3.4 网络安全事件处置和灾难恢复
由网络安全意识定义可知,网络安全意识还应该表现为如何处置已经发生的网络安全事件和灾难恢复等。工欲善其事,必先利其器,作为网络用户,掌握必要的网络安全处理办法和技术是网络空间生活的生存本能,想要处置网络攻击,就必须先了解基本的网络攻击,才能有针对性地做好防护的处置工作。所以,本节主要阐述作为网络安全意识的最终表现结果,即如何处置和防范网络安全事件,主要包括网络攻击的基本概念、网络安全事件分类与分级、网络安全应急处理关键过程。
3.4.1 网络攻击的基本概念
了解网络攻击的步骤,有助于我们更好地制定防范策略。网络攻击主要是指利用网络和系统存在的漏洞和安全缺陷,使用各种技术手段和工具,对网络和系统的软、硬件及其中的数据进行破坏、窃取等行为。网络攻击的种类、方法、技术手段虽然多种多样,但攻击过程一般可以归纳为以下步骤。
1.确定目标
实施安全攻击的第一步是确定目标主机或系统,就像盗贼在企图抢劫之前会“实地考察”珠宝店那样。然后,攻击者进行数据收集与分析,如确定主机的位置、操作系统的类型及其提供的服务等。通常攻击者会通过社会工程学、钓鱼软件、假冒网站、恶意软件等手段,利用扫描器等工具获得攻击目标的相关信息,为下一步攻击做好充分准备。
2.获取控制权
攻击者首先要获取目标主机的一个账号和密码,进行登录,获得控制权,以便进行后续的攻击行为。攻击者有时通过盗窃账号文件进行破解,从中获取某用户的账号和密码,再寻觅合适的时机以此身份进入主机。利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法,如利用FTP、Telnet等工具突破系统漏洞进入目标主机系统。
3.权限升级与保持
攻击者获得了某个系统的访问权限后,会对权限进行升级,进而访问可能受到限制的部分网络和执行攻击行为。攻击者一般会通过更改某些系统设置、在系统中植入特洛伊木马或其他远程控制程序等手段,以便日后不被察觉地再次进入系统。
4.实施攻击
攻击者在获取相应的权限后,开始实施窃取或破坏敏感信息、瘫痪网络、修改系统数据和程序等攻击行为。
5.消除痕迹
完成网络攻击后,攻击者通常会通过清除日志、删除复制的文件等各种手段来隐藏自己的痕迹,并为今后可能的访问留下控制权限。
3.4.2 网络攻击分类
人们对于各种网络攻击的理解、把握程度往往相差很大,对网络攻击和所造成的危害和潜在的威胁认识不统一,这为安全防护和安全事件的有效处置带来了很大困难。一般而言,网络攻击可以依据系统中的安全漏洞、攻击的效果、攻击的技术特点、攻击的位置、攻击的检测、攻击所造成的后果等分类,因此存在多种不同的分类方法和结果。本节介绍的是集中分类方法。
1.根据攻击的效果分类
1)主动攻击
主动攻击会对某些数据流进行篡改,或伪造虚假数据流,制造拒绝服务后果。
(1)篡改。篡改是对系统的完整性进行攻击,通常是指修改、删除、增加一个合法消息的全部或部分内容,或使消息被延迟或改变顺序。例如,修改文件中的数据,替换某一程序使其执行不同的功能,修改网络中传输的消息内容等。
(2)伪造。伪造是对系统的真实性进行攻击,通常指某个实体(人或系统)假扮成其他实体,发出含有其他实体身份信息的数据信息,从而以欺骗方式获取一些合法用户的权利和特权。例如,在网络中插入伪造的信息或在文件中插入伪造的记录。
(3)拒绝服务。拒绝服务是对系统的可用性进行攻击,即常说的DoS (Deny of Service),它会导致对系统的正常使用或管理被无条件地中断。这种攻击通常是对整个网络实施破坏,以达到降低性能、中断服务的目的。常见的攻击方式有死亡之Ping(Ping of Death)、泪滴(Teardrop)、UDP洪水(UDP Flood)、SYN洪水(SYN Flood)、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。这种攻击也有可能有特定的目标,例如使某类数据包(如安全审计服务)被阻止。
