day056 -事件响应和安全监测

1、1网络链（The Cyber Kill Chain）考虑攻击者的行为模式有助于我们更好地去控制。在2011年的一篇题为“通过分析对手活动和入侵链智能驱动计算机网络防御”的具有开创性的论文中，Hutchins、Cloppert和Amin在描述了一个七个阶段的入侵模型， 此模型已成为行业标准。1. 侦察 对手对你的组织产生兴趣，将其作为目标，并开始蓄意收集信息以寻找漏洞。2.化 有足够详细的信息作为装备，对手决定进入你的系统的最佳方法，开始准备并测试将用以攻击你的。3. 传送 在这一阶段，网络 被传送到你的系统中。在95%的公布案例中都通过电子邮件进行传送，以链接到恶意网站的形式出现。4. 漏洞攻

2、击 恶意软件会在你的网络中的CPU中运行。当目标用户点击链接、打开附件、访问网站或插入U盘时，恶意软件都可能会被启动。也可能（在个别情况下）是恶意攻击的结果。无论如何，攻击者的软件正在你的系统中运行。5. 安装 大多数恶意软件都分阶段传送。首先，在上一步中存在破坏系统的漏洞。其次，一些其他的软件被安装到目标系统中以确保持久性，理想状态下具有良好的隐形能力。6. 命令与控制（C&C） 一旦完成了软件的前两个阶段（攻击和持久留存），大部分恶意软件会“回拨”攻击者， 其已攻击成功，并请求更新与指示。7. 在目标内的行动 最终，恶意软件已准备好按照设计宗旨肆意妄为。也许目的是窃取知识产权并将其发送到海

3、外服务器。或者，也许这些努力只是大规模攻击的最初阶段，所以恶意软件会随着被攻击的系统转移。无论是哪种情况，这时候攻击者已经赢了。2为什么要做事故响应策略？许多公司在成为网络犯罪的受害者之后毫无头绪，不知道该找谁或者该做些什么。因此，所有公司都应当制订一个事故响应策略，以规定谁具有启动事故响应的权利，并且在事故发生之前建立支持性措施。这个策略应当由法律部门和安全部门管理。这两个部门应该协同工作，确保技术安全问题和与犯罪活动有关的法律问题都能有效得到解决。事故响应策略和事故管理包括什么？一个响应团队；一套标准措施，事故处理应与恢复计划紧密相关，并应成为公司恢复计划的一部分；事故处理还应该与公司的安

4、全培训及认知计划紧密联系，以确保此类不幸不会发生；应当详细说明如何报告一起事故；3检测对做出反应的第一步，也是最重要的一步是首先意识到你遇到问题了。尽管有大量的感应器，但由于种种原因，要做到发现问题比听起来的要困难的多。响应在检测到后，下一步是确定怎么适当的响应。例如：清理感染的工作站或添加规则、IDS和IPS。缓解在 响应程序的这一阶段，你应该知道发生了什么，以及你认为接下来将会发生什么。下一步是缓解或控制已经或即将对你的最重要资产造成的损害，其次是缓解次要资产的损害。缓解的目的是阻止或减少此 造成进一步损害， 进而你可以开始恢复和修复。报告对其人进行了报告。恢复一旦有所缓解，你就必须将注意

5、力转到恢复阶段，在这一阶段你将所有系统与信息恢复到已知的良好状态。在恢复系统和信息之前收集证据十分重要。修复在修复阶段，你要决定需要定为永久的措施（例如或IDS/IPS规则），以及可能需要的额外控制。修复的另一方面是确定攻击的指示（IOA）以及损害的指示（IOC），以便在未来用其实时（例如正发生时）检测攻击，它会告诉你攻击成功的时间以及你的安全受到了损害。在修复阶段结束时，你很有信心你的组织中再也不会出现这种攻击。学习的终结由的性质或类别、期望的响应结果（例如业务恢复或系统还原）以及团队成功确定源头及根源决定。41. 日志技术日志、记录是将的信息记录到日志文件或数据库的过程。日志记录捕获的、变

6、更、信息和其他数据能够描述系统上发生的活动。日志通常会记录细节， 如发生了什么事、在什么时候、在哪里、谁做的， 有时还记录是如何发生的。当需要寻找最近发生的时， 系统日志是个很好的开始。2. 通用日志类型安全日志 安全日志能够记录对一些资源的访问。系统日志 系统日志记录类似于系统或服务器的开启或关闭等应用程序 日志这些日志记录特定应用程序的信息。日志流量。日志可以记录与到达的流量相关的任何， 包括允许的流量和阻止的日志服务器为用户提高了互联网访问性能， 并可以控制用户访问的网站的范围。变更日志 作为整体变更管理过程的一部分， 变更日志能够记录变更请求、批准和系统的实际变更。3. 保护日志数据保

