15、威胁与事故管理
一、漏洞管理
技术漏洞康(简称为漏洞管理)是一种安全事件,专门用于主动缓解或防止系统或组织中存在的技术漏洞(technical vulnerability)的利用问题。该过程涉及系统中各种你该漏洞的识别、分类、修复和缓解。技术漏洞管理是网络安全的一个重要组成部分,与风险管理以及其他安全实践一起实施。
技术漏洞:一种硬件、固件、通信或软件缺陷,它使信息处理系统暴露在内部或外部环境,从而导致系统风险。
1.1 规划漏洞管理
有效地管理技术漏洞始于规划。规划过程地主要方面包括以下内容:
风险和管理过程集成:技术漏洞审查是整体信息安全风险管理策略的一个操作方面。漏洞分析必须考虑相关风险的影响,包括与运营终端可能性相关的影响。这些风险还必须有明确的报告途径,以便对风险因素和风险暴露进行恰当的管理。漏洞管理还应为变更管理和实践管理过程提供输入。
与资产清单继承:资产识别是风险评估的一个组成部分,由此产生的资产清单允许在审查技术漏洞并就缓解战略达成一致之后进行分析处理。通过将资产清单与漏洞管理系统继承,企业可以优先考虑技术漏洞最大的高风险系统。
建立审查漏洞明确的权限:由于探测网络中的漏洞可能会破坏系统并暴露私有数据,因此企业需要在执行评估之前指定政策并获得最高管理层的支持。企业的可接受使用政策必须让用户和系统管理员同意将允许漏洞扫描作为连接到网络的条件。应该注意的是,扫描漏洞的主要目的是防御攻击。对于那些有权访问漏洞扫描数据的人,还需要指定政策和道德主责。在漏洞扫描期间当在其系统上发现非法材料时,这些人员需要清楚采取何种适当的应对措施。
系统和应用程序生命周期集成:必须将漏洞审查集成到系统发布和软件开发计划中,以确保尽早识别潜在的漏洞,以降低在确定的软件发布日期之前发现的问题的成本,并对风险进行管理。
1.2 发现已知漏洞
漏洞信息来源:
NVD - Home (nist.gov)
CERT Vulnerability Notes Database
Packet Storm (packetstormsecurity.com)
SANS.edu Internet Storm Center - SANS Internet Storm Center
1.3 扫描漏洞
除了监控漏洞报告服务之外,企业还需要定期扫描软件、系统和网络中的漏洞,并使主动解决发现的漏洞。
每周或更频繁地针对网络上的所有系统运行自动化扫描工具,并为每个负责的系统管理员提供最关键漏洞的优先级列表,以及对系统管理员和部门降低风险的有效性进行评分。
在身份验证模式下执行漏洞扫描,使用在每个终端系统上本地运行的代理来分析安全配置,或使用在被测系统上获得管理权限的远程扫描程序。使用专用账户进行经过身份验证的漏洞扫描,此账户不应用于任何其他的管理活动,应绑定到特定IP地址的特定计算机上。确保只有授权员工才能访问漏洞管理用户界面,并且该角色独立地分配给用户。
比较连续漏扫(back-to-back vulnerability scans,背靠背扫描)的结果,已验证是否通过修补、实施补偿控制或记录和接受合理的业务风险来处理漏洞。
在任何情况下,在启动漏洞扫描程序之前,必须有权执行扫描并了解要扫描的目标系统。
主要是两种:OpenVAS开源的漏洞漏洞评估系统。Nessus商业漏洞扫描系统。
对企业进行漏洞扫描时需要解决以下问题:
- 扫描可能会导致终端。
- 扫描可能会产生大量数据并产生大量误报。
漏洞优先级划分计划必须与IT基础设施和应用程序计划保持一致,以支持整体IT战略计划;不应过多关注可能很快退役的老旧的基础设施和应用程序。
1.4 记录和报告
完成漏洞扫描后,组织应记录结果,以便专业人员查询常规漏洞扫描工具的使用情况。组织应对发现的漏洞进行排名,可以按照以下举例:
- 利用此漏洞所需的技能。
- 漏洞对潜在攻击者的可用性。
- 攻击成功后,攻击者获得的权限。
- 如果漏洞被利用成功,产生的风险和影响。
报告过程包括跟踪一段时间内发现的漏洞数量和风险级别,以及漏洞修复工作的有效性。
1.5 漏洞修复
