应急响应

---

应急响应的背景

应急响应服务的诞生—-CERT/CC

1988年Morris蠕虫事件直接导致了CERT/CC的诞生。

CERT/CC服务的内容

1. 安全事件响应
2. 安全事件分析和软件安全缺陷研究
3. 缺陷知识库开发
4. 信息发布：缺陷、公告、总结、统计、补丁、工具
5. 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训
6. 指导其它CSIRT（也称IRT、CERT）组织建设。

---

应急响应的概念

应急响应

指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。

安全事件

指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。

安全事件的分类

1. 恶意程序（僵尸，木马，蠕虫）
2. 网络攻击类（DOS，DDOS，扫描）
3. 信息破坏类（网站内容篡改）
4. 信息内容安全
5. 设备类
6. 自然灾害
7. 其他

安全事件分级

原则：信息系统的重要程度，信息系统的损害程度，对社会的影响

1. 特大
2. 重大
3. 严重
4. 一般

应急响应的描述

客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全服务商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。

应急响应的目的

应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。

应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。

应急响应服务的特点

1. 技术复杂性与专业性、
2. 知识经验的依赖性
3. 事件突发性
4. 协作能力

应急响应体系

指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程 。

信息安全应急响应体系的制定是一个周而复始、持续改进的过程，包含以下几个阶段：

1. 应急响应需求分析和应急响应策略的确定
2. 编制应急响应计划文档
3. 应急响应计划的测试、培训、演练和维护

---

应急响应组

应急响应组就是一个或更多的个人组成的团队，能快速执行和处理与安全有关的事件的任务。

为什么需要成立应急响应组

1. 容易协调响应工作
2. 提高专业知识
3. 提高效率
4. 提高先期主动防御能力
5. 更加适合于满足机构的需要
6. 提高联络功能
7. 提高处理制度障碍方面的能力

指导标准

GB/T 24364-2009 《信息安全技术 信息安全应急响应计划规范》

GB/T 20988-2007 《信息安全技术 信息系统应急响应规范》

GB/Z 20985-2007 《信息技术 安全技术 信息安全事件管理指南》

GB/Z 20986-2007 《信息安全技术 信息安全事件分类分级指南》

---

应急响应阶段

第一阶段：准备——preparation

第二阶段：检测——detection

第三阶段：遏制——containment

第四阶段：根除——eradication

第五阶段：恢复——recovery

第六阶段：跟踪——follow-up

第一阶段：准备——preparation

在事件真正发生之前为事件响应做好相应的准备 ，比如，漏洞扫描、打补丁等，资源准备

第二阶段：检测——detection

使用恰当的方法来确认系统或网络中是否出现了恶意代码、网络攻击、目录文件存在被篡改等异常现象 。

1. 事件标记
2. 信息来源
3. 开启审计
4. 事件定级
5. 响应方式

第三阶段：抑制——containment

抑制攻击或破环波及的范围

建议组织机构为几类主要的事故建立单独的抑制策略，其标准包括：

1. 潜在的破坏和资源的窃取
2. 证据保留的需要
3. 服务可用性（例如：网络连接，提供给外部当事方的服务）
4. 实施战略需要的时间和资源
5. 战略的有效性（例如：部分遏制事故，完全遏制事故）
6. 解决方案的期限

第四阶段：根除——eradication

找到事件的根源彻底清除，防止攻击者再次使用相同的手段对系统或网络造成破坏，引发新的安全事件。

第五阶段：恢复——recovery

业务恢复

第六阶段：跟踪——follow-up

关注系统恢复以后的安全状况，特别是曾经出问题的地方；建立跟踪文档，规范记录跟踪结果；对响应效果给出评估；对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动

---

应急响应预案制定

应急响应预案内容

应急响应预案的包括的主要内容：

1. 确定风险场景
2. 描述可能受到的业务影响
3. 描述使用的预防性策略
4. 描述应急响应策略
5. 识别和排列关键应用系统
6. 行动计划
7. 团队和人员的职责
8. 联络清单
9. 所需资源配置

制定应急响应预案的原则

1. 首先，必须集中管理应急响应预案的版本和发布。
2. 其次，为了建立有效的版本控制体系，必须建立规范的应急响应预案的问题提交、解决、更新、跟踪、发布的渠道和流程。
3. 第三，建立相关的保密管理规定，保证应急响应预案中涉及的秘密信息得到保护。
4. 第四，应急响应预案在内容管理方面应注意内容的分布和粒度，可根据版本和内容的更新频度将应急响应的内容进行适当的分布。
5. 第五，建立合理的应急响应预案的保管制度，强调存放的安全性和易取得性。

成功预案的特点

1. 清楚、简洁
2. 高级管理层支持/组织承诺
3. 不断改进和更新的恢复策略
4. 及时的更新维护

Linux操作系统应急响应

1. 用户、进程、服务、日志、网络等等常规性检查及分析
2. 操作系统中恶意代码检测（Chrootkit、Rootkit hunter工具使用）
3. 日志分析
4. 流量分析
5. 木马查杀并恢复系统
6. 应急响应报告编写

Windows操作系统应急

1. 用户、进程、服务、模块、驱动、日志、网络等等常规性检查及分析
2. 操作系统中恶意代码检测（Icesword、Rootkit Unhooker、Sysprot、Rootkit Unhooker工具使用）
3. 日志分析
4. 流量分析（sniffer pro、windump、wireshark工具）
5. 木马查杀并恢复系统
6. 应急响应报告编写

web应用的应急

1. web日志分析（对iis、apache、tomcat等中间件日志做分析）
2. 应用恢复
3. 应急响应报告编写