1入侵事件晌應策略的建立
1.1響應行為的文檔化
明確應急什划和響應策胳,應急什划中應包括了生異常事件(如系統癱瘓或涉密信息的失竊等)應急響應的基本步驟、基本處理方法和匯報流程。應制定能夠確保應急計划和響應策略正確實施的規章制度。
1.2配置冗余策略的文檔化
如果關鍵機器在入侵中被入侵。有備份設備就位就可以很快地恢復服務,同時,在被入侵的機器上保留所有證據以便子進行分析。審查事件的整個發生和處理過程,記錄所有涉及執行此過程的員工的角色、責任和職權。
2事件晌應的准備工作
選擇,安裝和熟悉那些響應過程中的協助下具及有助於收集和維護與入侵相關數據。
為所有的應用軟件和操作系統創建啟動盤或隨機器發行的介質庫。用初始的可靠的啟動盤(或CD-ROMs)使機器以己知的預先設定的配置重新啟動,這在相當程度上能保證被入侵后的文件、程序以及數據不會加載到系統中。
為了防止不可預期的變化,在試驗機器上安裝可信任版本的系統,並比較文件(可信的同可能修改過的已經安裝了的比較;為了避免有意或無意的破壞,所有的介質應該處於硬件寫保護狀態。
建立一個包含所有應用程序和不同版本的操作系統的安全補丁庫。確保備份程序足夠從任何損害中恢復。
建立資源工具包並准備相關硬件設備資源工具包將包含在響應過程中可能要使用的所有工具。這類工具的例子包括那些進行備份和恢復備份,比較文件,建立和比較密碼校驗和,給系統”照快照“,審查系統配置,列出服務和過程,跟蹤攻擊站點的路徑和它們的ISP等的工具。
確保測試系統正確配置且可用在任何分析或側試中使用被入侵的系統都可能導致這些系統進一步的暴露和損害。已被入侵的系統產生的任何結果都是不可韶的。此外,采用這樣的系統或許會由於惡意程序而暴露你正在進行的測試。使用物理和邏輯上與任何運行的系統和網絡隔離的測試系統和測試網絡。選擇將被入侵的系統移到測試網絡中,並且部署新安裝的打過補丁的安全的系統,以便繼續運行。在完成分析后,清除所有的磁盤,這樣可以確保任何殘留文件或惡意程序不影響將來的分析,或任何正在測試系統上進行的工作,或是無意中被傳到其他運行系統中。這在翻試系統還有其他用途時是很關鍵的。備份所有被分析的系統以及保護分析結果,以備將來進一步的分析
3分析所有可能得到的信息來確定入健行為的特征
一旦被入侵檢測機制或另外可信的站點警告已經檢側到了入侵,需要確定系統和數據被入侵到了什么程度。需要權衡收集盡可能多信息的價值和入侵者發現他們的活動被發現的風險之間的關系。一些入侵者會驚慌並試圖刪除他們活動的所有痕跡,進一步破壞你准備拯救的系統。這會使分析無法進行下去。
備份被入侵的系統,”隔離“被入侵的系統,進一步查找其他系統上的入侵痕跡。檢查防火牆、網絡監視軟件以及路由器的日志,確定攻擊者的入侵路徑和方法,確定入侵者進入系統后都做了什么。
4 向所有需要知道入住和入侵進展情況的信息化領導小組通報
適時通知並同入侵響應中的關鍵角色保持聯系以便他們履行自己的職責。入侵響應需要管理層批准,需要決定是否關閉被破壞的系統及是否繼續業務,是否繼續收集入侵者活動數據(包括保護這些活動的相關證據)。通報信息的數是和類型,通知什么人。
5收集和保護與入但相關的資料
收集入侵相關的所有資料,收集並保護證據,保證安全地獲取並且保存證據。
6消除入侵所有路徑
改變全部可能受到攻擊的系統的口令、重新設里被入侵系統、消除所有的入侵路徑包括入侵者已經改變的方法、從最初的配置中恢復可執行程序(包括應用服務)和二進制文件、檢查系統配置、確定是否有未修正的系統和網絡漏洞並改正、限制網絡和系統的暴露捏度以改善保護機制、改善探測機制使它在受到攻擊時得到較好的報告。
7恢復系統正常操作
確定使系統恢復正常的需求和時間表、從可信的備份介質中恢復用戶數據、打開系統和應用服務、恢復系統網絡連接、驗證恢復系統、觀察其他的掃描、探測等可能表示入侵者又回來的信號。
8跟蹤總結
總之,信息安全應急響應體系應該從以下幾個方面來更加完善,統一規范事件報告格式,建立及時堆確的安全事件上報體系,在分類的基礎上,進一步研究針對各類安全事件的響應對策,從而建立一個應急決策專家系統,建立網絡安全事件數據庫,這項工作對於事件響應過程的最后一個階段一總結階段,具有重要意義。