2)被动攻击
被动攻击中,攻击者不对数据信息做任何修改,通常采用窃听、流量分析、破解弱加密的数据流等攻击方式。
(1)窃听。窃听是最常用的网络攻击手段之一。广播是目前局域网上应用最广泛的数据传输方式,这就使一台主机有可能收到子网上传送的所有消息。如果没有采取加密措施,通过协议分析,可以掌握通信的全部内容。窃听还可以通过无线截获方式获得信息,如通过高灵敏接收装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波,通过对电磁信号的分析,恢复原数据信号,从而获得网络信息。
(2)流量分析。流量分析攻击方式适用于一些特殊场合,例如,敏感信息都是保密的,攻击者截获的消息虽然无法得到真实内容,但可以通过观察这些数据报的模式,分析确定消息的格式、通信双方的位置和身份、通信的次数及消息的长度,从而获知相关的敏感信息。例如,公司间的合作关系通常是保密的,除通信的内容外,电子邮件用户不想让他人知道自己正在和谁通信;电子现金的支付者不想让别人知道自己正在消费;Web浏览器用户也不愿意让别人知道自己正在浏览哪一个站点。
由于被动攻击不会对被攻击的信息做任何修改,留下痕迹少,或者根本不留痕迹,因而难以检测,而且常常是主动攻击的前奏。
2.根据攻击的技术特点分类
根据攻击的技术特点可分为基于网络协议的攻击和基于系统安全漏洞的攻击两类。
1)基于网络协议的攻击
互联网的核心就是一系列协议,所有连接到互联网的设备,以及所有的互联网行为,都要遵循互联网协议。典型的互联网协议参考模型是OSI模型,它把互联网通信功能划分为七层,即物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。基于网络协议的攻击分为以下4类。
(1)针对数据链路层的攻击,如ARP欺骗。
(2)针对网络层的攻击,如Smurf攻击、ICMP路由欺骗。
(3)针对传输层的攻击,如SYN洪水攻击、会话劫持。
(4)针对应用层的攻击,如DNS欺骗和窃取。
2)基于系统安全漏洞的攻击
基于系统安全漏洞的攻击包括针对操作系统漏洞的攻击、针对IE漏洞的攻击、针对IIS漏洞的攻击、针对Web应用漏洞的攻击,后文有详述。
3.根据攻击的位置分类
根据攻击的位置可分为远程攻击、本地攻击和伪远程攻击三类。
(1)远程攻击。远程攻击是指外部攻击者通过各种手段,从该子网以外的地方向该子网或者该子网内的系统发动攻击。
(2)本地攻击。本地攻击是指本组织的内部人员,通过所在的局域网,向本组织的其他系统发动攻击,在本级上进行非法越权访问。
(3)伪远程攻击。伪远程攻击是指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,然后从远程发起攻击,造成外部入侵的现象。
3.4.3 网络攻击方法
网络攻击的手段和技术方法千差万别,新的攻击技术也层出不穷,很难逐一列全,而且攻击大多是综合利用了多种方法。下面介绍一些常见的攻击方法仅供参考。
1.密码猜解
密码是目前保护系统安全的主要方法之一,因此,通过精测、窃取等方式获取合法用户的账号和密码已经成为网络攻击的一个主要手段。常见的密码猜测攻击包括以下3类。
(1)密码猜测攻击(字典攻击):攻击者针对姓名拼音、常用短语或生日数字这类的弱密码构造密码字典,利用程序自动遍历,直至找到正确的密码或将字典的密码试完,可在几小时内试完10万条记录。
(2)暴力破解攻击:利用用户密码长度过短的缺陷,通过计算工具尝试所有可能的字母组合方式,碰撞出用户密码。由4位小写字母组成的密码可以在几分钟内被破解。
(3)网络监听攻击:在Telnet、HTTP等没有采用任何加密或身份认证技术的传输协议中,直接利用数据包截取工具,搜集明文传输的用户账户和密码信息。
