信息系统安全应急响应处置.pptx

信息系统安全应急响应处置,介绍,樊运安 协会专家组成员 CISSP CISP COBIT ITIL,目录,应急响应体系,应急响应案例,其他,应急响应定义1,应急响应（Emergency response） 组织为了应对突发/重大信息安全事件的发生所做的准备，已及在事件发生后所采取的的措施。（信息安全应急响应计划规范GB/T 24363-2009）,应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为，即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。 （信息系统等保体系框架GA/T 708-2007）,应急响应的定义2,信息安全响应的定义3,信息安全应急响应是指在计算机系统或网络上的威胁安全的事件发生后采取的措施和行动。这些措施和行动通常是用来减小和阻止事件带来的负面影响和破坏的后果。信息安全应急响应是解决网络系统安全问题的有效安全服务手段之一。,应急处置定义,应急处置 启动应急响应计划后，应立即采取相关措施抑制信息安全事件影响，避免造成更大损失。在确定有效控制了信息安全事件影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。（信息安全应急响应计划规范GB/T 24363-2009）,信息安全应急响应产生的背景,Morris,Worm,1988年Morris蠕虫病毒事件爆发后，世界上第一个应急响应 组织成立-CERT/CC,2000年10月份成立“国家计算机网络应急技术处理协调中心”， 简称“国家互联网应急中心”，在31个省成立分中心 /,CNCERT/CC的职能,CNCERT/CC(国家互联网应急中心)作为国家级应急组织，主要业务包括如下：,我国信息安全应急响应管理体系,信息安全应急响应法规标准,信息安全应急响应要求信息安全等级保护,应急响应组织结构,1）组织开展应急响应工作 2）应急响应启动条件的决策 3）应急响应所需资源的协调 。,1）应急响应事件的咨询 2）应急响应事件的综合评估 。,1）应急事件技术能力的支撑 2）技术资源协调 。,1）应急事件的日常监控 2）应急事件的响应 。,1）应急事件的处理 2）重要信息系统的业务能力恢复 。,网络钓鱼事件,网页内嵌恶意代码事件,应急事件类型,有害程序事件,混合攻击程序事件,计算机病毒事件,蠕虫事件,特洛伊木马事件,僵尸网络事件,网络攻击事件,网络扫描窃听事件,拒绝服务攻击事件,后门攻击事件,漏洞攻击事件,网络钓鱼事件,干扰事件,信息内容安全事件,信息破坏事件,信息丢失事件,信息篡改事件,信息假冒事件,信息泄露事件,信息窃取事件,设备设施故障,软硬件自身故障,外围保障设施故障,人为破坏事件,灾害性事故,自然灾害,人为灾害,应急事件等级,信息安全应急响应流程,信息安全应急响应流程准备阶段,信息安全应急响应流程准备阶段,信息安全应急响应流程检测阶段,信息安全应急响应流程抑制阶段,信息安全应急响应流程根除、恢复阶段,信息安全应急响应流程事后活动阶段,应急预案的定义,应急预案是指针对可能发生的事故，为迅速、有序地开展应急行动而预先制定的行动方案。,应急预案的类型,组织开展应急响应工作的指导性文件,具体类型的安全事件解决方案,针对场景的一次性解决方案,特定环境下、特定安全事件的处理方案,应急预案框架,应急预案的文档结构,应急预案的编制步骤,应急预案的启动执行过程,信息安全应急演练流程,目录,应急响应体系,应急响应案例,其他,知名公共案例,知名公共案例-携程,知名公共案例-携程,知名公共案例-OpenSSL,知名公共案例-OpenSSL,知名公共案例-OpenSSL,案例一：奥帆委网站系统 案例二：遗忘密码 案例三：DDOS攻击应急响应,公司案例,2007年6月，奥帆委官方网站感觉异常 远程测试发现站点存在多种漏洞 SQL注入 绕过安全验证漏洞 上传漏洞 已经存在多个木马Webshell,案例一：奥帆委网站系统,典型注入攻击-SQL注入,SQL注入攻击原理 SQL注入（ SQL Injection ）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作,43,SQL注入 Webshell 后台绕过登录,Tips,Webshell,/login.asp,管理员,管理员,程序员考虑的场景: Username: admin Password: p$w0rd SELECT COUNT(*) FROM Users WHERE username=admin and password=p$w0rd,登录成功！,Tips,程序员未预料到的结果 Username: admin OR 1=1 - Password: 1 SELECT COUNT(*) FROM Users WHERE username=admin OR 1=1 - and password=1,/login.asp,攻击者,登录成功！,是SQL字符串变量的定界符,攻击关键 通过定界符成功地将攻击者的意图注入到SQL语句中！ 通过注释保证SQL语句正确！,-是MS SQL的注释符,Tips,案例一：奥帆委网站系统,远程监控,案例一：奥帆委网站系统,现场值守 每日安全日报 阶段性总结报告,案例一：奥帆委网站系统,案例二：遗忘密码,案例二：遗忘密码,案例二：遗忘密码,案例二：遗忘密码,案例二：遗忘密码,案例二：遗忘密码,案例二：遗忘密码,描述： 某网络管理员发现连续几天在晚上18：00时左右，WEB服务器网站不能正常访问。,案例三：DDOS攻击应急响应,事件描述分析： 客户描述 根据客户描述的情况，WEB服务无法正常访问属于紧急响应安全事件 网络现状基本信息 远程访问该WEB服务器，无法打开页面 事件基本分析 产生的可能性：a.WEB服务未启动 b.主机网络不通 c.病毒问题 d.受到拒绝服务攻击 e.防火墙策略更改f.其他原因,案例三：DDOS攻击应急响应,制定方案： 到用户现场进行分析 在事件重现前部署监控工具，流量分析，协议分析等 判断事件类型：维护问题，病毒，内部发起攻击，外部发起攻击等 判断受攻击目标：主机受到攻击，WEB服务受到攻击，网络设备受到攻击，网络带宽受到攻击 判断攻击方法：漏洞型，流量型，混合型,案例三：DDOS攻击应急响应,事件调查： 对数据包进行简单分析，排除病毒可能，根据流量分析，局域网流量并不是特别大，网关处流量非常大，基本排除内部向外发起攻击可能。从内网访问服务器正常，以及根据数据包的类型判断，基本排除主机或WEB服务的漏洞攻击可能。 对收集到的数据包的包头进行分析，存在大量的tcp syn包，udp包以及少量icmp包，和未知ip包等。,案例三：DDOS攻击应急响应,SYN Flood攻击： 此种攻击经过抓包分析可以看到，大量的syn请求发向目标地址，而syn包的源地址为大量的随机生成的虚假地址。 在目标主机上使用netstat an命令可以看到大量syn连接，处于syn_received状态,案例三：DDOS攻击应急响应,如果是单纯的tcp synflood攻击，未达到限速的情况下，可以使用性能较好的，具有防synflood功能的设备进行防护。 如果是主机服务器停止响应，需要在网关或防火墙上对主机服务进行“代理”，保护主机。此时网关或防火墙需要有能力抵抗此类拒绝服务攻击。 如果攻击数据包是崎型数据包，需要网关或防火墙能抵抗此类拒绝服务攻击。 如果攻击数据包达到限速，需要逐级追查数据包的来源。,案例三：DDOS攻击应急响应,对数据包特征进行分析，包括来源地址（随机），端口，TTL值，序列号，协议号等等。 在路由器各端口上查看流量来源，或使用流量分析工具。分析数据包的特征，确定大部分数据包的来源。 逐级往上，寻找部分具有相同特征的数据包来源，并与该级相关网络管理员取得联系。 本