组织应在所有可用且安全的系统上为操作系统和软件/应用程序部署自动补丁管理工具和软件更新工具。它应对所有系统进行补丁操作,甚至是物理上被隔离的系统。
补丁管理建议分为三类:执行补丁管理、补丁管理技术和补丁管理指标。
1.5.1 执行补丁管理
执行补丁管理需要理清时间、优先级和测试之间的关系。理想情况下,每发现一个漏洞就应该立即进行修复。但是由于资金有限,企业需要制定补丁的优先级。由于,企业可能存在安装补丁却不对补丁进行测试的风险,因此需要考虑测试中涉及的资源。组织应考虑修补程序对操作系统的影响。组织应预估和解决冲突,并维护一个相关策略以验证修补程序在所有相关系统上是否有效。
补丁管理(patch management):操作系统和应用程序软件代码修订的系统通知、识别、部署、安装和验证。补丁管理任务包括维护可用补丁的最新知识,确定哪些补丁适合特定系统,确保正确安装补丁,在安装后测试系统,以及阻止所有相关过程,例如所需的特定配置。
1.5.2 补丁管理技术
三种类型的补丁管理技术:基于代理的扫描、无代理扫描和被动网络监控。
三种补丁管理技术的细节如下:
基于代理的扫描:要求在要修补的每个主机上运行一个代理,由一个或多个服务器管理修补过程并与代理协调。每个代理负责确定主机上安装了哪些易受攻击的软件,与修补程序管理服务器通信,确定主机可以使用哪些新修补程序,安装这些修补程序,以及执行使修补程序生效所需的任何状态更改。
无代理扫描:使用一个或多个服务器,通过网络对每个主机执行扫描和修补,并确定每个主机需要哪些补丁。通常,无代理扫描要求服务器在每个主机上都具有管理权限,以便它们可以返回更准确的扫描结果,因此管理权限能够在主机上安装修补程序并实现状态变更。
被动网络监控:监控本地网络流量,以识别需要修补的应用程序(以及某些情况下的操作系统)。与其他技术不同,此技术可识别主机上的漏洞,这些漏洞不允许直接通过管理员访问操作系统。但该方法必须链接到能够安装补丁的系统管理软件。
补丁管理的一种补充方法是虚拟补丁。虚拟补丁在硬件设备或软件模块中实现,该模块位于输入流量与应用程序、数据库、服务器或端点之间。虚拟补丁功能可根据多种因素扫描所有流量以获取漏洞信息并组织特定通信和资源使用。
1.5.3 补丁管理指标
与安全性的其他方面一样,管理者需要通过度量来评估补丁管理的使用情况。
二、安全事件日志
在信息安全领域,事件和事故之间的区别如下:
- 安全事件(Security event):组织认为对系统或其环境具有潜在安全隐患的事件。安全事件为可疑或异常的活动。安全事件有时是安全事故发生的迹象。
- 安全事故(Security incident):实际或潜在的危害信息系统的机密性、完整性或可用性的事件;或系统处理、存储或传输的信息;或构成违法安全政策、安全程序或可接受使用政策的违规行为或迫在眉睫的威胁。
损害指标(Indicator of Compromise,IoC)是攻击过程中使用的特定技术,可能表现为异常行为。IoC为组织提供有关被破坏的对象或信息系统的有价值信息。
2.1 安全事件日志的目标
安全事件记录的目标是帮助识别可能导致信息安全事故的威胁,维护重要安全相关信息的完整性,并支持取证调查。有效的日志记录能使企业查看与安全性相关的事件、交互和变更。通过记录异常、未经授权的访问尝试和过多的资源使用等事件,企业可以对日志进行分析以确定原因。
2.2 潜在安全日志来源
可以记录各种安全事件的来源,包括以下来源:
- 服务器和工作站操作系统日志。
- 应用程序日志。
- 安全工具日志。
- 出站代理日志和终端用户应用程序日志。
- 防火墙和其他外围安全设备,用于检测本地用户和远程数据库或服务器之间的流量。
- 跨网络通信的数据中心存储元件之间的安全设备,可能涉及虚拟机和基于软件的虚拟安全功能。
2.3 日志需要记录什么
在确定要记录的事件类型时,组织必须考虑许多因素,包括相关的合规义务、机构隐私策略、数据存储成本、访问控制需求以及在适当的情况下监控和搜索大型数据集的能力。
2.4 保护日志数据