2.特洛伊木马
特洛伊木马(简称木马)攻击是将恶意功能程序伪装隐藏在另一合法程序中,吸引用户执行并且做出恶意操作(如记录用户键入的密码、远程传输文件,甚至完全远程控制计算机等)。目前木马病毒植入的主要途径有以下几种。
(1)通过电子邮件。将木马程序以附件的形式含在邮件中发送出去,收信人只要打开附件就会感染木马病毒。
(2)通过软件下载。一些非正规的网站以提供软件下载为名,将木马病毒捆绑在软件安装程序上,只要运行这些程序,木马病毒就会自动安装。
(3)通过诱骗用户访问“挂马”网站。所谓“挂马”,是指黑客通过各种手段,包括SQL注入、服务器漏洞等各种方法获得网站管理员账号,然后登录网站后台,通过数据库备份/恢复或者上传漏洞获得Webshell。黑客利用获得的Webshell修改网站页面的内容,向页面中加入恶意代码。也可以直接通过弱密码获得服务器或者网站FTP,然后直接对网站页面进行修改。当用户访问被加入恶意代码的页面时,就会自动下载木马病毒。攻击者在用户系统中成功植入木马病毒之后,木马病毒通常会把入侵主机的信息,如IP地址、木马病毒植入的端口等发送给攻击者,攻击者收到后可与木马病毒里应外合控制攻击主机。
3.拒绝服务攻击
拒绝服务攻击通常有两种实施方式:一是利用系统漏洞或缺陷向目标系统发送非法数据包,使目标系统死机或重新启动;二是利用拒绝服务攻击工具向目标主机发送大量数据包,消耗网络带宽资源和主机资源,致使网络或系统负荷过载而停止向用户提供服务。目前影响最大、危害最深的是分布式DoS攻击。它通过控制大量网络主机同时向某个既定目标发动攻击,很容易导致被攻击主机系统瘫痪,且由于参与攻击主机数量庞大,难以定位攻击的来源。
4.漏洞攻击
漏洞攻击是指在未经授权的情况下,攻击者利用系统安全漏洞非法访问、读取、删改系统文件,达到破坏系统的目的。漏洞主要来源于系统设计缺陷、系统安全策略设置缺陷、编码错误、业务逻辑设计不合理、业务运行流程缺陷等。漏洞导致计算机或网络的整体安全出现缺口,使攻击者利用针对性工具,在未授权的情况下访问或破坏系统。近年来出现的零日漏洞黑客在漏洞被发现后立即进行恶意利用和攻击。这种攻击往往具有很大的突发性与破坏性。
5.网络钓鱼
网络钓鱼(Phishing,又称钓鱼法或钓鱼式攻击),是通过欺骗性的电子邮件和网站,伪装成可信网站或网页,骗取用户个人敏感信息,获取不正当利益的攻击方法。攻击者通常将自己伪装成网络银行、大型在线零售商等可信的品牌,通过欺骗性邮件将收信人引诱到经过精心设计,与收信人的目标网站非常相似的钓鱼网站上(如将ICBC修改为1CBC),并获取收信人在此网站上输入的个人敏感信息。网络钓鱼所使用的常见伎俩有使用易混淆网址、子网域、含有特殊符号的欺骗链接,架设假基站、假Wi-Fi热点等。
6.社会工程攻击
社会工程攻击是一种利用社会工程学原理来实施的网络攻击行为,它利用人的弱点(如好奇、贪便宜等),通过欺诈、诱骗、威胁等方式入侵目标计算机系统。攻击者利用社会工程的概念,在获取攻击目标的背景信息的基础上,通过多种社交手段与受害人建立信任,向受害人索要关键信息,并以此为基础欺骗其他或更高层人员,不断重复,最终获取目标的敏感信息。对企业来说,与主要业务无直接关系的员工往往对于信息保密的警觉性较低,常会成为社会工程攻击首要锁定的目标。例如,攻击者掌握大量的背景信息后,冒充企业的总经理,要求财务人员进行转账。
7.后门攻击
后门是指软件开发者或情报机关出于商业、政治动机预留在目标产品、系统、算法内,便于隐秘进入或控制系统的非预期代码。后门攻击,即攻击者通过利用软件后门绕过安全认证机制,直接获取对程序或者系统的访问权。即使管理者通过改变所有密码之类的方法来提高安全性,攻击者仍然能够再次入侵,且由于后门通常会设法躲过日志,在大多数情况下,即使入侵者正在使用系统,也无法被检测到。
8.高级持续攻击
