CISP-信息安全应急响应

信息安全应急响应中国信息安全测评中心CISP-19-信息安全应急响应2009年6月背景：信息安全管理技术信息安全管理风险管理基本概念信息安全管理技术风险评估业务持续性和灾难恢复定量/定性风险评估风险评估工具和方法知识类知识体知识域知识子域BCP&DRP概念和背景业务持续性计划编制和内容业务持续性计划的技术和管理应急响应背景和组织应急响应流程应急响应目录一．互联网网络安全面临重大挑战二．什么是应急响应三．应急响应组的组建四．应急响应服务的过程五．应急响应服务的形式和内容六．应急响应准备阶段关键措施推荐七．应急响应服务案例一、互联网网络安全面临重大挑战目录一．互联网网络安全面临重大挑战二．什么是应急响应三．应急响应组的组建四．应急响应服务的过程五．应急响应服务的形式和内容六．应急响应服务的指标七．应急响应服务案例补充材料：如何编制本单位的《应急预案》我国互联网环境随着互联网各种应用的不断发展，大量的基础网络成为黑客的攻击目标。我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患：•计算机病毒传播和网络非法入侵十分猖獗•网络违法犯罪持续大幅上升安全漏洞，黑客病毒技术、网络钓鱼技术、木马间谍程序互联网安全威胁事例事例•2003年：SQLSLAMMER、口令蠕虫事件、冲击波蠕虫事件•2004年5月：黑客操控六万台电脑制造“僵尸网络”发起拒绝服务攻击•2005年12月——荷兰19岁黑客控制150万台电脑组建僵尸网络•从2006年底到2007年初，“熊猫烧香”在短短时间内通过网络传播全国，数百万电脑中毒•2008年，黑龙江网民篡改红十字会地震募捐账号被捕•2009年，卡巴斯基网站数据库遭黑客攻击机密信息外泄相互结合，危害无穷•Bot、网络蠕虫、计算机病毒、木马程序合为一体网络安全热点网站仿冒（Phishing）•建立假网站•通过垃圾邮件发送服务器大量发信引诱用户访问•使用中奖、系统升级等手段诱使用户输入个人信息•主要针对银行和信用卡服务机构网络钓鱼的靶心仿冒网络银行•(仿冒中国银行，中国银行真实网址为：)•(仿冒中国工商银行，中国工商银行真实网址为：)•（仿冒招商银行，招商银行的真实网址为：）等仿冒方式•假冒域名、网页、邮件网络安全热点僵尸网络的具体概念•Bot——僵尸程序•Zombie——被植入Bot程序的计算机•IRCBot——利用IRC协议进行通信和控制的Bot基于僵尸网络（Botnet）的网络敲诈•大量主机被安装了BOT•黑客可以通过IRC服务器实施控制•随时可能发动攻击•BOT可以进行升级，扩大攻击能力网络安全热点手机和无线网络（WLAN）的安全•2004年，针对使用Symbian的兰牙手机的病毒出现•针对使用PocketPC的验证性攻击程序也被发现•手机功能和操作系统通用性不断增强，会有越来越多针对手机的攻击•WLAN安全性一直是其应用的关键问题•2004年出现了可利用来对IEEE1278.11b无线接入点进行拒绝服务攻击的漏洞网络安全热点黑客地下经济产业链系统越来越复杂工作站中存在信息数据员工移动介质网络中其他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境U盘、无线网络。。。