回應在 Windows 2000 環境中識別的事件

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
將安全性事件的數量及嚴重性減至最低
定義事件回應計劃
案例 — Contoso 事件處理
總結
其他資訊

本單元內容

您的資訊科技 (IT) 部門對於處理安全性事件準備得有多周全呢?許多組織都只學會如何在遭受到攻擊之後回應安全性事件。而事實證明,為這類事件付出的代價可能比必要成本還高。適當的事件回應應該是您整體安全性原則和風險減輕策略整合的一部份。

回應安全性事件經常是必要的。然而,這並不一定單純只是技術解決方案,而通常需要資深主管確切地解決問題。透過針對事件來進行規劃,您能夠事先與關鍵的主策者磋商。而這可在發生攻擊時提供較快的安全性回應。

回應安全性事件有明顯的直接優勢。不過,也可能有間接的財務效益。舉例來說,如果您可以證明您的組織通常能夠迅速且符合成本效益地處理攻擊狀況,那麼您的保險公司可能會提供一些折扣。或者,如果您是服務提供者,那麼一套正式的事件回應計劃就可以協助爭取到成功的業務,因為它證明您非常重視良好資訊安全性的程序。

本單元概述在以 Microsoft® Windows® 2000 Server 作業系統為基礎的環境中,可用來回應已識別之侵入的單一程序和一組步驟。本單元說明以明確的小組成員角色組成安全性事件回應小組的重要性。它還詳述如何定義安全性事件回應計劃。個案研究舉例說明您如何將此程序及其各步驟套用到您的組織中。

目標

透過本單元即可:

  • 瞭解事件回應規劃的目的,並介紹適合的計劃給您的組織。

  • 瞭解事件回應小組的角色和組合,並在您的組織內建立有效的小組。

  • 將事件發生時的衝擊降至最低。

  • 擷取採取法律行動所需的證據。


適用於

本單元適用於下列產品及技術:

  • 所有 IT 基礎結構


如何使用本單元

利用本單元來建立和介紹適合您組織需求的事件回應計劃和小組。

若要充分瞭解本單元:

  • 請閱讀單元,Windows 2000 稽核與侵入偵測 >。


將安全性事件的數量及嚴重性減至最低

人生的絕大部份是預防勝於治療,而安全性也不例外。您會希望盡可能能在第一時間內就防止安全性事件的發生。然而,要預防所有的安全性事件是不可能的,因此當安全性事件真的發生時,您就需要確保將它的衝擊減至最低。有幾項謹慎的策略您可以採取,來將安全性事件的數量和衝擊減至最低。這些同時包括預防性和回應性的策略:

  • 清楚地建立和強制執行所有的原則和程序。許多安全性事件都是由未遵守或不瞭解變更管理程序或擁有設定不正確的安全性裝置 (例如防火強和驗證系統) 的 IT 人員意外造成。您的原則和程序應該經過徹底的測試,以確保它們能實際運用而且清楚,並提供適當的安全性層級。

  • 取得對安全性原則和事件處理的管理支援。

  • 定期評估環境內的弱點。這應該由具備採取這些行動之特殊權限的安全性專家來完成。

  • 定期檢查伺服器以確保它們安裝了所有最新的修補程式。

  • 針對 IT 員工和一般使用者建立安全性訓練課程。任何系統中最大的弱點就是沒有經驗的使用者 — ILOVEYOU 病蟲就是有效利用 IT 員工和一般使用者的這項弱點。

  • 張貼安全性橫幅提醒使用者他們的職責和限制,並警告違反規定可能的處罰。若無此類橫幅,可能難以追訴攻擊者。您應該徵詢法律顧問來確保安全性橫幅的措詞是恰當的。

  • 發展、執行和強制要求複雜密碼的原則。

  • 定期監視和分析網路流量及系統效能。

  • 定期檢查所有的記錄和記錄機制。這些可包括作業系統事件日誌、應用程式特定記錄,以及侵入偵測系統記錄。

  • 查驗您的備份和還原程序。您應該知道維護備份的位置、誰可以存取它們,以及資料還原和系統修復的程序。確認您定期選擇性地還原資料來查驗備份和媒體。

  • 建立「電腦安全性事件回應小組 (CSIRT)」。這是一組擁有處理任何安全性事件之職責的人員所組成。您的 CSIRT 應該包含權責定義清楚的成員,以確保回應中沒有漏掉任何一區 (有關募集 CSIRT 的詳細資料可在本單元稍後章節中找到)。