组织需要在机密性、数据完整性、可用性和身份验证的使用方面保护日志数据。基于橘色的访问控制用于根据业务需求和职位职责来划分读取和修改日志数据。
2.5 日志管理政策
日志管理政策:解决日志在生成、传输、存储、分析、存档和处理日志数据过程中出现的问题。
三、安全事件管理
安全事件管理(Security Event Management,SEM)是识别、收集、监控、分析和报告与安全相关事件的过程。SEM的目标是从大量安全事件中提取那些符合安全事件条件的事件。使用安全算法和统计计算分析收集的事件数据,以追踪任何漏洞、威胁或风险。
3.1 SEM功能
事件管理的第一个阶段是收集日志形式的时间数据。在生成事件数据时,它们通常存储在生成它们的设备的本地日志中。前期处理步骤如下:
1. 规范化:为了有效管理,日志数据需要采用通用格式才能进一步的处理。
2. 过滤:此步骤包括各种类型的事件分配优先级。在优先级的基础上,可以对大量的事件进行保存而不需要进一步分析,或者可以存档以防日后需要时对其进行审查。
3. 聚合:按照类型将产生的日志进行汇聚总而更好的管理。
日志分析包括以下内容:
- 模式匹配:在存储事件记录的字段中查找数据模式非常重要,具有给定模式的事件集合可以标识安全事故。
- 扫描检测:通常,攻击始于攻击者扫描IT资源。来自单个元或多个源的大量扫描可以视为安全事故发生的信号。
- 阈值检测:一种直接的分析方式是检测相关指标超过阈值的情况。
- 事件关联:关联包括使用来自多个源的多个事件来确定攻击的发生或可疑活动。关联分析的另一个方面是将特定事件与已知的系统漏洞相关联,这种关联可能导致高优先级的安全事故。
四、威胁情报
威胁情报(也称网络威胁情报、网络情报,Cyber Threat intelligence,CTI)是分析威胁组织潜在的或当前攻击的信息而建立的知识。
4.1 威胁分类
为了有效地使用威胁情报并响应攻击,必须清楚地了解企业面临地威胁类型。这需要了解潜在的威胁来源以及可能造成的威胁类型。
4.1.1 威胁来源
威胁的性质在很大程度上取决于来源的类型。威胁来源可疑分为以下几类:
- 敌对的:利用组织以来的网络资源实施威胁的个人、团体、组织或国家。
- 意外的:个人在履行日常职责过程中采取的错误行动。
- 结构的:由于老化、资源耗尽或超出预期运行参数等其他情况导致的设备、环境控制或软件故障。
- 环境的:组织依赖的关键基础设施的自然灾害和故障,但不在组织的控制范围之内。
4.1.2 威胁类型
信息安全良好实践标准列出了22种敌对性威胁、11种事故性威胁和13种环境威胁。
4.2 威胁情报的重要性。
威胁情报的主要是帮助组织了解最常见和最严重的外部威胁带来的风险,例如高级持续性威胁(APT)、漏洞利用和0-day威胁。
高级持续威胁(APT):一种网络攻击,在这种攻击中,未经授权的人获取接入特定网络的权限并逃过安全机制的检测。APT攻击的目的是窃取数据而不是对网络或组织造成损害。APT攻击的对象时具有高价值信息的部门(如国防、制造业和金融业等)。与其他形式的网络攻击不同,APT攻击的目标是被谨慎选择的,其实施过程通常是隐蔽的和长期的入侵。
下图基于信息系统审计和控制协会(ISACA)《应对有针对性的网络攻击》绘制的阐明了威胁情报对APT攻击的影响:
4.3 收集威胁情报
外部来源:
Wapach实验室网络威胁分析中心:http://www.wapacklabs.com/
美国信息共享和分析中心:https://www.nationalisacs.org
内部来源:
企业IT基础设施中的各种活动能够表明即将发生的攻击或正在形成的威胁。
4.4 威胁分析
威胁分析包括描述可能的攻击类型、潜在攻击者及其攻击方法以及成功攻击的后果。它涉及以下内容:
- 识别系统的漏洞;
- 分析利用这些漏洞的威胁的可能性;
- 如果每项威胁成功实施,评估将会产生的后果;
- 估算每次攻击的成本;
- 消除潜在的威胁;
- 选择合理的安全机制(可能进行成本/收益分析);
组织应将此分析作为风险管理的常规部分进行。