网络安全漏洞大量存在Windows十大安全隐患•Web服务器和服务•工作站服务•Windows远程访问服务•微软SQL服务器•Windows认证•Web浏览器•文件共享•LSASExposures•电子邮件客户端•即时信息Unix十大安全隐患•BIND域名系统•Web服务器•认证•版本控制系统•电子邮件传输服务•简单网络管理协议•开放安全连接通讯层•企业服务NIS/NFS配置不当•数据库•内核来源SANS研究报告攻击复杂度与攻击者的技术水平高低19801985199019952000猜口令自我复制程序口令破解攻击已知漏洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗图形化界面自动扫描拒绝服务第一代•BootvirusesWeeks第二代•Macroviruses•DenialofserviceDays第三代•Distributeddenialofservice•BlendedthreatsMinutes下一代•Flashthreats•Massiveworm-drivenDDoS•DamagingpayloadwormsSeconds快速变化的威胁网络安全造成损失越来越大信息泄密•“黛蛇事件”：2005年12月15日发现一个利用MS05-051微软高危漏洞传播的“黛蛇”蠕虫，该攻击下载运行键盘记录软件和蠕虫文件包，窃取用户数据。网络堵塞•SQLSLAMMER：2003年1月25日发作,造成大面积网络拥塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台•业务停顿，网上招生停顿、网上交易中断等造成的财产损失难以估计，数字绝非耸人听闻•从2004年10月起，北京一家音乐网站连续3个月遭到一个控制超过6万台电脑的“僵尸网络”的“拒绝服务（DoS）”攻击，造成经济损失达700余万元切肤之痛？防止网络故障造成巨大损失和影响1.2003.2.3阿尔及利亚停电事故2.2003.3.31伊朗大停电事故3.2003.8.14美加大停电事故4.2003.8.28伦敦大停电5.2003.9.23瑞典和丹麦停电事故6.2003.9.28意大利和瑞士大停电7.2003年11月约旦停电事故8.2003.11.8利比亚西部停电事故9.2004年8月的约旦停电事故10.2005年5月的莫斯科停电事故从安全事件看网络安全威胁及其发展趋势大规模蠕虫事件的特点蠕虫大规模爆发时的情形：•“风暴”、“飓风”、“攻势凌厉”大规模蠕虫事件的特点：•引起突发性的大量异常网络流量•感染主机数量多、分布广•对互联网用户造成的最直观影响是网络应用缓慢或停止•只有从网络上设置访问限制才能遏制蠕虫的发展蠕虫依然是重大的潜在威胁虽然2006年没有大规模的、造成重大社会影响的案例，但蠕虫依然是重大威胁传统破坏力：•关键阶段的服务中断：入学报名或查询、在线证券交易、政府集中业务审批、奥运播报、etc.新破坏力：•网络阻塞•失泄密威胁严重•成为黑客攻击他人的工具：DDoS致使全网DNS或者大型业务系统瘫痪；关键系统或资源被控制蠕虫事件的对抗爆发前的工作：漏洞分析；探测行为（有时没有）监测；漏洞影响评估；攻击代码监测；补丁、临时工具研制；临时措施研究与实施状态监测：代码特征分析；监测策略；数据分析网络控制：•影响评估；可行性尝试；快速部署；隔离后的监测•挑战：如果使用了必须的端口？终端清除：•防病毒产品•问题：主动遏制技术及其适用情况与范围？（对抗式蠕虫；网络自动隔离技术；wormpoisoning）附属破坏力的发现与控制：代码分析；控制技术与能力形势日渐严峻：通过互联网进行窃密的威胁日益增大最主要威胁：•遭控制，尤其是关键节点•失泄密2004年，6千多个IP2005年：超过2万2千个IP代码类威胁之：木马传播途径：•入侵+手工植入•蠕虫携带/蠕虫进入后下载•垃圾邮件•网页动机变化木马的演变木马事件的对抗样本收集与分析活动监测：通信监测；操作监测控制切断数据分析：攻击源与动机分析；切取数据的分析新挑战：加密通信与数据保存？协议嵌套？