高级持续攻击(Advanced Persistent Threat,APT),是利用先进的攻击手段对特定目标进行长期、持续性网络攻击的攻击形式。通常是出于商业或政治动机,针对特定组织或国家进行长时间、高隐蔽性的持续攻击。高级持续攻击包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞;长期暗指某个外部力量会持续监控特定目标,并从中获取数据;威胁则指人为参与策划的攻击。潜伏性、持续性高的APT攻击威胁最大,其主要特征包括以下几个方面。
(1)潜伏性。攻击和威胁可能在用户环境中存在一年以上或更久,不断搜集各种信息,直到获取了重要情报。黑客发动APT攻击的目的往往不是在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到彻底掌握所针对的目标(人、事和物)。
(2)持续性。由于APT攻击具有持续性,甚至可长达数年的特征,这让被攻击单位的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试各种攻击手段,并在渗透到网络内部后长期蛰伏。
(3)锁定特定目标。即针对特定政府部门或企业,长期进行有计划、有组织的窃取情报行为,如针对被锁定对象寄送可以假乱真的社会工程恶意邮件、冒充客户来信等,以取得在计算机植入恶意软件的机会。
3.4.4 网络攻击防范和处置策略
网络攻击无孔不入,对其防范应该从技术和管理等方面进行考虑。综合使用各种安全技术,才能形成一个高效、安全的信息系统。与此同时,网络安全还是一个复杂的社会问题,应当鼓励支持产业发展,逐步攻克并掌握核心、高端技术,同时也要健全法律法规,构建应对网络攻击的铜墙铁壁。
1.网络攻击防范策略
总体而言,在防范网络攻击时要做好以下工作。
一是有效使用各类安全技术,筑牢安全防线。信息系统要具备预警、保护、检测、反应、恢复等功能。在预警中,首先要分析威胁到底来自什么地方,并评估系统的脆弱性,分析出信息系统的风险。所谓保护,就是采用一切手段保护信息系统的保密性、完整性、可用性等。所谓检测,就是利用高技术工具来检查信息系统中发生的黑客攻击、病毒传播等情况。因此,要求具备相应的技术工具,形成动态检测制度,建立报告协调机制,尽量提高检测的实时性,这个环节需要的是脆弱性扫描、入侵检测、恶意代码过滤等技术。所谓反应,就是对于危及安全的事件、行为、过程等及时做出响应处理,杜绝危害进一步扩大,使得信息系统能够提供正常的服务。因此,要求通过综合建立起来的反应机制,提高实时性,形成快速响应能力。这个环节需要的是报警、跟踪、处理等技术,处理中还包括封堵、隔离、报告等手段。所谓恢复,是指系统一旦遭到破坏,尽快实施灾难恢复工作,恢复系统的功能,使之尽早提供正常的服务。在这一环节中,要求信息系统具有应急和灾难恢复计划、措施,形成恢复能力。备份、容错、冗余、替换、修复和一致性保证等都是需要开发的恢复技术。
二是提升安全意识,加强安全管理。要加强系统管理人员及使用人员的安全意识。例如不要随意打开来历不明的电子邮件及文件,不要随意运行陌生人发来的程序,尽量避免从网上下载不知名的软件,密码设置避免使用弱密码且要定期更换,还包括明确责任、落实资源、开展培训等。
三是强化溯源取证和打击能力,形成威慑。即查找攻击者的犯罪线索和犯罪证据,依法侦查犯罪分子,处理犯罪案件。在这个环节中要形成取证能力和打击手段,依法打击犯罪分子和网络恐怖主义分子。
2.网络安全应急处理关键过程
网络安全应急处理是指通过制订应急计划,使影响信息系统安全的安全事件能够得到及时响应,并在安全事件发生后进行标识、记录、分类和处理,直至受影响的业务恢复正常运行的过程。这里的安全事件是指有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。