  • 訓練您的 CSIRT 成員有關重要安全性工具的適當使用及位置。您還應該考慮提供可攜式電腦,在當中預先設定這些工具,以確保在回應事件時,時間沒有浪費在安裝和設定工具上。這些系統及相關的工具在沒有使用的時候,都必須適當地加以保護。

  • 彙整所有相關的溝通資訊。您應該確保您擁有組織內需要通知的人員 (包括 CSIRT 的成員、負責支援所有系統的人員,以及負責管理媒體關係的人員),其連絡名稱和電話號碼。您還需要網際網路服務提供者 (ISP) 及當地和國內執法機關的詳細資料。考慮在事件發生前連絡當地執法機關。這可幫助您確保您瞭解溝通事件和收集證據的適當程序。

  • 將全部緊急系統資訊放置在一個離線的中央位置,例如實體的筆記型電腦或離線電腦。此項緊急資訊包括系統的密碼、網際網路通訊協定 (IP) 位址、路由器設定資訊、防火牆規則設定清單、憑證授權金鑰的複本、連絡人名稱和電話號碼、擴大程序等等。此項資訊必須同時保存在實際上相當安全且隨時可用的地方。保證安全並使此項資訊隨時可用的其中一個方法,就是將它加密在一個放置在保險櫃的專用安全性可攜式電腦上,並只侷限一些授權的個人,例如 CSIRT 組長和 CIO 或 CTO 能夠存取保險櫃。

募集核心電腦安全性事件回應小組

CSIRT 是處理環境內電腦安全性事件的焦點。其職責包括:

  • 監視系統以找出安全性漏洞。

  • 作為中央溝通點,同時接收安全性事件的報告及散播事件的重要相關資訊給適當的實體。

  • 記載和分類安全性事件。

  • 提升公司內部對安全性的認知,以協助防止事件發生在組織內。

  • 透過諸如弱點評估和滲透測試的程序來支援系統和網路稽核。

  • 持續注意攻擊者所運用之新弱點和攻擊策略。

  • 盡快安裝新的軟體修補程式。

  • 分析及發展新的技術,以將安全性弱點和風險減至最低。

  • 提供安全性諮詢服務。

  • 持續加強和更新目前的系統和程序。

理想的 CSIRT 成員資格和結構乃視您組織的類型和風險管理策略而定。然而,CSIRT 一般應該構成您組織部份或全部的安全性小組。在核心小組的內部是負責協調對任何事件進行回應的安全性專家。CSIRT 內的成員數量通常將視組織的規模和複雜度而定。不過,您應該確保有足夠的成員可隨時充分代理小組的所有職務。

CSIRT 組長

CSIRT 有一個負責其活動的人是很重要的。CSIRT 組長一般將負責 CSIRT 的活動,並將協調其動作的檢討。這可能會造成原則和程序上的變更,以因應未來的事件。

CSIRT 事件組長

在發生事件的情況下,應該有個負責協調回應的人。CSIRT 事件組長具有特定事件或一組相關安全性事件的擁有權。所有與該事件相關的溝通都是透過「事件組長」加以協調,他或她對外是代表整個 CSIRT。根據事件之本質的不同,事件組長可能會有所不同,而且通常與 CSIRT 組長不一樣。

CSIRT 搭檔成員

除了核心 CSIRT 小組外,您還應該有一組特定的人來處理和回應特定事件。搭檔成員是從組織內各個不同的部門挑選出來,而且他們應該擅長於安全性事件所影響但非由核心 CSIRT 直接處理的區域。搭檔成員可直接牽涉事件,或作為接觸點,以委派責任給其部門中更適當的人選。下表展示一些建議的搭檔成員及其角色。

[表 1]:CSIRT 搭檔成員

搭檔成員

角色描述

IT 連絡人

主要職務是協調 CSIRT 事件組長和其他 IT 小組之間的溝通。IT 連絡人並不一定具備特定的專業技術來回應即將發生的事件;然而,他或她主要負責找出 IT 小組內的人員來處理特定安全性事件。

法律代表

通常是內部法律員工之一,非常熟悉既定的事件回應原則。法律代表會決定如何在事件的過程中以最小的法律風險及追訴罪犯的最大能力來著手進行。

在事件發生之前,法律代表應該對監視和回應原則提供意見,以確保在掃蕩或牽制的作業過程中,沒有讓組織冒著法律方面的風險。仔細考慮將系統關機可能違反與客戶之間的服務層級合約或成員合約,或未關閉一個遭入侵的系統而需負責因系統引發的攻擊所造成的損害,這兩者所隱喻的法律責任是不容分說的。

