CISSP學習：第17章事件的預防和響應

事件：指會對機構(gòu)資產(chǎn)的保密性、完整性或可用性產(chǎn)生負面影響的任何事態(tài)。

事件響應步驟：

1.檢測：入侵檢測和預防系統(tǒng)；反惡意軟件；審計日志；最終用戶有時會檢測非常規(guī)活動。

2.響應：計算機響應小組（CIRT）。

3.抑制：旨在遏制事件的發(fā)展，限制事件的影響或范圍。

4.報告：在本單位通報所發(fā)生的事件并將情況上報機構(gòu)外的相關(guān)部門和官員。

5.恢復：調(diào)查人員從系統(tǒng)收集了所有適當證據(jù)后，恢復系統(tǒng)。

6.補救：安全人員首先對事件進行分析研究，找出根本原因，防止再次發(fā)生。

7.總結(jié)教訓。

基本預防措施：

1.保持系統(tǒng)和應用程序即時更新。

2.移除或禁用不需要的服務(wù)和協(xié)議。

3.使用入侵檢測和預防系統(tǒng)。

4.使用最新版本反惡意軟件程序。

5.使用防火墻。

6.執(zhí)行配置管理和系統(tǒng)管理流程。

常見攻擊：

1.僵尸網(wǎng)絡(luò)

2.拒絕服務(wù)攻擊：DOS、DDOS、DRDOS（分布式反射型拒絕服務(wù)）

3.SYN洪水攻擊，可用SYN cookie應對。

4.Smurf和Fraggle攻擊：都屬于DoS攻擊，利用回聲回復。Smurf用ICMP泛洪，F(xiàn)raggle利用UDP端口7和端口19，使用UDP數(shù)據(jù)包泛洪。

5.Ping洪水

6.死亡之Ping，Ping包通常只有32或64位，死亡之Ping將包改到64KB及以上。

7.淚滴：攻擊者將通信流分隔成碎片，使系統(tǒng)無法重組。

8.零日利用：攻擊者最先發(fā)現(xiàn)漏洞，供應商掌握漏洞情況當還未發(fā)補丁，供應商發(fā)布補丁但系統(tǒng)還沒有打上。

9.惡意代碼：偷渡式下載。

10.中間人攻擊

11.蓄意破壞

12.間諜活動

如前檢測和預防系統(tǒng)IDS：檢測許多DoS和DDoS攻擊的有效方法。

1.基于知識檢測：基于簽名或模式檢測，最常用的方法。

2.基于行為檢測（統(tǒng)計入侵檢測）：基于啟發(fā)檢測。

3.SIEM系統(tǒng)

4.IDS響應：被動響應：發(fā)消息給管理員，管理員決定如何阻止攻擊。主動響應：修改環(huán)境，阻止攻擊。

5.基于主機的IDS：檢測一臺計算機的活動。

6.基于網(wǎng)絡(luò)的IDS：檢測網(wǎng)絡(luò)信息，不能檢測主機系統(tǒng)異常。

7.入侵預防系統(tǒng)IPS：檢測并阻斷攻擊。

具體預防措施：

1.蜜罐/蜜網(wǎng)：誘惑或誘捕問題。

2.警示：向用戶和入侵者宣傳基本安全方針策略。例如：所有在線活動都將接受審計。

3.反惡意軟件

4.白名單、黑名單：iPhone的IOS是白名單的極端體現(xiàn)。

5.防火墻。

6.沙箱

7.第三方安全服務(wù)

8.滲透測試：風險是可能會導致系統(tǒng)運行中斷；需要得到許可，必要時需要書面許可；采用技術(shù)，雇傭外部轉(zhuǎn)角愛；保護報告；道德黑客行動。三類：零知識團隊的黑盒測試、全知識團隊的白盒測試、部分知識團隊的灰盒測試。主要工具：Metasploit

日志記錄：

1.日志記錄技術(shù)：將有關(guān)事件的信息寫進日志文件或數(shù)據(jù)庫的過程。

2.日志類型：安全、系統(tǒng)、應用、防火墻、代理、變更。

3.保護日志類型：備份、認證、銷毀。

監(jiān)測：

1.審計蹤跡：將事件及有關(guān)信息保存，審計蹤跡是監(jiān)測安全控制的一種被動形式。

2.監(jiān)測和問責：威懾作用。

3.監(jiān)測和調(diào)查：重建已發(fā)生過的事件

4.監(jiān)測和問題識別。

監(jiān)測技術(shù)：日志；信息安全和時間管理（SIEM）；抽樣（根據(jù)統(tǒng)計原理）；剪切級（超過閾值的事件）；擊鍵監(jiān)測（鍵盤記錄器）；通信流分析。

出口監(jiān)測：數(shù)據(jù)丟失預防（DLP，網(wǎng)絡(luò)、端點）；隱寫術(shù)（用散列函數(shù)防護）；水印。

效果評價審計：

1.訪問審查審計：通過訪問確定權(quán)限。

2.用戶權(quán)限審計

3.特權(quán)群組審計：高權(quán)限管理員組，管理員的兩個賬戶（一個低權(quán)，用于日常；一個高權(quán)）

安全審計和審查：

1.補丁管理

2.漏洞管理

3.配置管理

4.變更管理

報告審計結(jié)果：

1.保護審計結(jié)果，分配分類標簽，有權(quán)限的人才能訪問。

2.分發(fā)審計報告，接受者需正式簽收。

3.使用外部審計人員。外部人員進入系統(tǒng)、推出系統(tǒng)。

參考文檔：

https://www.ibm.com/topics/incident-response