五、网络攻击的防护
网络攻击:定义为通过网络空间进行的攻击,旨在破坏企业使用网络空间,目标是破坏、禁用、销毁或恶意控制计算环境/基础设施,或破坏数据的完整性或窃取受控信息。
5.1 网络攻击杀伤链
5.1.1 侦察
攻击者决定潜在的目标实际上是否是一个有希望对其进行攻击的目标。如果是,则使用最好的攻击手段。理想情况下,攻击者会查找同时具有严重漏洞和有价值数据的目标。
5.1.2 武装
在此阶段,攻击者使用收集的信息准备攻击有效载荷并制作工具以发起攻击。此步骤发生在攻击者乙方,不会与受害者联系。
5.1.3 交付
在交付阶段,攻击者通过许多入侵方法将恶意负载发送给受害则。
5.1.4 漏洞攻击
在漏洞攻击阶段,触发交付的有效载荷并对目标系统采取措施以利用漏洞。此阶段涉及进入系统然后发起实际攻击。此阶段可以利用攻击者已知的漏洞,或者通过最初交付的有效载荷搜索并发现能够继续和扩展攻击的漏洞。
5.1.5 安装
在此阶段,攻击者安装允许永久控制目标系统的组件,目的是进一步攻击企业。在此阶段,攻击者还可以提升已安装恶意软件的用户权限并安装持续性的有效负载。
5.1.6 命令和控制
攻击者创建命令和控制通道,以便继续远程操作内部资产。对手可以根据监控和组织的安全措施调整自己的行为。
5.1.7 行动
攻击者在受害者网络内执行实现其目标的步骤——获取信息、破坏信息或破坏系统或网络。
5.2 保护和应对措施
5.2.1 如何应对观察阶段
可以使用多种技术来检测攻击者的侦察企图。对于网站而言,网站分析可以检测出与攻击者更为一致的行为。对于任何类型的流量,扫描具有已知恶意信誉的源IP地址都是富有成效的。
网站分析:分析网站访问者的行为过程。网络分析涉及提取和分类定性和定量的数据,已识别和分析现场和非现场的模式和趋势。
5.2.2 如何应对武装阶段
武装是在攻击者发生的过程,因此无法检测出目标。但是,除了常规的漏洞修复程序之外,快速修补和更新可以通过在漏洞被利用之前消除漏洞来组织武装阶段的活动。这突出了及时获取威胁情报并采取行动的必要性。
5.2.3 如何应对交付阶段
防止交付的关键是维持强大的安全培训和意识培训,这样可以降低社会工程攻击的成功率。组织也可以使用各种技术工具来防止交付,包括:防病毒软件、防火墙、WAF、IPS等。
5.2.4 如何应对漏洞攻击阶段
漏洞攻击阶段的对策包括:
基于主机的入侵检测系统(HIDS):一旦利用漏洞进入企业网络并攻击主机,HIDS就会检测并警告此类行为。
定期修补:修补发现的漏洞有助于控制损害程度。
从备份恢复数据:一旦发现漏洞并即时进行修补,可能需要从备份中恢复有效的数据副本。
5.2.5 如何应对安装阶段
检测可疑软件或行为的工具在安装阶段是合适的。
5.2.6 如何应对命令和控制阶段
命令和控制阶段的对策包括:
基于网络的入侵检测系统(NIDS):NIDS可以检测并警告使用未经授权或可疑信道的企图。
防火墙:防火墙组织与已知或可疑恶意源的通信,并阻止可疑的活动或数据包内容。
Tarpit:这是计算机系统上的服务,它尽可能地延迟向被保护系统发起地连接。Tarpit是针对计算机蠕虫地防御而开发地。
5.2.7 如何应对行动阶段
如果APT正处于行动阶段,那么安全的一个关键方面是备份策略。组织应定期备份所有关键数据和系统,测试、记录和更新系统恢复程序,并在系统受损期间,仔细捕获证据并记录所有的恢复步骤以及收集的所有证据数据。
5.3 非恶意软件攻击
非恶意软件(Non-Malware)攻击的主要特征是不涉及将任何恶意文件或代码下载到目标设备上。相反,攻击者使用目标计算机、白名单应用程序和授权协议上的现有软件来执行恶意活动。
最常见的非恶意软件攻击的类型如下:
远程登录;
基于Windows Management Instrumentation(WMI)的攻击;
基于PowerShell的攻击;
利用Office宏的攻击;
六、安全事故管理框架
ISO 27000套件将信息安全事故管理定义为包括检测、报告、评估、响应、处理和学习信息安全事故的过程。下图显示了事故响应矿建的四个关键要素。该框架的目的是确保快速有效地帮助解决信息安全事故所需的资源可用性。
