搜索
网络安全挑战与应急处理国家计算机网络应急技术处理协调中(CNCERT/CC)运行部主任杜跃进博士2004年10月.广西NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina报告内容•网络安全威胁:从用户到网络•网络安全挑战:可否赢得这场比赛?•网络安全的几个误区:错误的理解•正确理解应急处理:让网络安全成为运行的“过程”•经验与教训:迎接当前挑战的几大关键要素•国内外现状和趋势简介NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全不再是事不关己的故事•黑客到底有多黑?–网络原子弹:10分钟之内让全世界瘫痪–伪装攻击:肆无忌弹–数字“特洛伊”:远古手段的现代演化–“钓鱼”活动:日益活跃的陷阱–“信息爆炸”的时代:垃圾邮件的“贡献”–“禁毒”:全世界的持久战–盲区:损失多大?NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全不再仅仅是终端的事•网络成为一种关键基础设施,网络的瘫痪带来严重影响–生产停顿;交易中断;–招生、科研、旅行、etc.•传统的很多概念受到挑战–防病毒不再是全部–别人的主机不安全,也会影响到自己–网管成为网络安全保障的前线–网络供应商需要为网络的安全运行提供保障–Etc.NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina为什么还不安全?•领导重视了•资金到位了•设备购买了•方案论证了•可是…………..为什么还出事?!NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina关键是速度•Response‘intime’istheKEY:RtPtEqualstoSecure•Thekeyis:whetheryoucanresponseeffectivelyandquicklyenough(stoptheattackingbeforethedamage–thatyoucannotbear,accordingtoyoursecurityplan—iscaused)•Catchthetheftbeforeyourthingsarestolen!NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaChallengesforbeing‘intime’NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaTherace•Attackers:–Vulnerabilitydiscovery–Attackingcode(malware)programming–(alittlebittesting,maybe)–Releasemalware•Defenders:–Vulnerabilitydiscovery–Informationdelivery–Patchdevelopment–Patchdelivery–Riskscan–Attackingmonitoring–Malwareanalysis–PropagationControl–Patch&toolsdelivery–Infectedcomputersrecovery–Upgrade&adjustment/evaluationNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaHowfastareourenemies?•Vulnerabilitydiscovered:atanytime•Newattackingmalwareappear:fewweeksafterthevulnerabilityispublished(stillbecomingshorter)•NOW0-DAYATTACKappears•10to30minutesisenoughforanewwormtomakethewholeInternetcongested(alsomightbeshorter)•Well,howfastcanwebe,then?NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaWhatwearefacing:•Thenetworkwearegoingtoprotect:–87millionNetizens–Morethan36milliononlinecomputers–Morethan600,000websites–Nearly54Ginternationalbandwidth–(fromCNNIC,14thsurveytillJune30.2004.eachfigureisincreasingdramatically!)•Thousandsofvulnerabilitiesarereportedeachyear(accordingtoCERT/CC)•PeopleNEVERpatchorupgradeintime(accordingtothereality.butmaybetheyshouldnotbeblamed)•Thewholeworldisconnected,attackingmightcomefromanycorneratanytime•WeNEVERhaveenoughqualifiedsecuritystaff(doyouhaveasupermanwhoknowseverythingandneverneedarest?)•……NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaDowehaveanychancestowin?Don’tknowactually.Butanyhow,itseemsthatwedoneedsomenecessariestomakethingsbetterNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina一些主要的误区•要是用户都及时打补丁……•买了更好的产品,可以高枕无忧了……•找个高手,解决问题……•内外网隔离,还怕什么?•……正确理解应急响应NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina安全是一个动态的过程•“动态”的问题:–网络和系统的组成和变化(结构、地址、甚至操作系统)–应用的变化(内部应用的增加或者减少)–用户的变化(用户的群体和个体行为属性的变化)–外界威胁的变化(新的漏洞、新的攻击方法、etc.)•安全不是一个静止的“状态”,而是一个动态的过程。NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina什么是应急响应•调查:我们有多少人知道应急响应?多少人知道CERT/CSIRT?•应急处理实际上是网络安全保障“工作”的具体体现。各种防护方案、安全设施、策略规定等,广义上都可以理解为应急处理工作的一部分。而完整的应急处理工作的各个阶段,则体现了网络安全保障的不间断的“过程”。NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina实践:及时发现是安全保障的第一要求•根本性的问题在于当事件发生的时候,有关人员能否及时发现,以及能否做出准确判断•问题1:局部网络安全策略的维护、日志分析、报警数据处理;•问题2:局部数据只能反映片面的情况,如何作出全局的判断;•问题3:网络世界和现实世界的一个不同之处是,受到事件影响的用户自己经常并不明白发生了什么事情,因此,完全依赖用户投诉作为发现手段是不现实的。•对红色代码、SQLSLAMMER等事件的处理过程,证明了网管人员及其工作在应急工作中的重要性;也证明了数据情报及时汇总分析的重要性。事后:部分用户投诉事件;事中:大规模网络攻击事件、部分用户投诉事件事前:异常检测的分析结果、关联事件、根据其他情报获悉从实践中获得的经验和教训NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina历史教训:2001.CodeRed/Nimda•当时的组织:CNCERT/CC;CCERT•当时的效率:–掌握情况需要两天:通过开会的方式了结全面的情况–控制局面:缺乏有效的机制•2001年红色代码和尼姆达事件处置的教训–掌握信息的准确性和完整性与时间上的要求之间的矛盾–处置遇到的困难•技术上的教训:大规模安全事件的危害–严重的网络阻塞甚至瘫痪–应用中断危及经济和生活的很多方面–大量主机面临严重的信息泄漏威胁•举措:成立了早期的应急处理体系NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina支撑协调/指导/信息产业部互联网应急处理协调办公室领导协调各骨干网的CERT国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家计算机网络应急技术处理协调中心(CNCERT/CC)NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina历史教训:国际方面•1988年11月:Morris蠕虫:主体瘫痪•几周后,CERT/CC成立•其后的两年,CERT组织纷纷出现•1989年10月:Wank蠕虫:发现CERT组织之间的沟通与合作非常必要•1990:FIRST成立•FIRST依然存在不足NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina正面经验:2003.SQLSlammer/口令蠕虫•组织:CNCERT/CC;CCERT;各运营商CERT;国际组织•效率:两小时判断情况,半天控制局势•总结:–应急体系发挥了重要作用–潜在的问题还有很多NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaSQL杀手蠕虫事件•2003年1月25日发作•造成大面积网络拥塞,部分骨干网络瘫痪•韩国网络基本处于瘫痪状态•我国境内感染主机22600余台2003年1月:应急体系发挥显著作用,通力合作初显成效,各运营单位的CERT组织、网管人员通力合作,互通消息和经验,降低了损失和影响,不仅做到及时发现,而且能够及时分析和响应NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina口令蠕虫事件•2003年3月8日出现,主要在教育网中蔓延,部分大学校园网络瘫痪•后蔓