网络安全应急处理是保障业务连续性的重要手段之一,是在处理网络安全事件时提供紧急现场或远程援助的一系列技术的和非技术的措施和行动,以降低安全事件给用户造成的损失或影响,涵盖了在安全事件发生后,为了维持和恢复关键的应用所进行的系列活动。
与应急处理服务容易发生混淆的是灾难恢复服务,灾难恢复服务是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程。与应急处理服务相比,灾难恢复服务的应用范围较窄,通常应用于重大的特别是灾难性的、造成长时间无法访问正常设施的事件。
本节将从6个阶段对网络安全应急处理的过程进行说明。
1.准备阶段
准备阶段的目标是在安全事件真正发生之前为处理安全事件做好准备工作。准备阶段的主要工作包括建立合理的防御/控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。该阶段的控制点包括:应急响应需求界定、服务合同或协议签订、应急服务方案制定、人员和工具准备。
1)应急响应需求界定
在界定应急响应需求时,应首先了解各项业务功能及各项业务功能之间的相关性,确定支持各项业务功能的相应信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求。
无论应急服务由组织自己提供还是由外部提供,均应对信息系统进行全面评估,确定信息系统所执行的关键功能,并确定执行这些功能所需的特定系统资源。此外,还应采用定量或定性的方法,对业务中断、系统宕机、网络瘫痪等突发网络安全事件造成的影响进行评估。
应急服务队伍应协助系统主管部门或运营部门建立合理的网络安全应急响应策略,该策略中应说明在业务中断、系统宕机、网络瘫痪等突发网络安全事件发生后,快速有效地恢复信息系统运行的方法。
2)服务合同或协议签订
如果应急响应服务由外部提供(一般而言,虽然各组织的信息技术部门有一定的应急响应能力,但仍需与专业的网络安全服务组织签订应急响应服务合同,对处理重大事件做好准备),应急服务提供者应与服务对象签订应急服务合同或协议。在应急服务合同或协议中,应明确双方的职责,指明哪些类型安全事件的应急响应行为需要系统管理者批准。此外,应急服务合同或协议应明确服务提供者的保密责任。
3)应急服务方案制定
应急服务提供者应在服务对象应急需求上制定服务方案。服务方案应根据业务影响分析的结果,明确应急响应的恢复目标,包括:
① 关键业务功能及恢复的优先顺序;
② 恢复时间范围,即恢复时间目标和恢复点目标的范围。
服务方应带有完善的检测技术规范。检测技术规范至少应包含检测目的、工具、步骤等内容。常见的检测技术规范包括但不限于:
① Windows系统检测技术规范;
② UNIX系统检测技术规范;
③ 数据库系统检测技术规范;
④ 常用应用系统检测技术规范;
⑤ 常见网络安全事件检测技术规范。
4)人员和工具准备
应急服务提供者应具有处理网络安全事件的工具包,包括常用的系统命令、工具软件等。这些工具包应保存在不可更改的移动介质上,如一次性可写光盘,还应定期更新。
应急响应工作需要大量的人力参与,特别是对一些重大事件的处理。因此,服务提供者和信息系统运营单位应能随时调动一定数量的应急技术人员和辅助人员。
2.检测阶段
检测阶段的目标是对网络安全事件做出初步的动作和响应,根据获得的初步材料和分析结果,预估事件的范围和影响程度,制定进一步的响应策略,并且保留相关证据。
该阶段的控制点包括检测对象及范围确定、检测方案确定、检测实施。
1)检测对象及范围确定
应急技术人员应对发生异常的系统进行初步分析,判断是否真正发生了安全事件。
如果由外部组织提供应急响应服务,则外部的应急服务提供者应与信息系统运营者共同确定检测对象及范围(初步),且检测对象及范围应得到被服务对象的书面授权。
2)检测方案确定
如果由外部组织提供应急响应服务,则外部的应急服务提供者应与信息系统运营者共同确定检测方案。如果由组织自身提供应急响应服务,也应制定检测方案并报经批准。