任何對外部執法機關或外部調查機構的溝通都應該與法律代表協調。

公關

一般是公共關係部門的一員,公關負責的是保護和提昇組織的形象。

此個體不一定是實際面對媒體及客戶的人,但他或她負責打造訊息的要點 (訊息的內容和目標通常是管理的責任)。所有媒體的詢問都應該指向公關。

管理

管理牽涉的程度可從部門到跨整個組織。適當的管理個體將根據事件的影響、位置、嚴重性和類型而有所不同。

如果您有管理上的連絡點,就可以迅速識別出最適當的個體來應付特定的情況。管理負責的是核准和指導安全性原則。

管理也負責判斷事件對組織的總衝擊 (包括財務和其他方面)。管理會指導公關應該公開哪些資訊給媒體,並決定與法律代表及執法機關之間的互動等級。

CSIRT 如何回應事件

在發生事件的情況下,CSIRT 將從核心 CSIRT 來協調回應,並與 CSIRT 的搭檔成員互相溝通。下表說明這些個體在事件回應程序中的職責。

[表 2]:CSIRT 在事件回應程序中的職責

活動

角色

  

  

  

  

  

CSIRT 事件組長

IT 連絡人

法律代表

公關

管理

初始評估

擁有者

建議者

初始回應

擁有者

執行者

更新者

更新者

更新者

收集鑑識證據

執行者

建議者

擁有者

實作暫時修正檔

擁有者

執行者

更新者

更新者

建議者

傳達溝通

建議者

建議者

建議者

執行者

擁有者

與當地執法機關核對

更新者

更新者

執行者

更新者

擁有者

實作永久修正檔

擁有者

執行者

更新者

更新者

更新者

判斷對企業的財務衝擊

更新者

更新者

建議者

更新者

擁有者


定義事件回應計劃

您 IT 環境的所有成員都應該知道在事件發生的情況下該採取何種動作。雖然 CSIRT 會執行絕大多數的動作來回應事件,但各層級的 IT 員工都應該知道如何在內部報告事件。一般使用者應該直接向 IT 員工或透過服務台報告可疑的活動,而不是直接報告給 CSIRT。

事件回應計劃應由所有的小組成員仔細的檢閱,並方便所有 IT 員工存取。這將協助確保在事件真的發生時,遵守的是正確的程序。

您的事件回應計劃應該包括下列步驟:

  • 進行初始評估。

  • 傳達事件。

  • 抑制損害並將風險減至最低。

  • 識別入侵的類型和嚴重性。

  • 保護證據。

  • 通知外部機構。

  • 修復系統。

  • 編譯和整理事件文件。

  • 評估事件損害和成本。

  • 檢討回應並更新原則。

注意:Word 文件「事件回應快速參考卡」可在事件過程中用作為檢查清單,來確保所有的階段皆已適當的執行。此文件的檔名是 JA1001.doc,而且包含在本指引隨附的一個叫做 SecWin2k.exe 的自動解壓縮的執行檔中。

這些並不是連續步驟。而是會發生在整個事件過程中。例如,文件記載最先開始並持續遍及整個事件的生命週期;溝通也發生在整個事件中。

程序的其他部份也彼此搭配運作。例如,在初始評估中,您會對攻擊的一般本質有所瞭解。使用這項資訊盡快抑制損害並將風險減至最低十分的重要。如果您的動作夠快,就可以幫助省下許多時間和金錢,還有組織的聲譽。

不過,除非您更深入瞭解入侵的類型和嚴重性,否則將無法真正有效的抑制損害並將風險減至最低。過度的回應甚至還會導致比初始攻擊還大的損失。透過彼此設法達成這些步驟,將在立即和有效動作之間取得最佳的折衷。

注意:在事件發生前徹底測試您的事件回應程序是很重要的。若沒有徹底測試,就無法確定您所籌備的策略是否能有效的回應事件。

進行初始評估

許多活動都可能表示是對組織的潛在攻擊。例如,執行合法系統維護的網路系統管理員,跟發起攻擊的人看起來會很類似。在其他的狀況下,設定不良的系統可能會導致侵入偵測系統中產生大量的誤診,而使真正重要的事件更難辨識。

在初始評估時,您應該:

  • 採取初始的步驟,以判斷您處理的是真正重要的事件,或是誤診。

  • 獲得對攻擊的類型和嚴重性的一般瞭解。這些資訊至少應該足以開始進行進一步的研究,而且開始抑制損害並將風險減至最低。

  • 完整記錄您的動作。這些記錄稍後將用於記載事件 (不管是真是假)。

注意:雖然您會希望盡可能避免誤診,但對誤診採取動作總是比無法回應真正重要的事件來得有利。您的初始評估因此應該盡量簡短,但足以排除明顯的誤診。

傳達事件

一旦您懷疑有安全性事件,就應該迅速將該漏洞傳達給核心 CSIRT 的其餘成員。事件組長,以及小組其餘的人都應該快速識別需要連絡核心 CSIRT 以外的對象。這將有助於確保適當控制並協調事件,且同時將損害的範圍減至最小。

