企業網絡安全事件識別與分類
網絡安全事件的處理對于企業安全防護問題來說是一個重要的內容,同時應對網絡安全事件的優劣也是衡量一個企業網絡安全水平的重要標準。那么在所謂應對之前,我們首先應當熟悉何謂網絡安全事件,以及他的分類方法。
1、網絡安全事件識別
在整個事件處理過程當中,這一步是非常重要的,你必需從眾多的信息中,識別哪些是真正的攻擊事件,哪些是正常的網絡訪問。
事件識別,不僅要依賴安全軟件及系統所產生的各種日志中的異常記錄項來做出判斷,而且也與事件識別者的技術水平及經驗有很大的關系。這是因為,不僅安全軟件有誤報和漏報的現象,而且,攻擊者往往會在成功入侵后,會用一切手段來修改這些日志,以掩蓋他的行蹤,讓你無法從日志中得到某些重要的信息。這時,一個有著豐富經驗的事件識別者,就可以通過對網絡及系統中某種現象的判斷,來決定是否已經受到了攻擊。
有了可靠的日志,再加上在受到了攻擊時會出現各種異常現象,我們就可以通過分析這些日志文件中的記錄項,以及對各種現象的判斷來確定是否受到了真正的攻擊。因此,如果日志中出現了下面列出項中的記錄,或網絡和主機系統出現了下面列出項中的現象,就一定表明你所監控的網絡或主機已經或正在面臨著某種類別的攻擊:
(1)、日志文件中記錄有異常的沒有登錄成功的審計事件;
(2)、日志文件中有成功登錄的不明賬號記錄;
(3)、日志文件中存在有異常的修改某些特殊文件的記錄;
(4)、日志文件中存在有某段時間來自網絡的不正常掃描記錄;
(5)、日志文件中存在有在某段時間啟動的不明服務進程的記錄;
(6)、日志文件中存在有特殊用戶權限被修改或添加了不明用戶賬號的記錄;
(7)、日志文件中存在有添加了某種不明文件的記錄;
(8)、日志文件中存在有不明軟件主動向外連接的記錄;
(9)、查看日志文件屬性時,時間戳不對,或者日志文件大小與你的記錄不相符;
(10)、查看日志文件內容時,發現日志文件中的某個時間段不存在或被修改;
(11)、發現系統反應速度變慢,或在某個時間段突然變慢,但已經排除了系統硬件性能影響的原因;
(12)、發現系統中安全軟件被停止,正常服務被停止;
(13)、發現網站網頁被篡改或被刪除替換;
(14)、發現系統變得不穩定,突然死機,系統資源占用過大,不斷重啟;
(15)、發現網絡流量突然增大,查看發現對外打開了不明端口;
(16)、發現網卡被設為混雜模式;
(17)、某些正常服務不能夠被訪問等等。
能夠用來做出判斷異常記錄和異常現象還有很多,筆者就不在這里全部列出了。這要求事件響應人員應當不斷學習,努力提高自身的技術水平,不斷增加識別異常現象的經驗,然后形成一種適合自己的判斷方法后,再加上日志分析工具以及安全監控軟件的幫助,就不難在這些日志記錄項和現象中找出真正的攻擊事件來。
到目前為止,通過分析各種日志文件來識別事件性質,依然是最主要的方法之一。你可以重新設置這些安全軟件的日志輸出格式,使它們容易被理解;你也可以重新詳細設置安全軟件的過濾規則,減少它們的誤報和漏報,增加可識別強度;你還可以使用一些專業的日志文件分析工具,例如OSSEC HIDS,來加快分析大體積日志文件的速度,提高識別率,同時也會減輕你的負擔。至于擔心日志會被攻擊者刪除或修改,你可以將所有的日志文件都保存到受防火墻保護的存儲系統之中,來減少這種風險。總之,為了能從日志文件中得到我們想要的信息,就應該想法使日志文件以我們需要的方式來工作。