检测方案中应明确应急时所使用的检测规范,说明检测范围,并预测应急处理方案可能造成的影响。此外,检测方案还应包含实施方案失败的应变和回退措施。
发生网络安全事件时,往往情况非常紧急,通常没有时间制定完整、复杂的检测方案并经层层审批。这种情况下,应急技术人员如果迫不得已以口头形式确定检测方案,应与业务人员、管理人员等各方相关人员做好沟通。
3)检测实施
确定检测方案后,应急技术人员应立即按照检测方案实施检测。
检测内容包含但不限于以下几个方面。
① 收集并记录系统信息,特别是在执行备份的过程中可能遗失或无法捕获的信息,如所有当前网络连接、所有当前进程、所有当前登录的活动用户、所有打开文件(因为在断开网络连接时有些文件可能会被删除)、其他所有容易丢失的数据(如内存和缓存中的数据)。
② 备份被入侵的系统,至少应备份已确认被攻击了的系统及系统上的用户数据。
③ 隔离被入侵的系统。把备份的文件传到一个与生产系统相隔离的测试系统上,并在测试系统上恢复被入侵系统,或者断开被破坏的系统并且直接在这些系统上进行分析。
④ 查找其他系统上的入侵痕迹。其他系统包括同一IP地址段或同一网段的系统、处于同一域的其他系统、具有相同网络服务的系统、具有同一操作系统的系统。
⑤ 检查防火墙、入侵检测和路由器等设备的日志,分析哪些日志信息源于以前从未被注意到的系统安全事件,并且确定哪些系统已经被攻击。
⑥ 确定攻击者的入侵路径和方法。分析系统的本地日志,特别是入侵者试图猜测密码时的拒绝访问信息,与某些漏洞相关的信息,由专门工具所搜集的某些特定服务信息等,判断攻击者的入侵路径和方法。
⑦ 确定入侵者进入系统后的行为。通过分析各种日志文件、将受攻击机器上的完整性校验和文件同已知的可信任的完整性校验和文件进行比较、借用检测工具和分析工具等方式,确定入侵者是如何实施攻击并获得系统的访问权限的。
如果由外部组织实施检测,则应急服务提供者的检测工作应在系统运营者的监督与配合下完成。应急服务提供者应配合被服务对象,将所检测到的安全事件向有关部门和人员通报或报告。
3.抑制阶段
抑制阶段的目标是限制攻击的范围,抑制潜在的或进一步的攻击和破坏。抑制措施十分重要,因为安全事件很容易扩散和失控。攻击抑制措施可以在以下几个方面发挥作用,阻止入侵者访问被攻陷系统、限制入侵的程度、防止入侵者进一步破坏等。
该阶段的控制点包括抑制方法确定、抑制方法认可、抑制实施。
1)抑制方法确定
在检测分析的基础上,应急技术人员应迅速确定与安全事件相应的抑制方法。在确定抑制方法时,需要考虑:
① 全面评估入侵范围及入侵带来的影响和损失;
② 通过分析得到的其他结论,如入侵者的来源;
③ 服务对象的业务和重点决策过程;
④ 服务对象的业务连续性。
2)抑制方法认可
如果应急服务由外部组织提供,则外部应急服务提供者应迅速将所确定的抑制方法和相应的措施告知系统运营者,得到系统运营者的认可。
3)抑制实施
应急技术人员应严格按照已确定的技术方案实施抑制,不得随意更改抑制措施和范围,如有必要更改,必须获得授权。
抑制措施应包含但不限于以下几个方面:
① 监视系统和网络活动;
② 提高系统或网络行为的监控级别;
③ 修改防火墙和路由器的过滤规则;
④ 尽可能停用系统服务;
⑤ 停止文件共享;
⑥ 修改密码;
⑦ 停用或删除被攻破的登录账号;
⑧ 将被攻陷系统从网络断开;
⑨ 暂时关闭被攻陷系统;
⑩ 设置陷阱,如蜜罐系统;
⑪ 反击攻击者的系统等。
应急技术人员使用的工具应当十分可信,不得使用受害系统已有的不可信文件。
4.根除阶段
根除阶段的目标是在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出导致网络安全事件发生的根源,并予以彻底消除。对于单机上的事件,可以根据各种操作系统平台的具体检查和根除程序进行操作即可。但是大规模爆发的带有蠕虫性质的恶意程序,要根除各个主机上的恶意代码,则需投入更多的人力和物力。
