Security+ 10. 处理安全事件

10. 处理安全事件

• • 10.1 安全问题
  • 10.2 响应安全事件
  • • 10.2.1 事件准备
    • 10.2.2 事件的检测和分析
    • 10.2.3 事件遏制
    • 10.2.4 事件消除
    • 10.2.5 事件恢复
    • 10.2.6 经验教训
    • 10.2.7 事件响应计划(Incident Response Plan)
  • 10.3 调查安全事件
  • • 10.3.1 计算机取证
    • 10.3.2 取证数据保留
    • 10.3.3 调查安全事件准则

10.1 安全问题

1. 数据外泄(data exfiltraiton)：攻击者获取了存储在私有网络内部的数据并将其移至外部网络的过程。

1. 确保所有敏感数据在闲置时都进行了加密。
2. 为可能成为销毁或勒索目标的数据创建并维护异地备份。
3. 对存储或传输敏感数据的系统实施访问控制
4. 检查访问控制机制是否授予某些账户过多权限
5. 限制攻击者将数据从网络传输到外部时可利用的网络通道类型。
6. 断开存储存档数据系统的网络连接

2. 事件日志中的异常

1. 多次连续的认证失败
2. 系统配置不按计划的更改
3. 过多或无法解释的关键穖故障或应用程序崩溃
4. 网络设备日志中记录的过量带宽消耗
5. 事件日志中的排序错误或空白

3. 基线偏差

1. 正常情况下，系统的状态会随时间发生一定偏离，但不一定表示发生了攻击
2. 补丁和其他更新可能会导致基线过期，这时需要更新基线
3. 如果攻击者进行过侦察并对基线非常熟悉，攻击导致的基线偏差可能非常小。
4. 只有对基础配置进行锁定和访问控制，在用户工作站上执行基准才能有效。
5. 产生相同或相似基线偏差的多个关键系统需要进行迅速补救

4. 软件问题：未经授权的软件、无证书的软件、过时软件
5. 人事问题：违反策略、社交媒体和个人电子邮件的使用、社交工程、内部人员威胁。
6. 访问控制问题：认证问题、权限问题、访问冲突。
7. 加密问题：未加密的证书、证书问题、密钥管理问题
8. 资产管理问题

1. 所有资产都加入资产跟踪系统中，如条形码
2. 部署合适的流程，标记新资产
3. 按流程移除系统中过时的资产
4. 检查资产ID是否冲突
5. 检查资产是否有不准确的元数据。
6. 确保资产管理软件能够正确读取并理解跟踪标签
7. 更新资产管理软件以修复任何错误或安全问题

10.2 响应安全事件

• 事件响应流程：准备–>检测&分析–>遏制，消除&恢复–>事后的活动

10.2.1 事件准备

1. 制定组织策略，定义什么是安全事件以及事件是否发生。
2. 制定处理事件的响应计划或策略，如根据影响确定事件优先级。
3. 制定沟通计划，让需要知道事件的相关方了解事件
4. 建立文档要求
5. 组建事件响应小组(IRT)，并确保IRT拥有必要的访问权限，许可和工具以便能对事件做出响应。
6. 对相关方进行安全策略的培训

10.2.2 事件的检测和分析

• 确定与正常操作的偏离情况，分析确认这些偏离是否被认为是事件。

1. 使用日志文件，错误消息，IDS警报、防火墙警报等建立基线并识别可能的安全事件参数。
2. 比较与既定指标的偏差，识别事件及其范围。
3. 通知IRT并建立团队与管理层之间的沟通渠道
4. 选择至少一名负责评估和证据收集的事件处理人员。
5. 确保事件处理员用文档记录下检测和范围界定过程中的所有方面。

10.2.3 事件遏制

1. 短期遏制：如隔离
2. 系统备份：创建受影响系统的重复映像，以确保证据的保存。
3. 长期遏制：暂时将受影响的系统下线进行维护，以便彻底恢复。

10.2.4 事件消除

1. 采取必要步骤将系统恢复到已知的支行状态
2. 实施能有效遏制事件重演的安全控制措施。
3. 更新事件文档，列举此阶段采取的步骤。

10.2.5 事件恢复

1. 恢复运营的时间范围
2. 使用测试工具和措施来确保每个系统功能完备眀没有受到感染
3. 监视系统异常的时间范围

10.2.6 经验教训

1. 与IRT和管理层开会，完成事件时间线的确定。
2. 确定问题及其范围，以及为实现遏制，消除和恢复需要采取的措施。
3. IRT和事件响应计划的有效性，那边保留，那些需要改进。
4. 完成事件的文档记录。

10.2.7 事件响应计划(Incident Response Plan)

• 是描述检测，响应，以及最小化安全事件影响流程的文档

1. 建立并维护事件响应小组，也称网络事件响应小组。
2. 以局面形式列举了构成安全事件的内容，以及对每类事件类型的定义。
3. 事件发生时就遵循的流程
4. IRT成员的角色和责任。
5. 报告事件的方式，相关方，时间
6. 事件响应何时需要扩大
7. 测试和验证计划有效性。如演练

第一响应人(first responder)：第一时间到达事故现场的经验人员
事件报告(incident report)：描述了安全事件期间所发生的事件的报告

10.3 调查安全事件

10.3.1 计算机取证

1. 收集阶段：确定受到攻击的系统并对其进行标记，从所有有权访问系统的相关方里记录并获取详细信息以及证据材料，维护数据的完整性。
2. 检查阶段：使用自动或手动方法对收集到的数据进行取证处理，评估和提取证据，维护数据的完整性。
3. 分析阶段：使用法律允许的方法和技术分析检查阶段的结果，获取能证明收集和检查原因合法的信息
4. 报告阶段：报告取证分析结果

10.3.2 取证数据保留

1. 收到诉讼保留通知：包括如何保留信息的指示。
2. 保息保存
3. 建立审计跟踪
4. 取证响应流程：

1. 捕获取证图像和内存：通过逐位对应地将一块媒介复制为一个具有高精度的镜像文件来完成
2. 检查网络流量和日志
3. 捕获视频：通过视频勘察线索
4. 记录时间偏移量：记录文件活动的时间格式为相对GMT的本地时区偏移量
5. 散列：对每个电子证据进行散列，包括存储分区，软件和单个文件
6. 截取快照
7. 确定证人
8. 跟踪工时和成本
9. 收集情报

5. 数据易失性顺序

1. CPU寄存器，CPU缓存和RAM
2. 网络缓存和虚拟内存
3. 硬盘驱动和闪存驱动器
4. CD-ROM，DVD-ROM和打印输出

6. 监控链：收集–>分析和存储–>呈堂供证–>处理
7. 事件隔离：首要响应措施

10.3.3 调查安全事件准则

1. 制定或采用一致的流程来处理和保存取证数据
2. 评估损害，并确定受影响系统
3. 确定是否需要外部技术支持
4. 如有需要通知执法部门
5. 保护现场，使其中的硬件受到控制
6. 收集所有必要证据
7. 收集证据过程中，注意易失性顺序
8. 与相关人员进行面谈，收集有关犯罪的信息。
9. 将调查结果报告给所需人员。