移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 移动安全 >

企业该如何面对网络安全事件(上)

时间:2011-05-01 17:16来源: 点击:
对于企业来说,生产上的各种应急预案都是会有的,例如,重要设备停电应急预案等等。
Tags网络安全(375)  

  要做好事件的应急是个繁琐的工作,也并不好做。并且,方案做好后到底行不行得通,能够不能够持续执行下去,以及是否可以达到预期的效果是不能立即知道的,得通过实际的检验才知道。

  平时做好准备,通过处理各种安全事件来检验应急方案的有效性就显得非常重要。但实际情况是:大多数企业没有网络安全事件应急方案,更不要说事件应急小组。一些企业连IT部门都没有,甚至直接由行政管理部兼任,也就是一两个人,哪来的事故应急小组和应急方案呢?不论是什么样的企业,在制定事件响应计划前,我们应当明白事件响应的目标是什么?是为了阻止攻击,减小损失,尽快恢复网络访问正常,还是为了追踪攻击者。

  只要事先先明确了目标,事情就有些好办了。对于应对网络安全事件来说,也必需用相应的工具软件来武装自己,不然,你好像少了眼睛,再好的身手也无法开展,做不了什么。

  至少,我们得准备好下面的工具,大多不需要花钱,只需要下载保存下来就行。我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范,以及日志分析和追踪等软件。这些软件的种类很多,在准备时,得从你的实际情况出发,针对各种网络攻击方法,以及你的使用习惯和你能够承受的成本投入来决定。

  下面列出需要准备哪些方面的工具软件:

  (1)、系统及数据的备份和恢复软件。

  (2)、系统镜像软件。

  (3)、文件监控及比较软件。

  (4)、各类日志文件分析软件。

  (5)、网络分析及嗅探软件。

  (6)、网络扫描工具软件。

  (7)、网络追捕软件。

  (8)、文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。

  (9)、如有可能,还可以准备一些反弹软件。

  由于涉及到的软件很多,而且又有应用范围及应用平台之分,你不可能全部将它们下载或购买回来,这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来,但有几个软件,在事件响应当中是经常用到的,例如, backer备份恢复软件,Nikto网页漏洞扫描软件,Namp网络扫描软件,Tcpdump(WinDump)网络监控软件,Fport端口监测软件,Ntop网络通信监视软件,RootKitRevealer(Windows下)文件完整性检查软件,Arpwatch检测软件,OSSEC HIDS检测和各种日志分析工具软件,的BASE分析软件,SNORT基于网络入侵检测软件,Spike Proxy网站漏洞检测软件,Sara安全评审助手,NetStumbler是802.11协议的嗅探工具,以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是本身带有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其实上述提到的每个软件以及所有需要准备的软件,都可以在一些安全类网站上下载免费或试用版本,例如,www.xfocus.net和www.insecure.org这两个网站。

  但是,有了武器,还得知道如何去用,知道在什么问题上使用什么工具。不然,即使武装到牙齿,还是打不了仗的。

  而要做到灵活运用就必需用战术来做指导。对应对网络安全事件来说,战术就是指安全事件的处理流程。

  也就是说,什么样的网络安全问题,我们该用什么方式去应对。

  2、事件分类

  当确认已经发现攻击事件后,就应当立即对已经出现了的攻击事件做出严重程度的判断,以明确攻击事件到达了什么地步,以便决定下一步采取什么样的应对措施。例如,如果攻击事件是涉及到中的一些机密数据,这肯定是非常严重的攻击事件,就应当立即断开受到攻击的服务器的网络连接,并将其隔离,以防止事态进一步的恶化及影响网络中其它重要主机。

  对攻击事件进行分类,一直以来,都是没有一个统一的标准的,各安全厂商都有他自己的一套分类方法,因此,你也可以自行对攻击事件的严重程度进行分类。一般来说,可以通过确认攻击事件发展到了什么地步,以及造成了什么样的后果来进行分类,这样就可以将攻击事件分为以下几个类别:

  (1)、试探性事件;

  (2)、一般性事件;

  (3)、控制系统事件;

  (4)、拒绝服务事件;

  (5)、得到机密数据事件。

  对网络中的主机进行试探性扫描,都可以认为是试探性质的事件,这些都是攻击者为了确认网络中是否有可以被攻击的主机,而进行的最基本的工作。当攻击者确认了要攻击的目标后,他就会进一步地对攻击目标进行更加详细,更加有目的的扫描,这时,所使用的扫描方式就会更加先进和不可识别性,例如半连接式扫描及FIN方式扫描等,这种扫描完成后,就可以找到一些是否可以利用的漏洞信息,由于现在的一些整合性和也能够识别这些方式的扫描,因此,如果在日志文件中找到了与此相应的记录,就表明攻击已经发展到了一般性事件的地步了。当攻击者得到可以利用的漏洞信息后,他就会利用各种手段对攻击目标进行渗透,这时,如果你没有及时发现,渗透的成功性是非常大的,网络中已经存在有太多的这类渗透工具,使用这些工具进行渗透工作是轻而易举的事,在渗透成功后,攻击者就会想法提高自己在攻击目标系统中的权限,并安装后门,以便能随心所欲地控制已经渗透了的目标,此时,就已经发展到了控制系统的地步。到这里,如果你还没有发现攻击行为,那么,你所保护的机密资料将有可能被攻击者完全得到,事态的严重性就可想而知了。攻击者在控制了攻击目标后,有时也不一定能够得到机密数据,由此而产生一些报复性行为,例如进行一些DOS或攻击等,让其他正常用户也不能够访问,或者,攻击者控制系统的目的,就是为了对其它系统进行DOS或DDOS攻击。

  此时的你,就应该从日志文件的记录项中,迅速对攻击事件发展到了哪种地步做出明确的判断,并及时上报小组领导,以及通报给其他小组成员,以便整个小组中的所有成员能够明确此次攻击事件的严重程度,然后决定采取什么样的应对方法来进行响应,以防止事态向更加严重的程度发展,或者尽量减小损失,及时修补漏洞,恢复网络系统正常运行,并尽快收集好所有的证据,以此来找到攻击者。

------分隔线----------------------------

推荐内容