第七章 - 回應意外事件
本頁索引
儘量降低安全性意外事件的次數和嚴重性
定義意外事件回應計劃
個案研究 – Northwind Traders 意外事件處理
摘要
您的 IT 部門對於處理安全性意外事件的事前準備如何?許多組織只知道在遭受攻擊之後要如何回應安全性意外事件。但此時意外事件所導致的成本損失,可能已經遠遠超過它所應得。您最好將適當的意外事件回應,整合在整體的安全性原則和風險降低策略當中。
回應安全性意外事件,能明確地看到直接的好處。其對財務也有間接的助益。比方說,如果您證明貴公司在正常情況下,能夠快速有效的處理攻擊行動,也許可以獲得保險公司所提供的折扣。或者,如果您是服務供應商,那麼提出一份正式的意外回應計劃,也許會幫助您贏得生意,因為這表示您有認真準備資訊安全性防護的處理。
儘量降低安全性意外事件的次數和嚴重性
預防總是勝於治療,而安全性也不例外。無論在哪裡,您都得把預防安全性意外事件發生視為第一優先。不過,不怕一萬只怕萬一,如果真的發生安全性意外事件,也一定要把影響降到最低。下面是幾項嚴謹的安全措施,可以將安全性意外事件的次數和影響降到最低。其中包括:
- **確實建立以及強制執行所有的原則和程序。**有許多安全性意外事件都是因為 IT 工作人員沒有遵守或了解變更管理程序,或是設定安全性裝置 (例如防火牆和驗證系統) 不當,而不慎發生。您必須徹底測試原則和程序,以確保它實用、清楚,而且達到適當等級的安全性。
- 取得安全性原則和意外事件處理的管理支援。
- 定期監視和分析網路流量和系統效能。
- **定期檢查所有的記錄和記錄機制。**其中包括作業系統事件記錄、應用程式專屬記錄,以及入侵偵測系統記錄。
- **定期審查環境受到攻擊的可能性。**這些動作必須由一位具有特殊證明的安全性專家來執行。
- 定期檢查伺服器,確保它們都有安裝所有最新版的補強。
- **針對 IT 人員和一般使用者,建立安全性訓練程式。**不管哪一個系統,最大的弱點都是天真無邪的使用者 — ILOVEYOU 病毒就非常有效地直攻這個弱點。
- **公佈安全性橫幅訊息,提醒使用者他們有哪些責任和限制;**同時也附帶警告訊息,警告他們可能會遭到哪些違規起訴。如果沒有這類橫幅訊息,可能很難 (或者根本不可能) 起訴犯人。您最好尋求法律建議,確保安全性橫幅訊息中的文字是否合乎法律規定。
- 要開發、實作和強制執行原則,必須具備複雜的密碼。
- **驗證備份和還原程序。**您必須知道要在哪裡維護備份,誰具有這些備份的存取權,同時還要確實掌握資料還原和系統復原的程序。記住,一定要定期做選擇性的資料還原,來驗證備份和媒體。
- **建立「電腦安全性意外回應小組」(CSIRT,Computer Security Incident Response Team)。**這是由一群負責處理任何安全性意外事件的人員所組成。CSIRT 的成員責任必須明確定義,不得遺漏回應當中的任何領域 (本文後面還會更詳細地介紹有關召集 CSIRT 的細節)。
- **訓練 CSIRT 的資訊安全性成員,讓他們妥善使用和置放重要的安全性工具。**您最好在膝上型電腦預先設定這些工具,以確保在安裝和設定工具來回應意外事件時,不浪費任何時間。這些系統和相關工具在不用時,都必須加以適當的保護。
- **集合所有相關的通訊資訊。**凡是組織當中需要通知的人 (包括 CSIRT 的成員,負責支援所有系統的人以及負責媒體關係的人),都得記下他們的姓名和電話號碼。同時,還要取得您 ISP 和當地及國家執法機關的詳細資料。最好在意外事件發生之前,先聯絡當地的執法機關。這將對您確實了解傳報告意外事件和收集證據的程序十分有助益。
- **將所有緊急系統資訊集中置於一個離線位置,例如實體筆記型電腦或離線電腦。**這些緊急資訊包括系統密碼、IP 位址、路由器設定資訊、防火牆規則設定清單、憑證授權金鑰副本、聯絡人姓名和電話號碼以及提升程序等等。這些資訊必須嚴加保護,而且能夠隨時使用。要保護這些資訊並且讓這些資訊能夠隨時使用其中一個方法,就是在專用安全性膝上型電腦上將這些資訊加密,並放在安全的儲藏地點,並且限制只讓經過授權的個人 (如 CSIRT 領導人和主要資訊辦事員或主要技術辦事員) 存取。
召集核心電腦安全性意外事件回應小組
CSIRT 是處理您環境當中電腦安全性意外事件的中心。其責任包括:
- 監視系統,看看有沒有遭到安全性破壞。
- 作為中央通訊點,同時負責接收安全性意外事件報告,以及將意外事件的重要資訊傳達給適當的單位。