要注意損害的形式有很多種,如果安全性漏洞上了新聞頭條,會比許多系統侵入事件更具破壞力。有鑑於此,也為了防止攻擊者得知這類可利用的資訊,在事件獲得適當掌控之前,應該只通知扮演事件回應角色的人。根據特殊情況,您的小組稍後會決定此事件應該通知的對象。這會是任何特定的個體到整個公司和外部客戶都有可能。

抑制損害並將風險減至最低

藉由迅速採取動作來降低攻擊的實際和潛在影響,即可讓大事化小。RFC 2196 定義了一系列抑制您環境中的損害需優先注意的事項。確實的回應會視您的組織及所面臨的攻擊本質而定。不過,建議從下列的優先考量作為一個起點:

  1. 保護人類生活和人員安全
    這當然應該永遠視為您的第一優先。

  2. 保護機密和敏感的資料
    在規劃事件回應時,您應該清楚地定義哪些資料是機密而哪些是敏感的。這可以讓您在保護資料時,針對回應排定適當的優先順序。

  3. 保護其他資料,包括專有、科學和管理性資料。
    環境內的其他資料可能仍具備很高的價值。您應該先保護最重要的資料,再繼續其他實際用途較低的資料。

  4. 保護硬體和軟體免於攻擊
    這包括防禦系統檔案的遺失或竄改,以及硬體的實體損毀。對系統的損害可造成損失慘重的停機。

  5. 將電腦資源的中斷減至最低 (包括程序)
    雖然系統的持續運作在大多數環境中都很重要,但在攻擊期間若保持系統運作可能會在稍後導致更大的問題。有鑑於此,將電腦資源的中斷減至最低一般應該是相當低的優先順序。

您還有許多策略可以採取,以抑制損害並將對環境的風險降至最低。您至少應該:

  • 嘗試避免讓攻擊者知道您已觀察到他們的活動。這可能很難,因為一些基本的回應可能會讓攻擊者有所警覺。例如,CSIRT 進行緊急會議,或您要求立即變更所有密碼時,任何內部的攻擊者可能就知道您已察覺到事件的發生。

  • 考慮停止受入侵或相關系統的運作,並分析持續運作的風險,然後比較兩者的成本。在絕大多數的案例中,您應該立即中斷系統與網路的連線。不過,可能會因簽署的服務合約而必須保持系統運作,即使可能發生進一步的損害。在這些情況下,您可選擇以有限的連線能力保持系統的連線狀態,以便對進行中的攻擊收集額外的證據。

    在某些狀況下,事件的損失和範圍可能會大到您必須訴諸於在服務層級合約中所指定的刑罰條款來採取行動。不論是哪種狀況,重要的是您在發生事件的狀況中即將採取的行動,都已經過事先討論而且概述在您的回應計劃中,以便在發生攻擊時立即採取行動。

  • 判斷攻擊者所利用的存取點並實行可防止未來存取的策略。這些策略可包括停用數據機、新增存取控制項目到路由器或防火牆,或增加實體安全性策略。

  • 考慮重建含新硬碟的全新系統 (應移除現有硬碟並加以保存,因為這在您決定追訴攻擊者時可用作為證據)。請務必變更本機密碼。您還應該變更環境中其他地方的系統管理和服務帳戶密碼。

識別入侵的嚴重性

為了能夠從攻擊的情況有效的復原,您需要判斷系統遭到入侵的程度有多嚴重。這將判斷如何進一步抑制並將風險降至最低、如何修復、如何快速傳達事件及傳達的對象,以及是否要尋求法律賠償。

您應該嘗試:

  • 判斷攻擊的本質 (這可能跟初始評估建議有所不同)。

  • 判斷攻擊的起源點。

  • 判斷攻擊的意圖。攻擊是特別指向您的組織以取得特定資訊,或是隨機攻擊?

