1、Contoso CSIRT(计算机安全事件响应组 小组如何响应红色代码 II 病毒场景说明:您公司是主营业务是通过网站进行业务销售的公司,您公司已经组建了针对 IT 运维系统的应急支持小组,您就是其中一员,今天在例行巡检中发现服务器有红色代码的相关迹象,请问如何进行处理?说明:安全小组的虚拟角色和应急预案请在模拟行动前进行。 开始识别突发事件突发事件登记突发事件分类( 优先级 / 种类 )服务请求调查 / 诊断处理资源足够事件升级( 直线上级优先)寻求解决方案同意处理结果与客户确认结束报告/ 归档是否否归档处理 否CMDB是是否服务请求处理是结束突发事件管理流程事件响应步骤采取的行动进行初期评
2、估Samantha Smith 是随时待命的 CSIRT 成员,她查看 Contoso 入侵检测系统所记录的事件的简短描述。系统指出在 Web 服务器 WEB2 上可能发生红色代码 II 事件。她检查 WEB2 服务器的 Internet 信息服务 (IIS) 日志文件中的签名字符串,并检查 c:inetpubscripts 中是否存在 root.exe。调查的结果表明这不太可能是假阳性检测。报告事件 Samantha 通过电话告知 CSIRT 的其他成员她刚刚发现的问题,并答应一旦发现更多的迹象会随时报告。减少损失并将风险控制在最小Contoso 的事件响应策略指出一旦证实系统中有蠕虫存在,
3、应断开系统与网络的连接。Samantha 去掉了网线。幸运的是,WEB2 是负载均衡的一组服务器中的一部分,因此不会由于该系统的断开而使网络服务中断。报告事件 Samantha 通过电子邮件将所发现的问题报告给 CSIRT 的其他成员,并直接与 CSIRT 领导联系。CSIRT 领导指定由信息安全经理 Taylor Maxwell 担任事件领导。Taylor 将协调所有活动,并与核心 CSIRT 交换信息。Taylor 通知技术部主任以及随时待命的信息技术组,Web 服务器已断开与网络的连接,至少应在清除蠕虫之后再将其重新连接。Taylor 还通知执行管理层、通信官员以及法律代表。法律代表告诉
4、 Taylor 虽然不太可能追究法律责任,但仍然建议他按照程序收集证据。识别危害的严重性Samantha 扫描其他服务器的日志文件,以确定蠕虫是否已传播。她发现尚未传播。减少损失并将风险控制在最小另一个 CSIRT 成员 Robert Brown 运行 Microsoft Baseline Security Analyzer (MBSA),这是 Microsoft 提供的一个工具,管理员可以在一个中心位置使用该工具检查网络中运行 Windows NT 4.0、Windows 2000 以及 Windows XP 的所有计算机的修补状态,以便实时地确定是否已针对红色代码 II 对其他服务器进行修
5、补。他发现有另外两台服务器不处于最新状态,便立即应用修补程序。识别危害的严重性Robert 进一步扫描其他所有 IIS 服务器的日志文件,以确定此时不存在红色代码 II 的其他任何实例。保护证据 一切迹象表明只有 WEB2 遭到破坏。由于已合理地抑制损失,并且法律部门指出应收集证据,因此 Taylor 决定在对系统进一步的入侵分析(可能扰乱或破坏证据)之前先执行这一项工作。其他小组成员继续监视其事件响应步骤采取的行动他 Web 服务器并记录可疑的活动。CSIRT 中的一名接受过法庭证据收集训练的成员为安全性已遭到破坏的系统制作两个快照(即完整的物理备份)。一个快照妥善保存,以供将来接受法院的检
6、查。另一个快照将与在该事件之前制作的干净而安全的备份一起用在恢复过程中。根据安全策略,法庭备份应存储在以前从未使用过、且只能写一次的媒体中,应制作有关的详细文档,并且应与从服务器上卸下的硬盘一起密封并保护起来。识别攻击的类型和严重性。组织的安全工具包便携式计算机(包含许多法庭工具)用于复查恢复备份,以发现其他危害。除了启动时运行软件的区域外,还应复查注册表项和文件夹,如 profile/startup 目录以及 Run 和 RunOnce 注册表项。还应复查 User 和 Group 帐户,以及用户权限和安全策略是否发生过任何改变。复查安全日志以找出其他任何可疑的活动。通知外部机构Taylor
7、 将事件报告给联邦调查局 (FBI) 国家基础设施保护中心,因为 Contoso 参与了许多大型的美国政府项目。由于可以断定客户信息以及系统访问未遭到破坏,因此不通知客户。恢复系统 虽然存在可以用来将红色代码 II 从 WEB2 中清除的工具,但是 CSIRT 和 WEB2 支持小组选择将操作系统重新安装到新的媒体中。通过将操作系统从原来的分发媒体安装到新的磁盘媒体中,以及使用 Microsoft 安全工具包,他们确信了拥有一个干净的系统,即没有黑客后门或被破坏的文件的系统。重新安装 Windows 2000 后,对系统应用更严格的安全防范措施。找到未感染的备份,然后按照文档中规定的程序还原数
8、据。如果只能从安全性已遭到破坏的备份中还原数据,那么应将数据还原到单独的脱机系统中,然后在确信它没有重新感染其他操作系统的危险后,将它重新合并到 WEB2 中。CSIRT 小组对系统执行全面的漏洞评估,并记录此过程中发现的所有信息。将 WEB2 重新连接到网络,并对其进行严密监视,查找是否存在新的威胁或现有威胁的其他迹象。编制并组织事件文档Taylor 和 CSIRT 研究漏洞的根源,并确定系统是否是最近重新安装的,尚未应用过修补程序。这里假定已制定明确的策略。此事件有三种可能的根源:支持小组的成员未重新应用修补程序、信息安全部门未及时审核应用的修补程序,以及配置管理组未意识到需要应用修补程序
9、,并且在恢复运行状态之前,未请信息安全部门检查系统。完成了上述部分操作后,应可避免某些事件。小组决定执行新的程序以防止此事件再次发生。创建一个检查表,在其中列出变更管理部门、Web 服务器支持部门以及信息安全部门必须完成的工作。只有在完成这些工作之后,信息安全部门才能批准在内部网络中事件响应步骤采取的行动恢复任何系统。必须完成检查表中列出的步骤,然后信息安全部门才能重新配置防火墙,以便允许外部系统与该系统之间的通信。审核部门还将定期检查是否准确遵循了检查表中的内容,并完成了检查表中的全部工作。Taylor 和 CSIRT 编制所有文档,确定在响应事件的过程中完成了哪些任务,每一项任务所花费的时间,以及执行者。此信息将发送给金融代表,后面将按照针对计算机损失的“通用公认的记帐原则”计算成本。CSIRT 小组组长确保管理层了解事件的总成本、发生的原因,以及计划如何防止将来再发生该事件。对于管理层而言,很重要的一点是了解不规定或不遵循这些程序以及不配备 CSIRT 等资源意味着什么。由适当的小组成员复查全部的事件文档、所吸取的教训,以及遵循了哪些策略和未遵循哪些策略。法律代表、CSIRT 小组组长和事件领导以及执行管理层应复查与采取法律行动有关的文档和程序。