7、护日志文件免受未授权的访问和修改是很重要的。在中央系统上存储日志的副本来保护日志的方法很常见。日志管理策略都规定了备份保留时间。4. 角色监控监控功能为组织带来了很多好处， 比如增加可问责性、帮助调查、提供基本的故障排除方法。5. 监控技术日志分析是监测过程中一种详细且系统化的模式， 日志分析能够分析监测记录信息的趋势、模式， 还能够分析未授权的、非法的、违反策略的活动。日志分析不一定是对 的响应， 而是一项周期性的任务， 可以检测潜在的问题。安全信息和 管理(Security Information and Event Management， SIEM)，用集中式应用程序来自动监控网络上的系

8、统。审计跟踪指的是一些记录， 它们在关于和突发的信息被存储在一个或多个数据库或日志文件中时被创建出来。抽样或数据抽取是为了构建有意义的整体表示法或概述， 而从大量的数据中提取元素的过程。阀值是一种非统计抽样。它只选择超过阀值平均值的 ， 阀值平均值是 的预定义阔值。击键监控是记录用户在物理键盘上进行击键的行为。流量分析和趋势分析都是监控的形式， 它们对数据包的流(而不是数据包的实际内容)进行检查。5出口监测是指监测传出的流量， 以防止数据泄露， 也就是防止组织数据的未授权传输。防止数据泄露的一些常见方法有: 使用数据丢失防护技术， 寻找隐藏的企图， 以及利用水印检测未经授权的数据。数据丢失防护

9、(Data Loss Prevention， DLP)系统能够检测和阻止数据泄露的企图。这些系统有扫描数据、寻找关键字和数据模式的能力。DLP 系统有两种主要类型: 基于网络的DLP 和基于终端的DLP。隐写术指的是在文件中嵌入消息。在出口监控的背景下， 组织可以定期检测很少变化哈希值的。水印指的是在纸上嵌入不容易感知的图像或图案，从出口监控的角度来看， DLP 系统能检测到水印。当DLP 系统从这些水印中识别出敏感数据时， 就可以阻止传输并向安全人员发出警报。这样就防止了组织文件的泄露。6检验审计安全IT 环境很大程度上依赖于审计， 将其作为一种检测安全控制来发现和纠正漏洞。访问控制的两个重

10、要审计分别是访问审查审计和用户权限审计。如果高级管理层未能执行定期的安全审计， 那么利益相关方将追究他们的责任， 并要求他们承担所有因安全漏洞或策略违规问题而造成的资产损失。不执行审计， 就意味着管理层没有履行监察责任。访问审查审计进行访问审查和审计， 以确保访问对象和账户管理符合安全策略要求。这些审计能够检查用户， 确保他们没有过多的权限， 并能够适当地管理账户。它们确保安全流程和程序都正常运行， 人员会对它们进行跟踪。用户权限审计用户权限是指授予用户的。用户需利和权限来完成工作， 但他们只需要有限数量的。在用户权限的背景下， 最小原则能够确保用户只有他们所需要的用于完成工作的权限， 并且没

11、有更多其他权限。组审计许多组织将小组作为基于身份的访问控制模型的一部分使用。限制这些小组中的成员是很重要的。同样重要的是还要确保小组成员只有在必要时才使用他们的高账户。审计可以帮助确定这些人员是否遵循这些策略。高级别管理组许多操作系统都有组， 如管理员组。管理员组通常被授予系统的全部权限， 当用户账户被放置在管理员组中时， 用户就有了这些。所以， 用户权限审计将经常审查所有组的成员，包括不同的管理员组。双重管理员账号许多组织要求管理员拥有两个账户。一个账户作为日常使用， 另一个账户拥有额外的理工作。这减少了账户的相关风险。， 管理员使用该账户从事管安全审计和审查安全审计有助于帮助组织确定正确实现了安全控制。在安全操作域的上下文中， 安全审计有助于确保管理控制到位。主要内容包括：补丁管理审查、漏洞管理审查、配置管理审计、变更管理审计。报告审计结果审计报告应该有清晰、简洁和客观的结构或设计。保护审计结果审计报告通常包含敏感信息。它们应该被分配一个分类标签， 只有那些有足够的人能够访问审计报告， 包括高层次的管理人员和参与创建报告或负责更正报告中涉及条目的安全人员。另一方面， 审计师执行审计往往是公开的。这使得员工了解到， 高级管理人员正积极地采取措