安全事件预防和响应

CISSP学习：第17章事件的预防和响应

事件：指会对机构资产的保密性、完整性或可用性产生负面影响的任何事态。

事件响应步骤：

1.检测：入侵检测和预防系统；反恶意软件；审计日志；最终用户有时会检测非常规活动。

2.响应：计算机响应小组（CIRT）。

3.抑制：旨在遏制事件的发展，限制事件的影响或范围。

4.报告：在本单位通报所发生的事件并将情况上报机构外的相关部门和官员。

5.恢复：调查人员从系统收集了所有适当证据后，恢复系统。

6.补救：安全人员首先对事件进行分析研究，找出根本原因，防止再次发生。

7.总结教训。

基本预防措施：

1.保持系统和应用程序即时更新。

2.移除或禁用不需要的服务和协议。

3.使用入侵检测和预防系统。

4.使用最新版本反恶意软件程序。

5.使用防火墙。

6.执行配置管理和系统管理流程。

常见攻击：

1.僵尸网络

2.拒绝服务攻击：DOS、DDOS、DRDOS（分布式反射型拒绝服务）

3.SYN洪水攻击，可用SYN cookie应对。

4.Smurf和Fraggle攻击：都属于DoS攻击，利用回声回复。Smurf用ICMP泛洪，Fraggle利用UDP端口7和端口19，使用UDP数据包泛洪。

5.Ping洪水

6.死亡之Ping，Ping包通常只有32或64位，死亡之Ping将包改到64KB及以上。

7.泪滴：攻击者将通信流分隔成碎片，使系统无法重组。

8.零日利用：攻击者最先发现漏洞，供应商掌握漏洞情况当还未发补丁，供应商发布补丁但系统还没有打上。

9.恶意代码：偷渡式下载。

10.中间人攻击

11.蓄意破坏

12.间谍活动

如前检测和预防系统IDS：检测许多DoS和DDoS攻击的有效方法。

1.基于知识检测：基于签名或模式检测，最常用的方法。

2.基于行为检测（统计入侵检测）：基于启发检测。

3.SIEM系统

4.IDS响应：被动响应：发消息给管理员，管理员决定如何阻止攻击。主动响应：修改环境，阻止攻击。

5.基于主机的IDS：检测一台计算机的活动。

6.基于网络的IDS：检测网络信息，不能检测主机系统异常。

7.入侵预防系统IPS：检测并阻断攻击。

具体预防措施：

1.蜜罐/蜜网：诱惑或诱捕问题。

2.警示：向用户和入侵者宣传基本安全方针策略。例如：所有在线活动都将接受审计。

3.反恶意软件

4.白名单、黑名单：iPhone的IOS是白名单的极端体现。

5.防火墙。

6.沙箱

7.第三方安全服务

8.渗透测试：风险是可能会导致系统运行中断；需要得到许可，必要时需要书面许可；采用技术，雇佣外部转角爱；保护报告；道德黑客行动。三类：零知识团队的黑盒测试、全知识团队的白盒测试、部分知识团队的灰盒测试。主要工具：Metasploit

日志记录：

1.日志记录技术：将有关事件的信息写进日志文件或数据库的过程。

2.日志类型：安全、系统、应用、防火墙、代理、变更。

3.保护日志类型：备份、认证、销毁。

监测：

1.审计踪迹：将事件及有关信息保存，审计踪迹是监测安全控制的一种被动形式。

2.监测和问责：威慑作用。

3.监测和调查：重建已发生过的事件

4.监测和问题识别。

监测技术：日志；信息安全和时间管理（SIEM）；抽样（根据统计原理）；剪切级（超过阈值的事件）；击键监测（键盘记录器）；通信流分析。

出口监测：数据丢失预防（DLP，网络、端点）；隐写术（用散列函数防护）；水印。

效果评价审计：

1.访问审查审计：通过访问确定权限。

2.用户权限审计

3.特权群组审计：高权限管理员组，管理员的两个账户（一个低权，用于日常；一个高权）

安全审计和审查：

1.补丁管理

2.漏洞管理

3.配置管理

4.变更管理

报告审计结果：

1.保护审计结果，分配分类标签，有权限的人才能访问。

2.分发审计报告，接受者需正式签收。

3.使用外部审计人员。外部人员进入系统、推出系统。

参考文档：

https://www.ibm.com/topics/incident-response