  • 識別已遭入侵的系統。

  • 識別已遭存取的檔案,並判斷該些檔案的機密程度。

透過執行這些動作,您將能夠判斷適合您環境的回應。一套良好的事件回應計劃會概述在更瞭解該項攻擊的相關資訊時要遵循的特定程序。一般來說,攻擊症狀的本質會決定對計劃中所定義的程序要遵循的順序。由於時間是關鍵,因此通常應該遵循較不費時的程序,接著才是花在較耗時的程序。為了協助判斷入侵的嚴重性,您應該:

  • 連絡回應小組的其他成員並通知他們您的發現,讓他們確認您的結果,確定他們是否也觀察到相關或其他潛在的攻擊活動,並協助識別此事件是否為誤診。在某些狀況下,在初始評估中看似真正重要的事件,結果證明都是誤診。

  • 判斷是否有未授權的硬體附加到網路,或是否有任何透過實體安全性控制的入侵進行未授權存取的徵兆。

  • 檢查關鍵群組 (Domain Administrators、Administrators 等) 是否有未授權進入。

  • 搜尋安全性評估或利用漏洞的軟體。在收集證據期間,通常可以在遭入侵的系統上找到破解公用程式。

  • 尋找目前正在執行或使用啟動資料夾或登錄項目設定執行的未授權處理序或應用程式。

  • 搜尋系統記錄的空隙或缺漏的地方。

  • 檢閱侵入偵測系統記錄看看是否有侵入的徵兆、哪些系統有可能已受到影響、攻擊的方法、攻擊的時間和長度,以及可能受害的整體範圍。

  • 檢查其他記錄檔是否有下列情況:異常的連線;安全性稽核失敗;異常的安全性稽核成功;失敗的登入嘗試;嘗試登入到預設帳戶;非上班時間的活動;檔案、目錄和共用權限的變更;以及提高或變更的使用者權限。

  • 將系統與之前進行的檔案/系統完整性檢查相比較。這可讓您識別對檔案系統和登錄的增加、刪除、修改和許可,以及控制修改等。在回應事件時,若您能識別出實際受到入侵的地方,以及哪些區域需要復原,那麼就可以省下許多時間。

  • 搜尋如信用卡號碼和員工或客戶資料等機密資料,是否有移動或被隱藏以供未來擷取或修改的跡象。可能也需要檢查系統上的非商業資料、軟體的非法版本,以及電子郵件或其他能協助調查的記錄。若在系統上進行調查目的的搜尋有可能會違反隱私權或其他法律條款,那麼您應該在繼續前先連絡您的法律部門。

  • 將可疑系統的效能與其基準線效能等級相比對。這當然是預先假設已建立了基準線而且經過適當更新。有關建立效能基準線的詳細資訊,請參閱《Windows 2000 Professional Resource Kit》的第 27 章<Overview of Performance Monitoring> (Microsoft Press, ISBN: 1-57231-808-2)。

當判斷哪些系統已遭入侵及如何遭到入侵時,您通常是將系統與先前針對相同系統在未遭到入侵前所記錄的基準線相比較。認為將最近一次的系統快照拿來比較就已足夠,可能會在萬一前一次的快照是從早已遭到攻擊的系統得來的情形下,讓您處於棘手的情況。

注意:諸如 EventCombMT、DumpEL 和 Microsoft Operations Manager (MOM) 等工具能幫助您判斷系統遭到攻擊的程度。第三方廠商侵入偵測系統會提供攻擊的預先警告,而其他工具會顯示您系統上的檔案變更。有關這些工具的詳細資訊,請參閱<Windows 2000 稽核和侵入偵測>單元。

保護證據

在許多情況下,若您的環境遭到刻意攻擊,您應該要對攻擊者採取法律行動。如果您要這麼做,將需要收集可以用來對抗他們的證據。這時候應盡速備份遭入侵的系統,且備份要在針對原始媒體執行可能影響資料完整性的動作之前進行。

您應該找有電腦鑑識專長的人使用全新從未用過的媒體,至少為整個系統製作兩份完整的位元對位元備份。至少一份備份應放在只能寫入一次、可讀取多次的媒體,例如 CD-R 或 DVD-R。此備份應該只用於對攻擊者的追訴,而且應該在需要前受到實際的保護。

另一份備份則可用於資料修復。這些備份除了法律用途外都不應該存取,因此您應該實際保護它們。您還需要記載有關備份的資訊,例如是誰備份了系統、什麼時間備份的、它們受保護的方式,以及誰可以存取它們等等。

一旦完成備份後,您應該移除原始的硬碟並將它們存放在一個實際上很安全的位置。這可在追訴的時候用作為鑑識證據。新的硬碟應用來還原系統。

在某些狀況下,保留資料的好處可能不等於延遲系統的回應和修復的成本。保留資料的成本和優點應該與每一事件中快速修復的情況相比較。

對於非常大型的系統來說,完整備份所有遭入侵的系統可能不太適合。您反而應該備份所有的記錄,以及挑選系統受到破壞的部份。

可能的話,也備份系統狀態資料。追訴可能需要花好幾個月甚至好幾年的時間才會開始,因此保存愈詳細的事件以供將來使用十分重要。

通常追訴電腦犯罪最難的法律層面,是以特定司法提交證據可接受的方式來收集證據。因此,鑑識程序最關鍵的要素是詳盡且完整的記載處理系統的方式、由誰及何時處理,才能表明可靠的舉證。請在記載文件的每一頁上簽名和註明日期。

