返回
务实、高效、可信的应急响应

务实、高效、可信的应急响应

ID:36858329

大小:260.75 KB

页数:31页

时间:2019-05-16

务实、高效、可信的应急响应_第1页
务实、高效、可信的应急响应_第2页
务实、高效、可信的应急响应_第3页
务实、高效、可信的应急响应_第4页
务实、高效、可信的应急响应_第5页
资源描述:

《务实、高效、可信的应急响应》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、务实、高效、可信的应急响应东软•网络安全曹斌案例一:无间之道事发ô受攻击目标:某机关网站ò10月22日,机关领导在出差时上网发现自己的网站遭到入侵,主页被替换ô10月23日下午响应开始,现场情况:ò网站服务器位于DMZ区,有东软NetEye防火墙保护ò服务器类型:Win2003+IIS6+ASP+Accessò位于DMZ区的东软NetEyeIDS系统在攻击前一天被安全管理员配置成了不记录和分析TCP协议ò查看审计日志发现,12月13日上午,IDS服务器日志系统数据库被安全管理员重整ò防火墙没有配置针对Web服务器的应用层防护策略ò防火墙日志功能没有启用ò网络管理员于攻击发现当天使用同名覆盖恢复

2、网站ò网站日志被删除初步分析ô初步分析ò通过分析网站源代码,初步判断攻击方式可能为SQL注入,攻击者利用论坛的配置缺陷,上载了asp木马程序,进而替换了页面ò可疑对象:ô有内部作案的可能ô安全管理员:由于对IDS的异常配置,使安全管理员成为首要怀疑对象ô网络管理员:由于恢复网站的动作之前没有做任何保留现场的备份工作,也非常可疑ò难点:没有任何可直接利用的取证机制真相ô通过恢复服务器上被删除的数据,取得了攻击者留下的入侵证据,证实了SQL注入的攻击方式,并取得了上载的ASP后门程序代码,再现入侵。ô根据恢复出的日志数据,定位了攻击者的信息,为外部无关人员,基本解除了对内部人员的怀疑。回味ô入侵本

3、可以避免ò动网论坛的代码没有分析其安全性,并进行配置上的修补;ò防火墙针的“防SQL注入”、“网站信息隐藏”等有效的网站保护措施没有被启用ô定位本可以更快òIDS的审计功能被关闭了,否则即使入侵者扫除了痕迹也能够在IDS系统中留下完整的记录ò防火墙的日志功能没有启用ò恢复被攻击的网页前没有备份攻击现场案例二:资源之战某市级运营商的DDOS攻击ô持续2个月的洪水攻击ô1500多台Internet主机参与攻击,遍布互联网各处,部分在海外ô运营商停止营运,公安部门介入,东软提供技术支持ô通过在若干个地点的取证分析定位了策动攻击的15台主机ô进一步分析确定攻击源头,找到发起攻击的现场,攻击发动者被拘捕

4、,攻击停止教训大多数客户没有为安全事件做好准备ô缺少对信息资产的全面了解ô缺少必要的审计环节,使得发生的事情不容易追踪ô网络安全防护设施不健全,有些时候需要临时部署防护设施ô信息系统的日常安全性维护做得不够好很多客户在事件处理中没有采取正确的措施ô获取外部资源比较盲目,延误事件处理进程(案例:我们处理的一个案例,在我们到现场之前已有6家不同的公司到现场处理过)ô现场保护不利,导致一些事件的处理时很难准确评估损失的范围,以及难以追踪攻击来源很多客户没有在事件之后采取必要的措施ô包括信息系统的整体加固、必要的安全设施的完善、安全管理体系的加强,以及与应急服务商的正式沟通渠道的建立。应急处理的独特之

5、处应急处理的使命ô在事件发生时阻止攻击ô使被攻击的系统恢复到攻击前的状态ô保留证据ô分析攻击的机制,制定改进的策略,防止同样的攻击再次发生应急处理面对的局面ô每个安全事件都是独特的ò人的个性化导致攻击行为的个性化ò目标、角色、目的、手段、性格ô为了停止攻击有时需要调动超过组织范围的资源应急处理的策略ô资源准备ò知识、技能ô关于自身系统方面的知识ô关于缺陷与攻击的知识ô掌握攻击者的技能ô现场分析的技能ò工具ô防御的工具ô分析的工具ò人员ô客户的决策人员、维护人员、应急处理人员ô来自外部的应急处理工程师ô有效调度ò在事件发生的很短的时间内,如何有效的调动各种资源,有序的解决问题ò应急预案的制定和执

6、行趋势ô互联网资源的无序利用正在转变为有组织的利用和有目的的攻击感叹:应急处理是艺术决定应急处理成败的是:应急资源的质量、应急过程中相关人员的应变能力东软如何做好应急响应工作ô客户与应急处理小组的有效互动是解决问题的关键ô研究、产品、服务三层技术团队,提供可随时调动的优质资源攻防研究与应急处理中心ô漏洞和攻击研究ô及时向用户通告最新的安全威胁ô由产品开发部门发布最新的产品升级,对新的攻击进行防御ô帮助用户进行安全加固、应急预案、培训等工作ô及时响应客户的应急事件,争取在尽可能短的时间内解决客户的安全问题ô帮助客户进行事后的安全体系维护提供有效防御的产品ô东软NetEyeIDS与安全管理平台-提

7、供全网的监控与审计ò入侵报警ò实时分析ò全方位的审计ô网络审计ô主机审计ô应用事件审计ô应用过程审计ô东软NetEye防火墙“流过滤”平台-有效防御平台ò针对应用层攻击,提供丰富的应用层攻击防护策略ò快速扩充针对性防御部件入侵检测与综合监控平台-NetEyeIDSô采用旁路侦听方式ô提供实时流量分析和异常报警ô对于入侵事件提供基于统计特征的报警机制(识别对骨干网有重大影响的大范围的攻击事件)ô提供

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。