如何做好網絡攻擊事件證據收集
網絡攻擊事件證據是企業應對網絡安全事件時應該所注意的一項步驟,通過網絡攻擊事件證據不僅是為了找到攻擊者,而且企業數據一旦遭到泄露我們還應當通過法律武器將不法分子繩之以法。所以網絡攻擊事件證據就顯得尤為重要了。
攻擊事件證據收集
為了能為析攻擊產生的原因及攻擊所產生的破壞,也為了能找到攻擊者,并提供將他繩之以法的證據,就應該在恢復已被攻擊的系統正常之前,將這些能提供證據的數據全部收集起來,妥善保存。
至于如何收集,這要視你所要收集的證據的多少及大小,以及收集的速度要求來定。
如果只收集少量的數據,你可以通過簡單的復制方法將這些數據保存到另外一些安全的存儲媒介當中;如果要收集的數據數量多且體積大,而且要求在極少的時間來完成,你就可以通過一些專業的軟件來進行收集。
對于這些收集的數據保存到什么樣的存儲媒介之中,也得根據所要收集的數據要求來定的,還得看你現在所擁有的存儲媒介有哪些,一般保存到光盤或磁帶當中為好。
具體收集哪些數據,你可以將你認為能夠成為網絡攻擊事件證據的數據全部都收集起來,也可以只收集其中最重要的部分,下面是一些應該收集的數據列表:
(1)、操作系統事件日志;
(2)、操作系統審計日志;
(3)、網絡應用程序日志;
(4)、防火墻日志;
(5)、入侵檢測日志;
(6)、受損系統及軟件鏡像。
在進行這一步之前,如果你的首要任務是將網絡或系統恢復正常,為了防止在恢復系統備份時將這些證據文件丟失,或者你只是想為這些攻擊留個紀念,你應當先使用一些系統鏡像軟件將整個系統做一個鏡像保存后,再進行恢復工作。
收集的數據不僅是作為指證攻擊者的證據,而且,在事件響應完成后,還應將它們統計建檔,并上報給相關領導及其它合作機構,例如安全軟件提供商,合作伙伴,以及當地的法律機構,同時也可以作為事后分析學習之用。
因此,這個事件響應操作步驟也是必不可少的,收集到的網絡攻擊事件證據也應當保存完整。
【編輯推薦】