标准和安全事故管理的实施相关,包括以下内容:
- ISO 27002《信息安全控制标准实践》:提供事件响应管理实践的全面清单。
- ISO 27035-1《信息安全事故管理——第1部分:原则和流程》:介绍了信息安全事件管理的关键活动的基本概念、原则和流程,为准备、检测、报告、评估和响应事件以及应用经验教训提供了一种结构化的方法。
- ISO 27035-2《信息安全事件管理——第2部分:规划和准备事件响应指南》:描述如何规划和准备事故响应。提供有关信息安全事故管理计划内容的详细讨论。
6.1 事故管理的目标
ISO 27035-1列出了以下安全事故管理的目标:
- 检测和有效地处理信息安全事故,特别是决定何时将它们分类为信息安全事件。
- 以最恰当和有效地方式评估和响应识别出的信息安全事故。
- 作为事故响应的一部分,通过适当的控制,可以最大限度地减少信息安全事故对组织及其运营的不利影响。
- 通过升级程序与危机管理和业务连续性管理的相关要素建立联系。
- 对信息安全漏洞进行适当评估和处理,以防止或减少事故。
- 从信息安全事故、楼哦那个及其管理中快速学习经验。这种反馈机制增加了防止未来信息安全事故发生的可能性,改进了信息安全控制的实施和使用,并完善了整体信息安全事故管理计划。
6.2 与信息安全管理体系的关系
下图表明了信息安全事故管理与信息安全管理体系之间的关系。以虚线为界该图的上半部分说明了信息安全事故中对象之间的关系。威胁通过利用漏洞导致安全事件,从而使威胁能够导致事件。该事件可能是一个事故,它会影响因漏洞而被公开的信息资产,并危及信息资产支持的操作。在图的上半部分,阴影是预先存在的,并且受到无阴影对象的影响。
下半部分展示了安全事故管理与风险管理和ISMS的关系。
6.3 事故管理政策
事故管理成功的关键是记录在案的事故管理政策。此政策包含涉及整体管理的部分,包括以下主题:
- 内部和外部利益相关者的规范;
- 商定的事故定义和识别安全事故的准则;
- 事故响应/处理的定义及其总体目标和范围;
- 管理意图生命,支持事故响应/处理的目标和原则;
- 简要说明对企业特别重要的事故响应/处理的政策、原则、标准和合规性要求;
- 事故响应/处理的一般和具体责任的定义,包括证据处理和报告;
- 引用支持该策略的文档,例如详细的事故响应/处理、事故分类和计算机取证策略和过程;
- 与事故识别和报告有关的用户意识培训;
- 用于衡量事故响应能力及其有效性的度量标准;
该政策还应该包含处理事故的策略,包括以下内容:
- 识别事故和影响;
- 易失性和静态数据的获取;
- 保留和分析数据;
- 修复;
- 转介到执法部门;
- 处理取证数据;
- 事故升级;
- 报告结果;
- 从事故中学习经验,升级系统;
6.4 角色和责任
信息安全事故管理框架定义了信息安全事故管理团队和参与响应事故的其他人员的角色和职责。文档ISO 27035-2列出了以下需要分配给人员的事故管理责任:
- 检测和报告信息安全事件(这是组织及其公司中任何长期或合同人员的责任。)
- 评估和响应信息安全事件和事故,并参与事后的解决活动。这些活动包括学习和改进信息安全以及信息安全事故管理计划。这些活动由联络人、事故响应团队、管理人员、公共人员和法律代表负责。
- 报告信息安全漏洞并进行处理(这是组织及其公司中任何长期或合同人员的责任。)
6.5 事故管理信息
信息安全事故管理框架详细说明了协助信息安全事故管理所需的信息类型。SGP类除了事故管理所需的以下信息类型:
- 业务经理、技术专家和外部供应商等相关方的联系方式;
- 与安全相关的事件日志;
- 有关受影响的业务环境的详细信息,例如进程、操作和应用程序等;
- 技术细节,例如网路图、系统配置和外部网络连接;
- 威胁情报和威胁分析的结果;
6.6 事故管理工具
信息安全管理框架制定了协助信息安全事故管理所需的工具(例如,检查表、电子证据发现证据、日志分析器、事故跟踪软件和取证分析软件)。