所有這些,都得要求事件響應人員在平時經常檢查網絡及系統的運行情況,不斷分析日志文件中的記錄,查看各種網絡或系統異常現象,以便能及時真正的攻擊事件做出正確的判斷。另外,你應當在平時在對網絡系統中的某些對象進行操作時,應當詳細記錄下你所操作過的所有對象的內容及操作時間,以便在識別時有一個判斷的依據。在工作當中,經常用筆記錄下這些操作是一個事件響應人員應當養成的好習慣。
當發現了上述出現的異常記錄或異常現象,就說明攻擊事件已經發生了,因而就可以立即進入到下一個環節當中,即對出現的攻擊事件的嚴重程度進行分類。
2、網絡安全事件分類
當確認已經發現攻擊事件后,就應當立即對已經出現了的攻擊事件做出嚴重程度的判斷,以明確攻擊事件到達了什么地步,以便決定下一步采取什么樣的應對措施。例如,如果攻擊事件是涉及到服務器中的一些機密數據,這肯定是非常嚴重的攻擊事件,就應當立即斷開受到攻擊的服務器的網絡連接,并將其隔離,以防止事態進一步的惡化及影響網絡中其它重要主機。
對攻擊事件進行分類,一直以來,都是沒有一個統一的標準的,各安全廠商都有他自己的一套分類方法,因此,你也可以自行對攻擊事件的嚴重程度進行分類。一般來說,可以通過確認攻擊事件發展到了什么地步,以及造成了什么樣的后果來進行分類,這樣就可以將攻擊事件分為以下幾個類別:
(1)、試探性事件;
(2)、一般性事件;
(3)、控制系統事件;
(4)、拒絕服務事件;
(5)、得到機密數據事件。
對網絡中的主機進行試探性掃描,都可以認為是試探性質的事件,這些都是攻擊者為了確認網絡中是否有可以被攻擊的主機,而進行的最基本的工作。當攻擊者確認了要攻擊的目標后,他就會進一步地對攻擊目標進行更加詳細,更加有目的的掃描,這時,所使用的掃描方式就會更加先進和不可識別性,例如半連接式掃描及FIN方式掃描等,這種掃描完成后,就可以找到一些是否可以利用的漏洞信息,由于現在的一些整合性防火墻和IDS也能夠識別這些方式的掃描,因此,如果在日志文件中找到了與此相應的記錄,就表明攻擊已經發展到了一般性事件的地步了。當攻擊者得到可以利用的漏洞信息后,他就會利用各種手段對攻擊目標進行滲透,這時,如果你沒有及時發現,滲透的成功性是非常大的,網絡中已經存在有太多的這類滲透工具,使用這些工具進行滲透工作是輕而易舉的事,在滲透成功后,攻擊者就會想法提高自己在攻擊目標系統中的權限,并安裝后門,以便能隨心所欲地控制已經滲透了的目標,此時,就已經發展到了控制系統的地步。到這里,如果你還沒有發現攻擊行為,那么,你所保護的機密資料將有可能被攻擊者完全得到,事態的嚴重性就可想而知了。攻擊者在控制了攻擊目標后,有時也不一定能夠得到機密數據,由此而產生一些報復性行為,例如進行一些DOS或DDOS攻擊等,讓其他正常用戶也不能夠訪問,或者,攻擊者控制系統的目的,就是為了對其它系統進行DOS或DDOS攻擊。
此時的你,就應該從日志文件的記錄項中,迅速對攻擊事件發展到了哪種地步做出明確的判斷,并及時上報小組領導,以及通報給其他小組成員,以便整個小組中的所有成員能夠明確此次攻擊事件的嚴重程度,然后決定采取什么樣的應對方法來進行響應,以防止事態向更加嚴重的程度發展,或者盡量減小損失,及時修補漏洞,恢復網絡系統正常運行,并盡快收集好所有的證據,以此來找到攻擊者。
【編輯推薦】
