網(wǎng)絡安全事件響應

第1章 事件響應簡介 1
1.1 什么是事件響應 2
1.1.1 事件的定義 2
1.1.2 安全事件的種類 2
1.1.3 其他類型的事件 3
1.1.4 事件響應做些什么 5
1.1.5 事件響應和信息與計算機安全目標的關系 5
1.1.6 事件響應與計算機/信息安全生命周期 6
1.2 事件響應的基本原理 6
1.2.1 保護網(wǎng)絡安全的困難 7
1.2.2 大量的安全漏洞 7
1.2.3 攻擊系統(tǒng)和網(wǎng)絡的程序的存在 8
1.2.4 實際的和潛在的財務損失 8
1.2.5 不利的媒體曝光的威脅 8
1.2.6 對效率的需求 8
1.2.7 當前入侵檢測能力的局限性 9
1.2.8 法律方面的注意事項 9
1.3 事件響應概述 10
1.3.1 基本的考慮 10
1.3.2 計劃和組織 11
1.4 小結(jié) 13
第2章 風險分析 14
2.1 關于風險分析 14
2.2 與安全相關的風險類型 15
2.3 安全事件的數(shù)據(jù)獲取 25
2.3.1 在本機構(gòu)內(nèi)部發(fā)生的事件的相關數(shù)據(jù) 25
2.3.2 其他機構(gòu)收集到的事故數(shù)據(jù) 25
2.3.3 脆弱性分析 26
2.4
緊急響應中風險分析的重要性 26
2.5 小結(jié) 27
第3章 事件響應方法學 29
3.1 使用事件響應方法學的原理 29
3.1.1 結(jié)構(gòu)和組織 29
3.1.2 效率 29
3.1.3 促進事件響應的處理過程 29
3.1.4 意外的收益：處理意外 30
3.1.5 法律考慮 30
3.2 事件響應的6階段方法學 30
3.2.1 準備 31
3.2.2 檢測 33
3.2.3 抑制 40
3.2.4 根除 41
3.2.5 恢復 45
3.2.6 跟蹤 45
3.3 建議 46
3.4 小結(jié) 47
第4章 事件響應組的組建和管理 48
4.1 什么是事件響應組 48
4.2 為什么要組建事件響應組 49
4.2.1 協(xié)調(diào)能力 49
4.2.2 專業(yè)知識 49
4.2.3 效率 49
4.2.4 先期主動防御的能力 49
4.2.5 滿足機構(gòu)或社團需要的能力 50
4.2.6 聯(lián)絡功能 50
4.2.7 處理制度障礙方面的能力 50
4.3 組建響應組的問題 50
4.3.1 政策 50
4.3.2 響應組是必需的嗎 51
4.3.3 功能需求和角色是什么 52
4.3.4 客戶群是誰 53
4.3.5 保持與客戶的聯(lián)系 54
4.3.6 建立應急的通信（Developing Out－of－Band Communications） 58
4.3.7 人員問題 58
4.3.8 建立操作流程 60
4.4 關于事件響應工作的管理 61
4.4.1 管理風格 61
4.4.2 與他人合作 62
4.4.3 成功的評估標準 62
4.4.4 維護響應組的技能 63
4.4.5 準備報告和給管理層的匯報 63
4.4.6 事件響應組的發(fā)展生命周期 64
4.4.7 模型的價值 65
4.5 小結(jié) 65
第5章 事件響應的組織 66
5.1 有效的團隊確?？捎眯?66
5.2 訓練團隊 67
5.3 測試團隊 68
5.4 成功的障礙 70
5.4.1 預算 70
5.4.2 管理的抵制 70
5.4.3 組織的抵制 71
5.4.4 政策 71
5.4.5 用戶常識 72
5.5 外部協(xié)作 72
5.5.1 執(zhí)法機構(gòu) 72
5.5.2 媒體 73
5.5.3 其他事件響應組 73
5.6 管理安全事件 74
5.6.1 持久響應問題 75
5.6.2 分配安全事件的職責 75
5.6.3 流程圖 76
5.6.4 優(yōu)先權(quán) 77
5.7 小結(jié) 78
第6章 網(wǎng)絡攻擊的追蹤 79
6.1 什么是追蹤網(wǎng)絡攻擊 79
6.2 不同環(huán)境下的攻擊追蹤 80
6.2.1 攻擊追蹤和入侵追蹤 80
6.2.2 和PDCERF方法學的關系 80
6.2.3 代價與收獲 81
6.2.4 追蹤攻擊的動力 81
6.3 追蹤方法 82
6.3.1 搜索引擎 82
6.3.2 netstat命令 83
6.3.3 日志數(shù)據(jù) 83
6.3.4 入侵檢測系統(tǒng)的警報和數(shù)據(jù) 86
6.3.5 原始的包數(shù)據(jù) 86
6.4 下一步 88
6.4.1 發(fā)個電子郵件到abuse@ 88
6.4.2 找到可疑的源地址 89
6.5 構(gòu)建“攻擊路徑” 91
6.5.1 什么是攻擊路徑 91
6.5.2 構(gòu)建攻擊路徑 91
6.5.3 查明源 91
6.5.4 其他的線索 92
6.6 最后的忠告 92
6.7 小結(jié) 93
第7章 法律問題 94
7.1 美國有關計算機犯罪的法律 95
7.1.1 計算機欺詐和濫用法 95
7.1.2 最新立法 96
7.2 國際立法 97
7.2.1 COE條約 97
7.2.2 歐盟隱私權(quán)保護法案 99
7.3 搜查、沒收和監(jiān)控 100
7.4 制定管理政策 101
7.4.1 用戶準則(AUP) 101
7.4.2 電子郵件的使用 102
7.4.3 加密 102
7.4.4 搜查與監(jiān)控 103
7.4.5 未經(jīng)授權(quán)的行為 103