SIEM系统是最重要的事故管理工具之一。SIEM是比SEM更广泛的术语,指的是信息收集和手续行动的更全面的系统。典型SIEM的功能包括以下内容:
- 数据收集:收集不同设备、系统的相关日志。
- 数据聚合:在发送数据进行关联或保留之前,聚合器提供数据整合的功能。
- 数据规范化:规范化是将相同类型数据的不同表示解析为公共数据库中相似格式的过程。
- 关联:事件关联是一种链接多个安全事件或警报的功能,通常跨多个系统,在给定的事件窗口内,识别任何单一事件中不明显的异常活动。
- 预警:当收集或识别触发某些响应的数据时,SIEM会激活某些协议以提醒用户。
- 报告/合规性:建立SIEM中的协议以自动收集符合公司、组织和政府政策所必须的数据。自定义报告和报告模板通常是SIEM解决方案的一部分。
- 取证:SIEM的取证功能是指搜索日志和警报数据以查找恶意的或其他异常活动的指标能力。由事件关联和规范化过程支持的取证需要高度可定义且详细的查询功能以及对原始日志文件和归档数据的深入访问。
- 保留:数据需要长期存储,以便根据更完整的数据集做出决策。
- 仪表盘:用于数据分析和可视化,以尝试识别不适合正常模式或目标活动的数据。
七、安全事故管理流程
NIST SP 800-61定义了一个四阶段的事故管理流程,它是构建了处理事故的一种有用方法:
7.1 事故响应的准备阶段
有效的事故响应需要组织内的许多人参与。制定正确的计划和实施决策是建立成功的事故响应计划的关键。准备事故响应涉及的任务包括:
- 制定事故针对组织的特定定义,以便明确该术语的范围。
- 创建事故响应策略。
- 制定事故响应和报告程序。
- 建立与外部各方沟通的指导方针。
- 定义IRT将提供的服务。
- 选择事故响应的组织结构和人员配置模型。
- 配置和培训IRT人员。
- 建立并维护准确的通知机制。
- 制定优先处理事故的书面指南。
- 制定事故数据的收集、标准化、组织、存储和保留计划。
7.2 检测和分析
事故响应生命周期中最具挑战性的阶段可能是检测和分析阶段,其中包括确定事故是否已经发生。如果事故已经发生,则确定问题的类型、范围和程度。
7.2.1 事故检测
作为事故响应生命周期的一部分,必须从记录的众多安全事件中检测安全事故。
事故检测的关键方面包括:
- 所有IT人员和用户都需要接受如何报告故障、弱点和可疑事件的程序培训,识别和检测安全保护问题的方法,以及如何适当地升级报告。
- 必须实施技术控制,以便从事件日志中自动检测安全事故,并尽可能地得到接近实时的报告。关键技术工具包括IDS和持续监控的反病毒软件。
- 需要从内部和外部数据源收集态势感知信息,包括本地系统、网络流量和活动日志;关于可能影响事故活动的持续政治、社会或经济活动的新闻;事故趋势,新攻击媒介,当前攻击来源以及新的缓解策略和技术的外部信息。
- 需要安全地收集和存储数据证据,并且必须持续监控其安全保护,以应对法律起诉或保留内部纪律处分所需的证据。
7.2.1 分析
一旦检测到事故,应立即进入生命周期的下一阶段,该阶段涉及消除威胁并从任何损害中恢复。此时大多数企业选择对事故进行更深入分析。典型行动包括:
- 确定影响的程度;
- 评估严重性;
- 评估事件的紧迫性;
分析还需要确定是否需要立即采取措施来消除漏洞或组织导致事故发生的操作。此类分析也可能是事故后期处理阶段的一部分。
7.3 遏制、根除和恢复
遏制、根除和恢复阶段是事故管理的核心任务。如果预防措施失败并且发生事故,则企业需要在攻击持续时组织攻击并从攻击中恢复。在这个阶段采取的行动可以看作发现事故,并将结果反馈到检测和分析阶段。
7.3.1 遏制
需要对大多数事故进行某种遏制。目标是在事故损害资源或以其他方式增加损害之前防止事故影响的扩散。
组织必须提前规划处理各类事故的策略。策略因事件类型而异。在某些情况下,系统可能需要与网络隔离,直到威胁被消除为止。战略的性质和用于遏制的资源数量取决于提前制定的标准。
7.3.2 根除
一旦持续的损害停止,可能需要执行某种根除以消除事故的任何残余元素。