该阶段的控制点包括根除方法确定、根除方法认可、根除实施。
1)根除方法确定
应急技术人员应检查所有受影响的系统,在准确判断网络安全事件原因的基础上,提出根除的方案建议。
由于入侵者一般都会安装后门或使用其他方法以便在将来有机会侵入该被攻陷的系统,因此在确定根除方法时,需要了解攻击者是如何入侵的,了解与这种入侵方法相同和类似的各种方法。
2)根除方法认可
与前一阶段类似,应急服务提供者应明确告知系统运营者所采取的根除措施可能带来的风险,制定应变和回退措施,并获得系统运营者的书面授权。
3)根除实施
应急技术人员应使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信文件。
根除措施应包含但不限于以下几个方面:
① 修改全部可能受到攻击的系统的密码;
② 去除所有的入侵通路和入侵者做的修改;
③ 修补系统和网络漏洞;
④ 增强防护功能、复查所有防护措施(如防火墙)的配置,并依照不同的入侵行为进行调整,对未受防护或者防护不够的网络增加新的防护措施;
⑤ 提高检测功能,对诸如入侵检测系统和其他入侵报告工具等检测功能进行及时更新,以保证将来对类似的入侵进行检测;
⑥ 重新安装系统,并对系统进行调整,包括打补丁、修改系统错误,以保证系统不会出现其他漏洞。
5.恢复阶段
恢复阶段的目标是将网络安全事件所涉及的系统还原到正常状态。恢复工作应该十分小心,避免出现误操作,导致数据的丢失。恢复阶段的行动集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。
该阶段的控制点包括恢复方法确定和恢复系统。
1)恢复方法确定
应急技术人员应确定一种或多种能从网络安全事件中恢复系统的方法,这些方法应全部告知系统运营者,包括每种方法可能存在的风险。
恢复方案涉及以下方面:
① 如何获得访问受损设施和/或地理区域的授权;
② 如何通知相关系统的内部和外部业务伙伴;
③ 如何获得所需的办公用品和工作空间;
④ 如何获得安装所需的硬件部件;
⑤ 如何获得装载备份介质;
⑥ 如何恢复关键操作系统和应用软件;
⑦ 如何恢复系统数据;
⑧ 如何成功运行备用设备。
2)恢复系统
系统运营者应按照系统的初始化安全策略恢复系统。由于需要恢复的系统很多,应根据系统中各子系统的重要性,确定系统恢复的顺序。
系统恢复过程包含但不限于以下几个方面:
① 利用正确的备份恢复用户数据和配置信息,要求使用最近的、可靠的备份来恢复;
② 开启系统和应用服务,将由于受到入侵或者怀疑存在漏洞而关闭的服务程序经修改后重新开放;
③ 将恢复后的系统连接到网络。
对于不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统经过根除处理后是否已恢复正常的情况,应选择重建系统。
如果网络安全事件是由于系统自身原因造成的,还应在恢复的同时对系统进行全面的安全加固。
6.总结阶段
总结阶段的目标是回顾网络安全事件处理的全过程,整理与事件相关的各种信息,并尽可能地把所有情况记录到文档中。这些记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要的积累。
该阶段的控制点包括总结和报告。
1)总结
应急技术人员应及时检查网络安全事件处理记录是否齐全,是否具备可追溯性,并对安全事件处理过程进行全面总结和分析。
应急响应总结的具体工作包括:
① 安全事件发生原因分析;
② 安全事件现象总结;
③ 系统的损害程度评估;
④ 安全事件损失估计;
⑤ 应急处理记录总结。
2)报告
这是应急处理工作的最后一项。应急技术人员应制定完备的网络安全事件处理报告,并在报告中对网络安全方面提出明确的建议和意见。