1入侵事件晌应策略的建立
1.1响应行为的文档化
明确应急什划和响应策胳,应急什划中应包括了生异常事件(如系统瘫痪或涉密信息的失窃等)应急响应的基本步骤、基本处理方法和汇报流程。应制定能够确保应急计划和响应策略正确实施的规章制度。
1.2配置冗余策略的文档化
如果关键机器在入侵中被入侵。有备份设备就位就可以很快地恢复服务,同时,在被入侵的机器上保留所有证据以便子进行分析。审查事件的整个发生和处理过程,记录所有涉及执行此过程的员工的角色、责任和职权。
2事件晌应的准备工作
选择,安装和熟悉那些响应过程中的协助下具及有助于收集和维护与入侵相关数据。
为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始的可靠的启动盘(或CD-ROMs)使机器以己知的预先设定的配置重新启动,这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。
为了防止不可预期的变化,在试验机器上安装可信任版本的系统,并比较文件(可信的同可能修改过的已经安装了的比较;为了避免有意或无意的破坏,所有的介质应该处于硬件写保护状态。
建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。
建立资源工具包并准备相关硬件设备资源工具包将包含在响应过程中可能要使用的所有工具。这类工具的例子包括那些进行备份和恢复备份,比较文件,建立和比较密码校验和,给系统”照快照“,审查系统配置,列出服务和过程,跟踪攻击站点的路径和它们的ISP等的工具。
确保测试系统正确配置且可用在任何分析或侧试中使用被入侵的系统都可能导致这些系统进一步的暴露和损害。已被入侵的系统产生的任何结果都是不可韶的。此外,采用这样的系统或许会由于恶意程序而暴露你正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中,并且部署新安装的打过补丁的安全的系统,以便继续运行。在完成分析后,清除所有的磁盘,这样可以确保任何残留文件或恶意程序不影响将来的分析,或任何正在测试系统上进行的工作,或是无意中被传到其他运行系统中。这在翻试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果,以备将来进一步的分析
3分析所有可能得到的信息来确定入健行为的特征
一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵,需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹,进一步破坏你准备拯救的系统。这会使分析无法进行下去。
备份被入侵的系统,”隔离“被入侵的系统,进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志,确定攻击者的入侵路径和方法,确定入侵者进入系统后都做了什么。
4 向所有需要知道入住和入侵进展情况的信息化领导小组通报
适时通知并同入侵响应中的关键角色保持联系以便他们履行自己的职责。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据)。通报信息的数是和类型,通知什么人。
5收集和保护与入但相关的资料
收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据。
6消除入侵所有路径
改变全部可能受到攻击的系统的口令、重新设里被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序(包括应用服务)和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露捏度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。
7恢复系统正常操作
确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者又回来的信号。
8跟踪总结
总之,信息安全应急响应体系应该从以下几个方面来更加完善,统一规范事件报告格式,建立及时堆确的安全事件上报体系,在分类的基础上,进一步研究针对各类安全事件的响应对策,从而建立一个应急决策专家系统,建立网络安全事件数据库,这项工作对于事件响应过程的最后一个阶段一总结阶段,具有重要意义。