7.3.3 恢复
在恢复过程中,IT人员会尽可能地将系统恢复到正常的运行状态,并在适用的情况下强化系统以防止类似事件发生。
7.4 事故后的行动
事故记录功能允许记录事故和事故的注释。在遏制、根除和恢复阶段处理事故后,组织应启动评估过程。这包括总结经验教训和撰写行动报告。根据事故的类型和安全政策,可能需要进行全面的取证调查,或可以进行全面的损失分析。
八、紧急修复
必须以比其他安全事故更大的紧迫感处理紧急安全事故。紧急相应可能需要进行紧急修复以暂时消除持续损害,直到提供更持久的响应。实时紧急修复还可以要求信息安全员临时获得通常未被守权的访问权限。
应对紧急事故的一个关键方面是一个人或多个人必须有权修复。安全人员必须命令采取紧急措施来保护信息资产,并覆盖管理员权限和角色以允许紧急访问。但是,这种访问方式还需要安全的问责机制,并且必须限制保持系统安全所需的最少工作人员数量,因为每个具有完全相同访问权限的人都能够覆盖任何和所有安全功能。
九、法律调查
NIST SP 800-96《将电子取证集成到事故响应中的指南》,将计算机取证或数字取证定义为数据的识别、收集、检查和分析,同时保持信息的完整性并维护严格的监管链数据。
![[Pasted image 20230625110525.png]]
9.1 准备
准备工作涉及与取证调查有关的规划和决策活动。安全策略的一部分应该处理计算机取证。NIST SP 800-86建议考虑一下因素:
- 确保政策包含针对所有主要取证考虑因素的明确声明,例如联系执法部门、执行监控以及对取证政策和程序进行定期审查。
- 根据组织的策略以及所有适用的法律和法规,创建和维护执行取证任务的过程和准则。
- 确保政策和程序支持合理和适当地使用取证工具。
- 确保 IT 专业人员准备好参与取证活动。
此外,组织应制定如何管理证据的指导仿真,这些准则有助于确保在整个调查过程中保留证据。
准备工作的一个重要方面是确保创建和安全存储取证分析所需的数据源。主要行动包括:
- 创建文件系统基准以帮助检测变更;
- 使用中央系统日志服务器;
- 维护网络上关键控制点的网络级日志记录;
- 使用中央网络时间协议(NTP)服务器为生成日志的系统同步时钟和日志时间戳;
- 维护协议活动表,这些表在响应某些类型的事故时非常有用;
9.2 识别
当有取证分析请求时,便启动识别阶段。此阶段涉及了解请求的目的和调查范围。识别阶段确定感兴趣的数据存储位置以及可以恢复和检索哪些数据。此阶段的另一个任务是设置和验证取证硬件和软件,并根据需要创建系统配置。
9.3 收集
一旦确定了数据的位置,取证过程需要确保以保持证据完整性的方式收集数据。通常,企业政策要求使用专用的取证硬件和软件,以确保原始数据永远不会被变更,并且所收集的证据经得起法律审查。收集数据后,将对其进行验证和备份,以确保存在有效映像。
取证软件工具,例如取证工具包(FTK)和EnCase。
9.4 保留
保留数据的流程包括以下内容:
- 创建一个日志,记录收集数据的时间、地点、方式和人员;
- 以安全的方式存储数据以防止数据被篡改或污染;
- 记录数据的每次访问以进行取证分析;
9.5 分析
分析取决于每项工作的具体情况。审查员通常在分析期间向客户提供反馈,并从该对话中,分析可以采取不同的方式或将分析的目标缩小到固定的范围。
NIST计算机取证工具测试程序该程序测试可用的取证工具并维护工具的目录,它能使从业者找到满足器特定技术需求的工具。
9.6 报告
取证调查产生的任何报告的性质取决于调查的最初目的。文档NIST SP 800-86列出了影响调查报告的因素,如下所示:
- 替代解释:可用信息可能无法提供对事故原因和性质的明确解释,分析师应该提出最好的结论并突出其他解释。
- 受众考虑:需要执法部门参与的事故应收集所有信息的详细报告,并且还需要获得所有获得的证据数据的副本。
- 可操作的信息:报告还包括识别从数据中获取的可操作信息,以便分析师收集新的信息来源。此外,获得信息可能有助于防止将来事故的发生。