- 記錄安全性意外事件並加以分類。
- 提高公司內部的安全性警覺,防止公司發生安全性意外事件。
- 透過弱點稽核和穿透測試等程序,支援系統和網路審核。
- 追蹤新的弱點以及攻擊者使用的攻擊策略。
- 追蹤新的軟體補強。
- 分析和開發新技術,將安全性弱點和風險降到最低。
- 提供安全性諮詢服務。
- 不斷更新目前的系統和程序。
理想的 CSIRT 成員資格和結構,是根據貴公司的類型和您的風險管理策略而定,不過,CSIRT 通常就是貴公司的安全性小組全員,或者其中一部份。核心小組是由負責協調任何意外事件回應的安全性專業人員所組成。CSIRT 的成員數目,通常是根據貴公司的大小和複雜程度而定。但一定要足夠隨時應付所有的小組責任才行。
CSIRT 小組領導人
CSIRT 必須要有一個負責活動的人。CSIRT 小組領導人通常就是負責 CSIRT 活動,以及協調活動審查的人。這一點可能會改變未來處理意外事件的原則和程序。
CSIRT 意外事件領導人
在意外事件當中,必須有一個人負責協調回應。CSIRT 意外事件領導人具有特定意外事件或一組相關意外事件的所有權。所有與該事件相關的通訊,都是透過意外事件領導人加以協調,而且在與那些 CSIRT 以外的人對話時,他必須代表整個 CSIRT。「意外事件領導人」會根據意外事件的性質而有所不同,而且通常不兼「CSIRT 小組領導人」。
CSIRT 副成員
與核心 CSIRT 小組一樣,您必須讓一些特定的人負責處理特定意外事件的回應。副成員是來自貴公司中不同的部門,具備安全性意外事件影響所及領域的專業知識,但不直接與核心 CSIRT 打交道。副成員可能直接參與意外事件,也可能是一個入口,負責委派責任給部門當中更適當的人。下表所列,是一些建議的副成員及其角色。
資料表 7.1:CSIRT 副成員
副成員 | 角色說明 |
---|---|
IT 聯絡人 | 主要負責協調 CSIRT 意外事件領導人和 IT 群組其他人之間的通訊。這個人也許沒有特定的專業技術可以回應意外事件,但他們主要負責在 IP 群組當中尋找適當的人選,來處理特定的安全性事件。 |
法律代表 | 通常是公司內部的法律人員,非常熟悉既有的意外事件回應政策。法律代表可以判斷如何在意外事件當中,以最小的法律責任和最大的能力來起訴犯人。在意外事件發生時,法律代表必須負責監視和回應原則,確保公司在採取整肅或圍堵作業時,不必背負風險。他們必須考慮下面兩者的法律含意:關閉系統,但可能因此違反與客戶之間的服務等級合約或成員資格合約;或者不關閉受害系統,但必須擔負受害系統攻擊所導致的損壞。任何與執法機關以外,或外部調查機構的通訊,也必須與法律代表協調。 |
通訊人員 | 通常是公共關係部門的成員,負責保護和提升公司形象。他們不一定要直接面對媒體和客戶,不過他們要負責技巧的傳達訊息 (而訊息的內容和方針,通常由管理階層負責)。所有的媒體的詢問,都是直接由通訊人員處理。 |
管理人員 | 管理階層的範圍遍及部門到整個公司之間。適當的管理人員將根據影響力、位置、嚴重性以及意外事件的類型而不同。如果您有管理階層的聯絡人,就可以很快的找到最適合某些特定環境的人選。管理人員負責核准和指導安全性原則。同時也負責決定意外事件對於公司的總影響力 (包括財務和其他方面)。管理人員會指示通訊人員,哪些資訊應該透露給媒體,並且決定法律代表與執法機關之間的互動程度。 |
CSIRT 如何回應意外事件
在意外事件當中,CSIRT 會協調來自核心 CSIRT 的回應,並且與 CSIRT 的副成員通訊。下表所列的,是這些人在意外回應程序當中所擔負的責任。 資料表 7.2:CSIRT 在意外事件回應程序當中所擔負的責任
活動 | 角色 | ||||
---|---|---|---|---|---|
CSIRT 意外事件領導人 | IT 聯絡人 | 法律代表 | 通訊人員 | 管理人員 | |
最初評定 | 擁有者 | 指示 | 無 | 無 | 無 |
最初回應 | 擁有者 | 執行 | 最新的 | 最新的 | 最新的 |
收集法庭證據 | 執行 | 指示 | 擁有者 | 無 | 無 |
執行暫時修正 | 擁有者 | 執行 | 最新的 | 最新的 | 指示 |
傳送通訊 | 顧問 | 指示 | 指示 | 執行 | 擁有者 |
詢問當地執法機關 | 更新者 | 最新的 | 執行 | 最新的 | 擁有者 |
執行永久修正 | 擁有者 | 執行 | 最新的 | 最新的 | 最新的 |