一旦您有可行、確認過的備份後,就可以完全抹消受感染的系統然後加以重建。這可讓您迅速的進行備份並恢復運作。提供追訴所需之重要無瑕疵證據的正是備份。還原資料應該採用與鑑識備份不一樣的備份。

通知外部機構

在事件獲得抑制且保存了可能用於追訴的資料後,將需要開始通知適當的外部實體。可能的機構包括當地及國內執法機關、外部安全機關,以及病毒專家。外部機構可提供技術上的協助,給予更快速的解決方法,並提供從類似事件獲得的資訊,來幫助您完全從事件中復原,並防止它在未來再度發生。

對於特殊產業和破壞類型,可能有必要特別通知客戶和一般大眾,尤其是客戶可能會直接受到事件影響的話。

若事件導致了實質的財務衝擊,可能需要向執法機關報告事件。

對於顯赫的公司和事件,可能會涉及媒體。雖然媒體對安全性事件的注意向來不是那麼受歡迎,但這通常都無法避免,而且也允許組織採取主動的立場來傳達事件。事件回應程序至少應該清楚地定義授權對媒體代表談話的個體。

通常這些人會是您組織內的公關人員。您不應該試圖向媒體否決事件的發生,因為這麼做遠比主動承認和明顯回應還可能損及您的聲譽。這並不表示應該不管每一事件的本質或嚴重性就茫然通知媒體。您應該依各個案例來評估適當的媒體回應。

復原系統

您復原系統的方式通常視安全性破壞的範圍而定。您需要判斷是否可還原現有的系統,並同時盡可能保持完整無損,或者是否需要徹底重建系統。

還原資料無疑地會假設您有全新的備份 — 亦即在事件發生所作的備份。檔案完整性軟體也協助指出損毀第一個出現的地方。若軟體警告您只有一個檔案經過變更,那麼您就知道在警告前所作的備份並沒有什麼問題,而且應該保留到重建遭入侵系統的時候使用。

事件有可能在發現之前潛在地破壞資料好幾個月的時間。因此在事件回應程序中,判斷事件的持續時間是很重要的 (檔案/系統完整性軟體和侵入偵測系統可在這方面提供協助)。在某些狀況下,最新或甚至前幾次備份可能都不夠長到可以取得未受感染的狀態,因此建議您定期將資料備份保存在一個安全的離線位置。

編譯和整理事件證據

CSIRT 應該在處理事件時,完整地記載所有的程序。這應該包括破壞的描述,以及採取的每個行動的細節 (誰採取該行動、何時採取,以及背後的原因)。在整個回應程序中必須小心觀察涉及存取的所有人員。

之後,文件應該依時間先後整理、檢查完整性,並與管理和法律代表進行簽署和檢閱。您還需要保衛在保護證據階段收集到的證據。您應該考慮由兩名人員在全部階段中的每一步驟簽收。這可幫助降低證據不被承認的可能,以及事實證據遭到擅改的可能性。

請記住攻擊者有可能是員工、承包商、臨時員工或組織內其他的內部人員。若沒有完整、詳細的文件記載,識別內賊將非常困難。適當的文件記載另外還提供您追訴攻擊者的最佳機會。

評估事件損失和成本

當確定組織的損失時,您應該同時考慮直接和間接成本。這些包括:

  • 因專有或機密資訊的公開而致使競爭優勢喪失的成本。

  • 法律成本。

  • 分析破壞、重新安裝軟體和復原資料的人力成本。

  • 與系統停機相關的成本 (例如,員工產能損失、銷售損失、軟硬體和其他財產的更換)。

  • 與修復和可能更新受損或無效實體安全性工具 (鎖、牆、欄等等) 相關的成本。

  • 其他如聲譽受損或客戶信任等間接的損失。

檢討回應並更新原則

一旦記載和修復階段完成後,您應該徹底檢討流程。與您的小組一起判斷順利執行的步驟,以及出了哪些錯誤。在絕大多數的情況下,您會發現需要修改程序以便在未來更妥善的處置事件。

