备份重要的多，因为它记录了更多的数据。映像之所以好的另一个原因是因为在映像上进行分析工作要比在原件上操作更为安全，分析可能因为疏忽而改变或破坏原件。如果卸载系统带来的业务影响超过了保持系统继续运行的风险，有可能就不做磁盘映像了。标准的文件系统备份可以从现有的获取足够的信息，这些信息可能足以用来处理很多安全事件，尤其是那些不希望引起诉讼的安全事件。无论是否要起诉攻击者，磁盘映像和文件系统备份都非常有价值，因为它们都允许对目标进行重装，而调查还可以采用映像或备份来继续。

 

    计算机犯罪取证软件的价值不仅在于它可以对磁盘进行映像，而且它还可以自动进行很多分析过程，比如：

 

    ●识别并从任何位置恢复文件碎片、隐藏或被删除的文件和文件夹（比如已用空间、未用空间、间隙空间）

 

    ●对文件结构、头及其它特征加以检查，以确定每个文件所包含的数据类型，而不是根据文件扩展名（如.doc、.jpg、.mp3等）

 

    ●显示图形文件的内容

 

    ●进行复杂的搜索

 

    ●用图形化的方式显示驱动器的目录结构

 

    ●生成报表

 

    在证据获取过程中，从其它资源获取支持性日志文件的副本时常常要谨慎，如防火墙日志显示出攻击者用到了什么样的IP地址。对于硬盘或其它介质，应该将日志复制到干净的可以写保护的或一些性写介质上。应该将一份日志副本保存为证据，而另一个副本可以恢复到另一个系统上作进一步分析。很多安全事件处理人员还会为日志文件和其它数字证据创建一个消息摘要。这是指为文件生成一个加密校验和。如果该文件被修改并且校验和被重新计算，那么校验和不太可能不变。消息摘要应该用经过FIPS 140-2和FIPS 180-2验证过的软件和消息摘要算法来生成，（消息摘要对其它计算机取证也非常有用，比如当获得介质时，处理人员能够生成原始介质的校验和及副本，以表明在映像过程中完整性得到保持）。安全事件处理人员还应该记录每个日志主机上的本地时钟及其与实际时间的偏差（如果有的话）。

 

    为了有助于对安全事件进行分析，处理人员可能希望重复安全事件没有被适当记录的一个方面，比如，某个用户访问过一个恶意WEB站点，而使工作站遭到破坏。工作站上没有任何关于该攻击的记录。处理人员可能会配置另一台工作站来访问同一WEB站点，并用包侦听和基于主机的安全软件对其活动进行记录和分析，通过这一活动来确定到底发生了什么事。在重复这种攻击的时候，处理人员应该要非常小心，从而不要引发另一个安全事件。

 

    另一种重现安全事件的例子是发生在当一个内网用户被怀疑下载了不适当的文件时。如果防火墙对其访问的FTP服务器进行了记录，那么安全事件处理人员就可能会登录该FTP服务器来看看该服务器上到底提供什么类型的东西，并确定该用户工作站上的文件名是否与FTP服务器能对应起来。处理人员应该只考虑对外部服务的访问，如果它们对公众是开放的（比如允许匿名登录的FTP服务器）。尽管通过对网络流量进行监视以确定用户用到什么样的FTP帐号和口令可能是可以接受的，但是通过重用这些信息来访问FTP服务器往往是不可接受的。

 

3、确定攻击者

 

    在安全事件处理期间，系统拥有者和其它人一般都想知道攻击者是谁。尽管这个信息很重要，特别是如果组织希望能对其进行起诉时，但是安全事件处理人员应该将精力集中在对安全事件的限制、消除和恢复上。查询攻击者身份可能是一个耗时而有无效的过程，它可能妨碍小组实现其主要目标：将业务影响减小到最低程度。下面内容描述了在识别攻击者过程中最常采取的活动：

 

    ● 确认攻击者的IP地址 安全事件处理方面的新手通常都会把注意力都集中在攻击者的IP地址上，试图使用ping、traceroute或其它一些方法来确认该IP不是假冒的。但是，这样做意义不大，最多也只是表明这个地址对应的主机对请求作出了响应。没有响应并不表示这个地址不真实，比如某台主机可能被配置成不响应ping或是traceroute。此外，攻击者的地址可能是动态获得的（比如来自拨号modem池），该地址可能又被分配给另外一个人。更重要的是，如果IP地址是真实的，那么小组ping它的时候会让攻击者察觉到组织已经检测到他的活动。如果这是在安全事件被完全限制之前，那么攻击者可能还会制造其它破坏，比如清除硬盘上的攻击证据。在采取像地址确认这样的动作时，小组应该考虑并使用其它组织的IP地址（如ISP），这样确认活动的真实源头就对攻击者隐藏起来了。

 

    ● 扫描攻击者的系统 有些安全事件处理人员除了用ping或traceroute来检查IP地址之外还会采取更多一些措施：他们可能会使用端口扫描工具、弱点扫描及其它一些工具来收集更多关于攻击者的信息。比如扫描活动可能会发现系统中有特洛伊木马正在监听，意味着攻击主机本身已经被破坏了。在使用这些扫描工具之前，安全事件处理人员应该先与组织的法律代表进行讨论，因为这类扫描可能会和组织的政策冲突，甚至触犯法律。

 

    ● 使用网络搜索引擎查找攻击者 在大多数攻击中，安全事件处理人员至少会有一些关于攻击者可能身份的一些信息，比如IP源地址、电子邮件地址、或是IRC上的昵称。利用这些数据在因特网上进行搜索可能会搜索到更多的攻击者信息，如有关类似攻击的邮件列表消息，或者甚至是攻击者的WEB主页。这些搜索工作并不需要在安全事件被完全限制之前进行。

 

    ● 使用安全事件数据库 有几个小组收集来自各个组织的入侵检测和防火墙日志数据并将它们合并到安全事件数据库中。有些这样的数据库允许人们搜索对应一个特定IP地址的记录。安全事件处理人员可以使用该数据库来查看是否有其它组织正在报告来自相同来源的可疑活动。组织也可以检查自己的安全事件追踪系统或数据库来查找相关活动。

 

    ● 对攻击者可能的通信信道进行监视 有些安全事件处理人员用来确定攻击者的另一种方法是监视攻击者可能使用的通信信道。比如，攻击者可能聚集在某个IRC频道上，吹嘘他们已经篡改了哪些WEB主页。但是安全事件处理人员应该只他们得到的这类信息看作是深入调查和证实的潜在线索，而不是事实。

 

4、消除和恢复

 

    在安全事件被之后，就要开始着手消除安全事件的各个部分，比如清除恶意代码、禁用违规帐号。对有些安全事件，消除工作或者没必要或者要在恢复过程中开展。在恢复过程中，管理员要把系统恢复到正常状态，并且对系统进行加固（如果可行的话）防止类似安全事件。恢复工作通常会涉及到以下活动，比如从干净的备份上对系统进行恢复、从头重建系统、用干净的版本来替换被破坏的文件、安装补丁、更换口令并加强络边界安全（比如防火墙规则集、边界路由器的访问控制列表）。最好采用更高级别的系统日志或网络监视，作为恢复过程的一部分。一旦某个资源被成功攻击，那么它往往还会再次遭到攻击；或者同一组织中的其它资源可能会遭到类似的攻击。因特网上有许多用于恢复和保护系统的有用资源。由于消除和恢复工作通常是与操作系统或应用具体相关，有关它们的详细建议和指南超出了本文档的范围。