7.4.6 登錄警示 103
7.5 責任 104
7.6 起訴還是不起訴 105
7.7 小結(jié) 106
第8章 取證（I） 107
8.1 指導性的原則 109
8.1.1 道德 109
8.1.2 執(zhí)行檢查 109
8.2 取證硬件 110
8.3 取證軟件 111
8.3.1 進行拷貝的工具 112
8.3.2 搜索工具 112
8.3.3 完整系列軟件 113
8.4 獲取證據(jù) 113
8.5 對證據(jù)的檢查 115
8.5.1 做好搜查計劃 115
8.5.2 文件恢復 116
8.5.3 操作系統(tǒng)文件 116
8.6 小結(jié) 116
第9章 取證（II） 118
9.1 秘密搜查 118
9.2 高級搜查 119
9.2.1 硬件問題 119
9.2.2 筆記本電腦 120
9.2.3 老型號系統(tǒng) 121
9.2.4 個人數(shù)字助理 121
9.3 加密 122
9.4 家用系統(tǒng) 123
9.5 UNIX系統(tǒng)和服務器取證 124
9.5.1 與眾不同的UNIX 124
9.5.2 映像UNIX工作站 124
9.5.3 UNIX分析 125
9.5.4 服務器和服務器farm 127
9.6 小結(jié) 128
第10章 內(nèi)部攻擊的處理 129
10.1 內(nèi)部攻擊者的類型 129
10.2 攻擊類型 131
10.3 對內(nèi)部攻擊的預防 133
10.4 檢測內(nèi)部攻擊 134
10.5 內(nèi)部攻擊的響應 135
10.6 特殊考慮 137
10.7 特殊情況 137
10.8 法律問題 138
10.9 小結(jié) 140
第11章 事件響應中人性的因素 141
11.1 社會科學與事件響應的結(jié)合 141
11.2 第一節(jié)：計算機犯罪特征描述 143
11.2.1 什么是計算機犯罪特征描述(CCP) 143
11.2.2 為什么CCP會成為事件響應中的一部分 144
11.2.3 什么時候使用CCP 144
11.2.4 CCP的方法論 147
11.3 第二節(jié)：內(nèi)部攻擊 157
11.3.1 為什么內(nèi)部人員要發(fā)起攻擊 160
11.3.2 可行的解決方案 161
11.3.3 調(diào)查內(nèi)部人員 162
11.4 第三節(jié)：事件的受害者 163
11.5 第四節(jié)：事件響應中人性的因素 166
11.6 小結(jié) 167
第12章 陷阱及偽裝手段 168
12.1 關于陷阱和偽裝手段 168
12.1.1 “蜜罐”(Honeypots) 168
12.1.2 自動提示信息 169
12.1.3 圈套命令 170
12.1.4 虛擬環(huán)境 170
12.2 陷阱與偽裝手段的利與弊 172
12.2.1 優(yōu)點 172
12.2.2 缺陷 173
12.3 焦點：“蜜罐” 174
12.3.1 偽裝服務器和偽裝主機 174
12.3.2 初始考慮因素 175
12.3.3 部署上應考慮的問題 176
12.3.4 案例學習：欺騙工具包(DTK) 181
12.3.5 蜜罐的未來 182
12.4 事件響應中陷阱和欺騙手段的整合 183
12.4.1 檢測 183
12.4.2 準備 183
12.4.3 抑制 183
12.4.4 跟蹤 184
12.5 小結(jié) 184
第13章 事件響應的未來發(fā)展方向 186
13.1 技術(shù)進展 186
13.1.1 入侵監(jiān)測 186
13.1.2 自動響應 188
13.1.3 實驗中的追蹤方法 188
13.1.4 取證工具 189
13.1.5 加密 189
13.2 社會進展 190
13.2.1 法律條文 190
13.2.2 協(xié)同響應 190
13.2.3 教育 191
13.3 職業(yè)發(fā)展 191
13.4 事件的種類 195
13.4.1 病毒和蠕蟲 195
13.4.2 內(nèi)部攻擊 196
13.4.3 外部攻擊 196
13.5 小結(jié) 198
附錄A RFC-2196 200
站點安全手冊 200
A.1 簡介 200
A.1.1 這項工作的目的 201
A.1.2 讀者 201
A.1.3 定義 201
A.1.4 相關工作 201
A.1.5 基本方法 202
A.1.6 風險評估 202
A.2 安全政策 203
A.2.1 安全政策是什么，我們?yōu)槭裁葱枰?203
A.2.2 怎樣產(chǎn)生一個好的安全政策 205
A.2.3 保持政策的靈活性 206
A.3 體系結(jié)構(gòu) 206
A.3.1 目標 206
A.3.2 網(wǎng)絡和服務的配置 208
A.3.3 防火墻 211
A.4 安全服務和程序 213
A.4.1 認證 214
A.4.2 保密性 216
A.4.3 完整性 216
A.4.4 授權(quán) 216
A.4.5 訪問 217
A.4.6 審核 219
A.4.7 安全備份 221
A.5 安全事件處理 221
A.5.1 事件處理的準備和計劃 223
A.5.2 通知和聯(lián)系人 224
A.5.3 識別一個事件 228
A.5.4 事件處理 230
A.5.5 事故的后果 233
A.5.6 責任 233
A.6 正在進行的活動 234
A.7 工具和存放地點 235
A.8 郵件列表和其他資源 235
A.9 參考資料 237
附錄B 事件響應與報告項目檢查表 246