您會在事件回應計劃中發現到弱點,而這正是此事後檢討會的重點 — 您是在尋找機會改進,因此應該會開始一個全新的事件回應計劃程序。

案例 — Contoso 事件處理

為瞭解在處理攻擊時事件回應的不同階段應該如何運作,而設計了下列的個案研究,說明 Contoso CSIRT 小組對感染 Code Red II 病毒的回應方式。雖然此個案研究是虛構的,所採取的策略仔細地反映出實際組織在攻擊情況下所採取的策略。

[表 3]:Contoso 個案研究

事件回應步驟

採取的行動

進行初始評估

Samantha Smith 是一名隨時待命的 CSIRT 成員,收到了 Contoso 侵入偵測系統所記錄的事件簡短描述的通知。該系統指出 Web 伺服器 WEB2 上一個可能的 Code Red II 事件。她診察 WEB2 伺服器的網際網路資訊服務 (Internet Information Services,IIS) 記錄檔的簽名字串,並檢查 c:\inetpub\scripts 上是否存在 root.exe。這些調查的結果強烈指出這不是誤診。

傳達事件

Samantha 透過電話通知 CSIRT 其他成員有關初始的發現,並同意盡快在有更進一步的詳細資料時進行後續追蹤。

抑制損害並將風險減至最低

Contoso 的事件回應原則指出在確認病蟲的存在後,需將系統從網路中移除。Samantha 移除了網路纜線。還好 WEB2 是一組負載平衡伺服器的一部份,因此客戶不會因中斷連線而經歷到停機。

傳達事件

Samantha 將這些發現透過電子郵件傳達給 CSIRT 的其他成員,並直接連絡 CSIRT 組長。CSIRT 組長指定 Taylor Maxwell,一名資訊安全性管理員,作為事件組長。Taylor 將協調與核心 CSIRT 內外的活動和溝通。

Taylor 通知技術主管和隨時待命的資訊技術小組,Web 伺服器已中斷與網路的連線,而且它至少會先清除病蟲後才恢復連線。

Taylor 也通知了管理主管、公關和法律代表。法律代表告知 Taylor 雖然不可能進行追訴,她希望他還是遵循程序來收集證據。

識別入侵的嚴重性

Samantha 掃描了其他伺服器的記錄檔來判斷病蟲是否已散佈。她發現還未散播開來。

抑制損害並將風險減至最低

另一名 CSIRT 成員 Robert Brown 執行了 Microsoft Baseline Security Analyzer (MBSA),這是一種 Microsoft 工具,可讓系統管理員從一個中央位置在網路上檢查所有執行 Windows NT® 4.0 版、Windows 2000 和 Windows XP 的電腦其修補程式狀態,並即時判斷其他伺服器是否已針對 Code Red II 進行修補。他發現有其他兩部伺服器尚未更新,並立即套用了修補程式。

識別入侵的嚴重性

Robert 進一步掃描了所有其他 IIS 伺服器的記錄檔,並確定目前沒有任何其他 Code Red II 的例項存在。

保護證據

每個指標都指出損害已抑制在 WEB2。既然損害已適當地抑制下來,而且法律部門也指出應該收集證據,Taylor 於是決定在對系統進行更深入且可能干擾或破壞證據的分析前先進行收集證據。其他小組成員則持續監視其他 Web 伺服器,並記錄可疑的活動。

一名受訓收集鑑識證據的 CSIRT 成員為遭入侵的系統建立了兩個快照集 (亦即,完整的實體備份)。其中一個快照被小心的保存下來用於之後的鑑識。另一個快照有可能與事件發生前全新、安全的備份搭配用於修復程序。鑑識的備份根據安全性原則,存放在從未用過且只能寫入一次的媒體、經過仔細地記載,並與伺服器的硬碟一起密封和保存。

識別攻擊的類型和嚴重性

組織的安全性工具組可攜式電腦 (當中包含許多鑑識工具),被用來檢閱修復備份查看是否有其他入侵的跡象。也檢閱了登錄項目和資料夾,查看在啟動後執行軟體的區域是否有增減,例如設定檔/啟動目錄和 Run RunOnce 登錄機碼。使用者和群組帳戶也經過檢閱,還有使用者權利和安全性原則,查看是否有經過修改。也檢查了安全性記錄,查看有無任何其他可疑的活動。

通知外部機構。

因為 Contoso 也參與過許多美國政府大型的專案,於是 Taylor 向聯邦調查局 (FBI) 國家基礎結構保護中心 (National Infrastructure Protection Center) 報告此事件。

由於判定客戶資訊或系統的存取都未遭入侵,因此並未通知客戶。

復原系統

雖然有工具可以從 WEB2 清除 Code Red II,CSIRT,而 WEB2 支援小組還是選擇將作業系統重新安裝到新媒體。透過將作業系統從原始的發佈媒體重新安裝到新磁碟媒體,再加上使用 Microsoft Security Toolkit,他們確信擁有的全新系統並沒有駭客漏洞或受損的檔案。