代码类威胁之：间谍软件2005年被CNCERT/CC列为三大重点关注对象之一2005年发现我国70万IP被植入间谍软件，与美国、韩国的服务器联络市场上已经出现专门的反间谍软件产品主要危害：信息泄漏主要特点：经常是获得用户许可之后运行的，或者借助在线服务等方法“合法”地传送信息僵尸网络的威胁2005年CNCERT/CC关注的三大重点之一当前最严重的安全威胁之一2005年发现我国超过250万IP被控制，分布在140多个僵尸网络中（不包括年初17万和荷兰组织提供的29万）一些国家开始作为专项展开研究；出现一些公司以反僵尸网络作为专门业务；多起专题国际研讨会主要危害：瘫痪基础网络；控制关键系统；信息泄漏；瘫痪或干扰重要应用；金融犯罪；etc.僵尸网络的主要特点控制者获得超强的攻击能力作为攻击平台，能够使几乎所有其他类型的安全威胁的破坏力大增•蠕虫；DDoS；网络钓鱼/在线身份窃取；垃圾邮件；信息窃取；伪造访问量；敲诈勒索；etc.防火墙完全无能为力僵尸网络的类型IRC-basedBotnet:绝大多数僵尸网络P2P-basedBotnet:这类Bot采用点对点方式相互通信Web-basedBotnet:这类Bot利用Http协议向控制服务器传递信息AOL-basedBotnet:登录到固定的AOL服务器接受控制命令。完整僵尸网络的发现控制系统监视控制者追踪控制行为监视控制体系摧毁僵尸程序清除代码获取与数据分析挑战：新协议；P2P；加密僵尸网络事件对抗恶意代码的特点对比类型特点传播性可控性窃密性危害类型僵尸程序可控传播高度可控有完全控制木马无可控有完全控制蠕虫主动传播无／弱无／弱主机和网络资源间谍软件无无严重窃密信息泄露病毒干预传播无无破坏文件非代码类威胁之：网络仿冒国际上增长最快的、最热门的安全事件之一CNCERT/CC2005重点关注的三大威胁之一国际上出现不少专门组织、专题研讨活动CNCERT/CC处理：2004年230；2005年456；主要危害：•企业或个人经济利益损失•大规模事件时可能导致一定范围金融瘫痪（例如数千万信用卡信息失窃时，银行可能被迫集中更换大批信用卡）不断变化的技术手段：•垃圾邮件+社会工程学方法+相似链接+仿冒网站•垃圾邮件+社会工程学方法+隐藏的链接+仿冒网站利用浏览器漏洞做到更好的链接隐藏仿冒网站本身的技术变化•恶意代码进驻+修改host文件+仿冒网站•恶意代码进驻+监视软件•[恶意代码进驻]：垃圾邮件+邮件工具漏洞；垃圾邮件+浏览器漏洞+陷阱网页蠕虫+恶意代码•直接从在线交易环节中窃取信息！网络仿冒我国网络仿冒的基本情况安全防范能力薄弱安全防范意识对网络仿冒的危害没有了解部分网络业务非实名制度始终没有解决的一个严重威胁目前敲诈勒索的主要手段之一蠕虫驱动的DDoS，以及大型僵尸网络发动的DDoS，可能严重威胁到基础网络/关键应用/重要应用系统的正常运行非代码类威胁之：拒绝服务攻击非代码类威胁之：拒绝服务攻击攻击手法•单对单：利用协议或协议实现漏洞；利用资源差异；利用基础服务配置和IP伪造•多对单：利用资源差异+IP伪造；利用巨大的资源差异驱动力变化过滤干扰流量；追溯攻击源头；追溯攻击者；公共策略执行：推广相关的基础配置；攻击平台摧毁拒绝服务攻击事件的对抗非代码类威胁之：网页篡改居高不下：2004年2059/1029；2005年13653/20272006年31378/3589传统危害：•政治和社会影响•外交纠纷•政务中断网页篡改的演变威胁将不再仅仅局限于造成影响•电子政务；网上业务；网上应用的中断“示威”性篡改到功利性篡改•利用信誉高的网站设置陷阱新威胁：•窃取数据•入侵用户主机（可以是有针对性的）•滥用作为攻击活动的中转或控制基地发现：•举报；主动搜索•挑战：深度、广度的增加；新型恶意代码定位与分析•尽早通知用户•手段分析•