判定業務上所受到的財務影響 | 更新者 | 最新的 | 指示 | 最新的 | 擁有者 |
意外回應步驟 | 採取的行動 |
---|---|
進行最初評定 | Samantha Smith 是一個待機傳呼的 CSIRT 成員,她收到一則呼叫簡訊,記錄了 Northwind Traders 入侵偵測系統所記錄的事件。系統指出 Web 伺服器 WEB2 上有疑似 Code Red II 的意外事件發生。她在 WEB2 的 IIS 記錄檔中尋找簽名字串,並且檢查 c:\inetpub\scripts 是否有 root.exe 存在。調查結果強烈顯示這不是假象。 傳達意外事件 Samantha 以電話通知 CSIRT 其他人,告知她自己的最初發現,並且同意持續追蹤新的進展。 抑制損毀和降低風險 Northwind Traders 的意外事件回應原則提到,要驗證是否有病毒存在,必須將該系統從網路移除。於是 Samantha 移除了網路線。還好,WEB2 只是一組負載平衡伺服器的一部份,因此客戶不會因為斷線而停擺。 確定受害的嚴重性 Samantha 掃描了其他伺服器的記錄檔,判斷該病毒是否已經蔓延。結果發現還沒有。 |
傳達意外事件 | Samantha 以電子郵件將這些發現傳達給 CSIRT 的其他成員,並且直接聯絡 CSIRT 領導人。 CSIRT 領導人指派 Mike Danseglio (資訊安全性經理) 為意外事件領導人。Mike 與核心 CSIRT 互相協調所有的活動和通訊。 同時通知技術總監和待機傳呼的資訊技術小組,Web 伺服器已經與網路斷線,必須等到病毒清除之後,才會再次連線。Mike 也通知執行管理人員、通訊人員和法律代表。法律代表則通知 Mike,雖然不可能提出控訴,但還是希望依照程序來收集證據。 |
抑制損毀和降低風險 | 另一個 CSIRT 成員 Robert Brown 則執行 Hfnetchk,看看其他伺服器是否都有 Code Red II 的補強程式。他發現有兩個伺服器還沒有更新,於是立即套用補強程式。 |
確定受害的嚴重性 | Robert 更進一步的掃描其他所有 IIS 伺服器的記錄檔,看看還有沒有 Code Red II 存在。 |
保護證據 | 每一個徵兆都指出,WEB2 已抑制了損毀。由於損毀情形已被妥善抑制,而法律代表也指示要收集證據,因此 Mike 決定在對系統進行干預性的分析之前 (這些動作可能會干擾或破壞證據),先收集證據。其他小組成員則繼續監視其他 Web 伺服器和記錄,看看有沒有可疑的活動。 一個受過收集法庭證據訓練的 CSIRT 成員,建立了兩個受害系統的快照。其中一個快照被小心保存,以供日後法庭審查時使用。另一個快照則在復原程序當中,與事件發生前所製作的乾淨、安全備份一起使用。法庭備份是自從未用過的單次寫入媒體所製作,它依照安全性原則被審慎記錄,而且與伺服器的硬碟一起密封,受到安全的保護。 |
確定攻擊行動的類型和嚴重性 | 含有許多法庭工具的公司安全性工具箱膝上型電腦,是用來審閱復原備份,看看有沒有其他地方受害。登錄項目和資料夾則是用來審閱,看看在啟動時執行軟體 (如 profile/startup 目錄,以及 Run 和 RunOnce 登錄機碼) 的區域,有沒有其他傷害。 使用者和群組帳戶也要與使用者權限和安全原則一併審閱,看看有沒有做過任何修改。 |
通知外部機構 | Northwind Traders 參與了許多大型的美國政府專案,因此 Mike 將意外事件報告給 FBI 的「國家基礎建設保護中心」(National Infrastructure Protection Center)。. 由於客戶資訊或系統存取都沒有受到連累,因此並沒有通知客戶。 |
將系統復原 | 雖然有工具可以從 WEB2 清除 Code Red II,但還是需要推舉 CSIRT 和 WEB2 支援小組,將作業系統重新安裝在新的媒體。將來自原始分配的作業系統重新安裝在新媒體,是為了取得未經任何駭客染指或檔案損毀的乾淨系統。 Windows 2000 重新安裝之後,再依照指南前一章所指定的指示進行,即可增加系統的安全性保護。 接著找出未經感染的備份,然後小心謹慎地還原資料。如果只有受害備份具有這些資料,則將它還原到另一個離線系統,然後在清潔過後,重新併入 WEB2,這時候它就沒有危險了。 接著由 CSIRT 小組針對記錄所有在程序當中發現資訊的系統,完整的審查該系統的弱點評定。 然後將WEB2 重新連線,並且密切監視。 |