一旦重新安裝 Windows 2000 後,即遵循本指引單元 5 至 7 所指定的指導方針更加嚴格地套用安全性鎖定。

找出了一份未受感染的備份,接著根據記載的程序將資料還原。若資料只能從遭入侵的備份上取得,會將之還原到一個不同、離線的系統,然後在確定不會造成再度感染其他運作正常的系統後再重新併入到 WEB2。

CSIRT 小組針對系統執行了一次完整的弱點評估,並記載在該程序中探索到的所有資訊。

重新將 WEB2 連線到網路,並進行嚴密監視,檢查是否有其他全新或現有入侵的跡象。

編譯和整理事件文件

Taylor 和 CSIRT 一同研究弱點的根源,並判斷系統最近才重新安裝過,但未套用修補程序。這違反了早已清楚定義的原則。

此事件的發生分成三大部份:「支援」小組成員未重新套用修補程式、「資訊安全性」部門未及時稽核套用的修補程式,以及「設定管理」小組未識別套用修補程序的需要,且未讓「資訊安全性」部門在恢復到運作正常狀態前參與檢閱系統。若有遵守這些程序的部份子集的話,此事件就能夠加以避免。

小組決定執行新程序來防止這類的事件再度發生。建立了一份「變更管理」、「Web 伺服器支援」和「資訊安全性」在「資訊安全性」核准將任何系統放入內部網路之前必須完成的檢查清單。必須先完成該檢查清單的程序,「資訊安全性」小組才能重新設定防火牆,以允許外部存取此系統。「稽核」部門也應該定期檢閱檢查清單是否正確且徹底完成。

Taylor 和 CSIRT 一同編譯了所有的文件來判定完成了哪些工作來回應事件、每一項工作所花的時間,以及執行工作的對象是誰。此項資訊接著傳給財務代表,財務代表根據「一般接受的帳戶準則 (Generally Accepted Account Principles)」來計算電腦損失的成本。

CSIRT 組長確定管理部門瞭解事件的總成本、發生的原因,以及計劃在將來如何避免。重要的是讓管理部門瞭解沒有或未遵守程序,以及沒有安排如 CSIRT 的資源所隱含的意義。

適合的小組成員檢閱全部事件文件、所學到的教訓,以及遵守了哪些原則,而哪些未遵守。

與訴諸法律行動相關的文件和程序則由法律代表、CSIRT 組長和事件組長,以及管理主管一同檢閱。


總結

本單元的絕大部份都是關於將遭到攻擊的風險降至最低可採取的策略。然而,盡全力將攻擊的機會減至最小,並規劃在遭到攻擊時要怎麼做的組織最有可能成功達成他們的安全性目標。這個程序的其中一部份是要仔細稽核攻擊,這在<Windows 2000 稽核和侵入偵測>單元中有所探討。另一個同樣重要的部份,是要擁有一組經過詳細定義和排演的回應程序,讓您在真正遭受攻擊時,能夠即時、有效地採取行動。

相關主題

Hacking Exposed Windows 2000 由 Joel Scambray 和 Stuart McClure 合著 (McGraw-Hill Professional Publishing, ISBN: 0072192623)。

Computer Security Institute 出版了一份稱為《Computer Crime and Security Survey (英文))》的研究年刊 (http://www.gocsi.com)。

其他資訊

有關《Handbook for Computer Security Incident Response Teams (英文)》的資訊,請參閱:http://interactive.sei.cmu.edu/Recent_Publications/1999/March/98hb001.htm

有關「Forum of Incident Response and Security Teams,FIRST (英文)」,請參閱:http://www.first.org

Incident Response: Investigating Computer Crime 由 Chris Prosise 和 Kevin Mandia 合著 (McGraw-Hill Professional Publishing, ISBN: 0072131829)。

The Internet Security Guidebook: From Planning to Deployment Juanita EllisTim SpeedWilliam P. Crowell (Academic Pr, ISBN: 0122374711)。

有關 RFC 2196 的資訊,請參閱:http://www.ietf.org/rfc/rfc2196.txt?number=2196 (英文)。

有關《Windows 2000 Professional Resource Kit》中第 27 章<Overview of Performance Planning>的資訊,請參閱:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000pro/reskit/part6/proch27.asp (英文)。

若要訂購免費的 Microsoft Security Toolkit,請前往:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/stkintro.asp (英文)。

有關 Cert Coordination Center (CERT/CC) 資訊,請參閱:http://www.cert.org/ (英文)。


顯示: