回應在 Windows 2000 環境中識別的事件
Overview
發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日
本頁內容
本單元內容
目標
適用於
如何使用本單元
將安全性事件的數量及嚴重性減至最低
定義事件回應計劃
案例 — Contoso 事件處理
總結
其他資訊
本單元內容
您的資訊科技 (IT) 部門對於處理安全性事件準備得有多周全呢?許多組織都只學會如何在遭受到攻擊之後回應安全性事件。而事實證明,為這類事件付出的代價可能比必要成本還高。適當的事件回應應該是您整體安全性原則和風險減輕策略整合的一部份。
回應安全性事件經常是必要的。然而,這並不一定單純只是技術解決方案,而通常需要資深主管確切地解決問題。透過針對事件來進行規劃,您能夠事先與關鍵的主策者磋商。而這可在發生攻擊時提供較快的安全性回應。
回應安全性事件有明顯的直接優勢。不過,也可能有間接的財務效益。舉例來說,如果您可以證明您的組織通常能夠迅速且符合成本效益地處理攻擊狀況,那麼您的保險公司可能會提供一些折扣。或者,如果您是服務提供者,那麼一套正式的事件回應計劃就可以協助爭取到成功的業務,因為它證明您非常重視良好資訊安全性的程序。
本單元概述在以 Microsoft® Windows® 2000 Server 作業系統為基礎的環境中,可用來回應已識別之侵入的單一程序和一組步驟。本單元說明以明確的小組成員角色組成安全性事件回應小組的重要性。它還詳述如何定義安全性事件回應計劃。個案研究舉例說明您如何將此程序及其各步驟套用到您的組織中。
目標
透過本單元即可:
瞭解事件回應規劃的目的,並介紹適合的計劃給您的組織。
瞭解事件回應小組的角色和組合,並在您的組織內建立有效的小組。
將事件發生時的衝擊降至最低。
擷取採取法律行動所需的證據。
適用於
本單元適用於下列產品及技術:
- 所有 IT 基礎結構
如何使用本單元
利用本單元來建立和介紹適合您組織需求的事件回應計劃和小組。
若要充分瞭解本單元:
- **請閱讀單元,**< Windows 2000 稽核與侵入偵測 >。
將安全性事件的數量及嚴重性減至最低
人生的絕大部份是預防勝於治療,而安全性也不例外。您會希望盡可能能在第一時間內就防止安全性事件的發生。然而,要預防所有的安全性事件是不可能的,因此當安全性事件真的發生時,您就需要確保將它的衝擊減至最低。有幾項謹慎的策略您可以採取,來將安全性事件的數量和衝擊減至最低。這些同時包括預防性和回應性的策略:
清楚地建立和強制執行所有的原則和程序。許多安全性事件都是由未遵守或不瞭解變更管理程序或擁有設定不正確的安全性裝置 (例如防火強和驗證系統) 的 IT 人員意外造成。您的原則和程序應該經過徹底的測試,以確保它們能實際運用而且清楚,並提供適當的安全性層級。
取得對安全性原則和事件處理的管理支援。
定期評估環境內的弱點。這應該由具備採取這些行動之特殊權限的安全性專家來完成。
定期檢查伺服器以確保它們安裝了所有最新的修補程式。
針對 IT 員工和一般使用者建立安全性訓練課程。任何系統中最大的弱點就是沒有經驗的使用者 — ILOVEYOU 病蟲就是有效利用 IT 員工和一般使用者的這項弱點。
張貼安全性橫幅提醒使用者他們的職責和限制,並警告違反規定可能的處罰。若無此類橫幅,可能難以追訴攻擊者。您應該徵詢法律顧問來確保安全性橫幅的措詞是恰當的。
發展、執行和強制要求複雜密碼的原則。
定期監視和分析網路流量及系統效能。
定期檢查所有的記錄和記錄機制。這些可包括作業系統事件日誌、應用程式特定記錄,以及侵入偵測系統記錄。
查驗您的備份和還原程序。您應該知道維護備份的位置、誰可以存取它們,以及資料還原和系統修復的程序。確認您定期選擇性地還原資料來查驗備份和媒體。
建立「電腦安全性事件回應小組 (CSIRT)」。這是一組擁有處理任何安全性事件之職責的人員所組成。您的 CSIRT 應該包含權責定義清楚的成員,以確保回應中沒有漏掉任何一區 (有關募集 CSIRT 的詳細資料可在本單元稍後章節中找到)。
訓練您的 CSIRT 成員有關重要安全性工具的適當使用及位置。您還應該考慮提供可攜式電腦,在當中預先設定這些工具,以確保在回應事件時,時間沒有浪費在安裝和設定工具上。這些系統及相關的工具在沒有使用的時候,都必須適當地加以保護。
彙整所有相關的溝通資訊。您應該確保您擁有組織內需要通知的人員 (包括 CSIRT 的成員、負責支援所有系統的人員,以及負責管理媒體關係的人員),其連絡名稱和電話號碼。您還需要網際網路服務提供者 (ISP) 及當地和國內執法機關的詳細資料。考慮在事件發生前連絡當地執法機關。這可幫助您確保您瞭解溝通事件和收集證據的適當程序。
將全部緊急系統資訊放置在一個離線的中央位置,例如實體的筆記型電腦或離線電腦。此項緊急資訊包括系統的密碼、網際網路通訊協定 (IP) 位址、路由器設定資訊、防火牆規則設定清單、憑證授權金鑰的複本、連絡人名稱和電話號碼、擴大程序等等。此項資訊必須同時保存在實際上相當安全且隨時可用的地方。保證安全並使此項資訊隨時可用的其中一個方法,就是將它加密在一個放置在保險櫃的專用安全性可攜式電腦上,並只侷限一些授權的個人,例如 CSIRT 組長和 CIO 或 CTO 能夠存取保險櫃。
募集核心電腦安全性事件回應小組
CSIRT 是處理環境內電腦安全性事件的焦點。其職責包括:
監視系統以找出安全性漏洞。
作為中央溝通點,同時接收安全性事件的報告及散播事件的重要相關資訊給適當的實體。
記載和分類安全性事件。
提升公司內部對安全性的認知,以協助防止事件發生在組織內。
透過諸如弱點評估和滲透測試的程序來支援系統和網路稽核。
持續注意攻擊者所運用之新弱點和攻擊策略。
盡快安裝新的軟體修補程式。
分析及發展新的技術,以將安全性弱點和風險減至最低。
提供安全性諮詢服務。
持續加強和更新目前的系統和程序。
理想的 CSIRT 成員資格和結構乃視您組織的類型和風險管理策略而定。然而,CSIRT 一般應該構成您組織部份或全部的安全性小組。在核心小組的內部是負責協調對任何事件進行回應的安全性專家。CSIRT 內的成員數量通常將視組織的規模和複雜度而定。不過,您應該確保有足夠的成員可隨時充分代理小組的所有職務。
CSIRT 組長
CSIRT 有一個負責其活動的人是很重要的。CSIRT 組長一般將負責 CSIRT 的活動,並將協調其動作的檢討。這可能會造成原則和程序上的變更,以因應未來的事件。
CSIRT 事件組長
在發生事件的情況下,應該有個負責協調回應的人。CSIRT 事件組長具有特定事件或一組相關安全性事件的擁有權。所有與該事件相關的溝通都是透過「事件組長」加以協調,他或她對外是代表整個 CSIRT。根據事件之本質的不同,事件組長可能會有所不同,而且通常與 CSIRT 組長不一樣。
CSIRT 搭檔成員
除了核心 CSIRT 小組外,您還應該有一組特定的人來處理和回應特定事件。搭檔成員是從組織內各個不同的部門挑選出來,而且他們應該擅長於安全性事件所影響但非由核心 CSIRT 直接處理的區域。搭檔成員可直接牽涉事件,或作為接觸點,以委派責任給其部門中更適當的人選。下表展示一些建議的搭檔成員及其角色。
[表 1]:CSIRT 搭檔成員
搭檔成員 | 角色描述 |
---|---|
IT 連絡人 | 主要職務是協調 CSIRT 事件組長和其他 IT 小組之間的溝通。IT 連絡人並不一定具備特定的專業技術來回應即將發生的事件;然而,他或她主要負責找出 IT 小組內的人員來處理特定安全性事件。 |
法律代表 | 通常是內部法律員工之一,非常熟悉既定的事件回應原則。法律代表會決定如何在事件的過程中以最小的法律風險及追訴罪犯的最大能力來著手進行。 在事件發生之前,法律代表應該對監視和回應原則提供意見,以確保在掃蕩或牽制的作業過程中,沒有讓組織冒著法律方面的風險。仔細考慮將系統關機可能違反與客戶之間的服務層級合約或成員合約,或未關閉一個遭入侵的系統而需負責因系統引發的攻擊所造成的損害,這兩者所隱喻的法律責任是不容分說的。 任何對外部執法機關或外部調查機構的溝通都應該與法律代表協調。 |
公關 | 一般是公共關係部門的一員,公關負責的是保護和提昇組織的形象。 此個體不一定是實際面對媒體及客戶的人,但他或她負責打造訊息的要點 (訊息的內容和目標通常是管理的責任)。所有媒體的詢問都應該指向公關。 |
管理 | 管理牽涉的程度可從部門到跨整個組織。適當的管理個體將根據事件的影響、位置、嚴重性和類型而有所不同。 如果您有管理上的連絡點,就可以迅速識別出最適當的個體來應付特定的情況。管理負責的是核准和指導安全性原則。 管理也負責判斷事件對組織的總衝擊 (包括財務和其他方面)。管理會指導公關應該公開哪些資訊給媒體,並決定與法律代表及執法機關之間的互動等級。 |
CSIRT 如何回應事件
在發生事件的情況下,CSIRT 將從核心 CSIRT 來協調回應,並與 CSIRT 的搭檔成員互相溝通。下表說明這些個體在事件回應程序中的職責。
[表 2]:CSIRT 在事件回應程序中的職責
活動 | 角色 | ||||
---|---|---|---|---|---|
CSIRT 事件組長 | IT 連絡人 | 法律代表 | 公關 | 管理 | |
初始評估 | 擁有者 | 建議者 | 無 | 無 | 無 |
初始回應 | 擁有者 | 執行者 | 更新者 | 更新者 | 更新者 |
收集鑑識證據 | 執行者 | 建議者 | 擁有者 | 無 | 無 |
實作暫時修正檔 | 擁有者 | 執行者 | 更新者 | 更新者 | 建議者 |
傳達溝通 | 建議者 | 建議者 | 建議者 | 執行者 | 擁有者 |
與當地執法機關核對 | 更新者 | 更新者 | 執行者 | 更新者 | 擁有者 |
實作永久修正檔 | 擁有者 | 執行者 | 更新者 | 更新者 | 更新者 |
判斷對企業的財務衝擊 | 更新者 | 更新者 | 建議者 | 更新者 | 擁有者 |
事件回應步驟 | 採取的行動 |
---|---|
進行初始評估 | Samantha Smith 是一名隨時待命的 CSIRT 成員,收到了 Contoso 侵入偵測系統所記錄的事件簡短描述的通知。該系統指出 Web 伺服器 WEB2 上一個可能的 Code Red II 事件。她診察 WEB2 伺服器的網際網路資訊服務 (Internet Information Services,IIS) 記錄檔的簽名字串,並檢查 c:\inetpub\scripts 上是否存在 root.exe。這些調查的結果強烈指出這不是誤診。 |
傳達事件 | Samantha 透過電話通知 CSIRT 其他成員有關初始的發現,並同意盡快在有更進一步的詳細資料時進行後續追蹤。 |
抑制損害並將風險減至最低 | Contoso 的事件回應原則指出在確認病蟲的存在後,需將系統從網路中移除。Samantha 移除了網路纜線。還好 WEB2 是一組負載平衡伺服器的一部份,因此客戶不會因中斷連線而經歷到停機。 |
傳達事件 | Samantha 將這些發現透過電子郵件傳達給 CSIRT 的其他成員,並直接連絡 CSIRT 組長。CSIRT 組長指定 Taylor Maxwell,一名資訊安全性管理員,作為事件組長。Taylor 將協調與核心 CSIRT 內外的活動和溝通。 Taylor 通知技術主管和隨時待命的資訊技術小組,Web 伺服器已中斷與網路的連線,而且它至少會先清除病蟲後才恢復連線。 Taylor 也通知了管理主管、公關和法律代表。法律代表告知 Taylor 雖然不可能進行追訴,她希望他還是遵循程序來收集證據。 |
識別入侵的嚴重性 | Samantha 掃描了其他伺服器的記錄檔來判斷病蟲是否已散佈。她發現還未散播開來。 |
抑制損害並將風險減至最低 | 另一名 CSIRT 成員 Robert Brown 執行了 Microsoft Baseline Security Analyzer (MBSA),這是一種 Microsoft 工具,可讓系統管理員從一個中央位置在網路上檢查所有執行 Windows NT® 4.0 版、Windows 2000 和 Windows XP 的電腦其修補程式狀態,並即時判斷其他伺服器是否已針對 Code Red II 進行修補。他發現有其他兩部伺服器尚未更新,並立即套用了修補程式。 |
識別入侵的嚴重性 | Robert 進一步掃描了所有其他 IIS 伺服器的記錄檔,並確定目前沒有任何其他 Code Red II 的例項存在。 |
保護證據 | 每個指標都指出損害已抑制在 WEB2。既然損害已適當地抑制下來,而且法律部門也指出應該收集證據,Taylor 於是決定在對系統進行更深入且可能干擾或破壞證據的分析前先進行收集證據。其他小組成員則持續監視其他 Web 伺服器,並記錄可疑的活動。 一名受訓收集鑑識證據的 CSIRT 成員為遭入侵的系統建立了兩個快照集 (亦即,完整的實體備份)。其中一個快照被小心的保存下來用於之後的鑑識。另一個快照有可能與事件發生前全新、安全的備份搭配用於修復程序。鑑識的備份根據安全性原則,存放在從未用過且只能寫入一次的媒體、經過仔細地記載,並與伺服器的硬碟一起密封和保存。 |
識別攻擊的類型和嚴重性 | 組織的安全性工具組可攜式電腦 (當中包含許多鑑識工具),被用來檢閱修復備份查看是否有其他入侵的跡象。也檢閱了登錄項目和資料夾,查看在啟動後執行軟體的區域是否有增減,例如設定檔/啟動目錄和 Run 與 RunOnce 登錄機碼。使用者和群組帳戶也經過檢閱,還有使用者權利和安全性原則,查看是否有經過修改。也檢查了安全性記錄,查看有無任何其他可疑的活動。 |
通知外部機構。 | 因為 Contoso 也參與過許多美國政府大型的專案,於是 Taylor 向聯邦調查局 (FBI) 國家基礎結構保護中心 (National Infrastructure Protection Center) 報告此事件。 由於判定客戶資訊或系統的存取都未遭入侵,因此並未通知客戶。 |
復原系統 | 雖然有工具可以從 WEB2 清除 Code Red II,CSIRT,而 WEB2 支援小組還是選擇將作業系統重新安裝到新媒體。透過將作業系統從原始的發佈媒體重新安裝到新磁碟媒體,再加上使用 Microsoft Security Toolkit,他們確信擁有的全新系統並沒有駭客漏洞或受損的檔案。 一旦重新安裝 Windows 2000 後,即遵循本指引單元 5 至 7 所指定的指導方針更加嚴格地套用安全性鎖定。 找出了一份未受感染的備份,接著根據記載的程序將資料還原。若資料只能從遭入侵的備份上取得,會將之還原到一個不同、離線的系統,然後在確定不會造成再度感染其他運作正常的系統後再重新併入到 WEB2。 CSIRT 小組針對系統執行了一次完整的弱點評估,並記載在該程序中探索到的所有資訊。 重新將 WEB2 連線到網路,並進行嚴密監視,檢查是否有其他全新或現有入侵的跡象。 |
編譯和整理事件文件 | Taylor 和 CSIRT 一同研究弱點的根源,並判斷系統最近才重新安裝過,但未套用修補程序。這違反了早已清楚定義的原則。 此事件的發生分成三大部份:「支援」小組成員未重新套用修補程式、「資訊安全性」部門未及時稽核套用的修補程式,以及「設定管理」小組未識別套用修補程序的需要,且未讓「資訊安全性」部門在恢復到運作正常狀態前參與檢閱系統。若有遵守這些程序的部份子集的話,此事件就能夠加以避免。 小組決定執行新程序來防止這類的事件再度發生。建立了一份「變更管理」、「Web 伺服器支援」和「資訊安全性」在「資訊安全性」核准將任何系統放入內部網路之前必須完成的檢查清單。必須先完成該檢查清單的程序,「資訊安全性」小組才能重新設定防火牆,以允許外部存取此系統。「稽核」部門也應該定期檢閱檢查清單是否正確且徹底完成。 Taylor 和 CSIRT 一同編譯了所有的文件來判定完成了哪些工作來回應事件、每一項工作所花的時間,以及執行工作的對象是誰。此項資訊接著傳給財務代表,財務代表根據「一般接受的帳戶準則 (Generally Accepted Account Principles)」來計算電腦損失的成本。 CSIRT 組長確定管理部門瞭解事件的總成本、發生的原因,以及計劃在將來如何避免。重要的是讓管理部門瞭解沒有或未遵守程序,以及沒有安排如 CSIRT 的資源所隱含的意義。 適合的小組成員檢閱全部事件文件、所學到的教訓,以及遵守了哪些原則,而哪些未遵守。 與訴諸法律行動相關的文件和程序則由法律代表、CSIRT 組長和事件組長,以及管理主管一同檢閱。 |
總結
本單元的絕大部份都是關於將遭到攻擊的風險降至最低可採取的策略。然而,盡全力將攻擊的機會減至最小,並規劃在遭到攻擊時要怎麼做的組織最有可能成功達成他們的安全性目標。這個程序的其中一部份是要仔細稽核攻擊,這在<Windows 2000 稽核和侵入偵測>單元中有所探討。另一個同樣重要的部份,是要擁有一組經過詳細定義和排演的回應程序,讓您在真正遭受攻擊時,能夠即時、有效地採取行動。
相關主題
Hacking Exposed Windows 2000 由 Joel Scambray 和 Stuart McClure 合著 (McGraw-Hill Professional Publishing, ISBN: 0072192623)。
Computer Security Institute 出版了一份稱為《Computer Crime and Security Survey (英文))》的研究年刊 (https://www.gocsi.com)。
其他資訊
有關《Handbook for Computer Security Incident Response Teams (英文)》的資訊,請參閱:https://interactive.sei.cmu.edu/Recent_Publications/1999/March/98hb001.htm。
有關「Forum of Incident Response and Security Teams,FIRST (英文)」,請參閱:https://www.first.org。
Incident Response: Investigating Computer Crime 由 Chris Prosise 和 Kevin Mandia 合著 (McGraw-Hill Professional Publishing, ISBN: 0072131829)。
The Internet Security Guidebook: From Planning to Deployment Juanita Ellis、Tim Speed、William P. Crowell (Academic Pr, ISBN: 0122374711)。
有關 RFC 2196 的資訊,請參閱:https://www.ietf.org/rfc/rfc2196.txt?number=2196 (英文)。
有關《Windows 2000 Professional Resource Kit》中第 27 章<Overview of Performance Planning>的資訊,請參閱:https://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000pro/reskit/part6/proch27.asp (英文)。
若要訂購免費的 Microsoft Security Toolkit,請前往:https://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/stkintro.asp (英文)。
有關 Cert Coordination Center (CERT/CC) 資訊,請參閱:https://www.cert.org/ (英文)。