編譯和組織意外事件記錄 | Mike 和 CSIRT 研究受害的原因,判斷是因為系統最近重新安裝時,沒有套用補強程式之故。這一點與已經妥善且明確定義的原則不符。這個事件是在下列三個地方爆發:支援小組成員沒有重新套用補強程式,資訊安全性部門沒有即時稽核套用的補強程式,以及配置管理群組沒有指出需要套用補強程式,並且請資訊安全性部門一起檢查系統,再繼續運作。其實只要執行了上述任何一個程序,都可以防止這項意外事件發生。 小組決定執行新的程序,以防止同樣的事件再次發生。接著在資訊安全性部門將任何系統連線或重新連線到內部網路之前,要由變更管理部門、Web 伺服器支援部門以及資訊安全性部門合力完成一份檢查清單。這個檢查清單程序必須在資訊安全性部門重新配置防火牆,讓內部人員來回存取這個系統之前完成。稽核部門也要定期審查這些檢查清單是否精確且完善。 Mike 和 CSIRT 編譯所有的文件,看看到底完成了哪些意外事件專屬作業,每一個作業在什麼時候執行,以及由誰執行。這些資訊會傳給財務代表,讓他們根據「通用帳戶原則」,來計算電腦損失的成本。CSIRT 小組領導人要確定管理人員了解該事件的總成本,事件為什麼發生,以及打算如何防止它再度發生。管理人員則一定要查看有沒有未依照程序,以及未將資源 (如 CSIRT) 妥善就位的事項。 整體的意外事件記錄,從中獲取的教訓,以及遵守及未遵守的原則,都會由適當的小組成員加以審查。 有關尋法律途徑的記錄和程序,則由法律代表、 CSIRT 小組領導人、意外事件領導人以及執行管理人員加以審查。 |
摘要
本指南多半在討論如何將受到攻擊時的風險降到最低。但是,處理安全性最好的方法是儘量降低受到攻擊的機會,然後再假設您會受到攻擊。這個程序的其中一部份,是小心稽核攻擊行動,這一點我們已在第 6 章加以討論。另一個同樣重要的部份,是如果真的受到攻擊,要如何妥善做出明確定義 (事前充分排練) 的回應。
相關主題
《Hacking Exposed Windows 2000》,作者:Joel Scambray 和 Stuart McClure (McGraw-Hill Professional Publishing, ISBN:0072192623} 美國電腦安全研究協會 (Computer Security Institute,www.gocsi.com) — 發表一篇年度學術研究,題名〈Computer Crime and Security Survey〉
其他資訊
- 《Handbook for Computer Security Incident Response Teams》,https://www.sei.cmu.edu/pub/documents/98.reports/pdf/98hb001.pdf
- Forum of Incident Response and Security Team (FIRST),https://www.first.org
- 《Incident Response: Investigating Computer Crime》,作者 Chris Prosise 和 Kevin Mandia (McGraw-Hill Professional Publishing,ISBN: 0072131829}
- 《The Internet Security Guidebook:From Planning to Deployment》,作者 Juanita Ellis, Tim Speed, William P. Crowell (Academic Pr,ISBN: 0122374711)RFC 2196 https://www.ietf.org/rfc/rfc2196.txt?number=2196
- 《Windows 2000 Professional Resource Kit》第 27 章: https://www.microsoft.com/resources/documentation/windows/2000/ professional/reskit/en-us/part6/proch27.mspx Cert Coordination Center (CERT/CC): https://www.cert.org
- LeBlanc 的著作《Writing Secure Code》,MS Press,ISBN:0735615888