我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全與應(yīng)急響應(yīng)

—發(fā)展與現(xiàn)狀/sundae_meng主題互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作現(xiàn)狀應(yīng)急組織、策略和方法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作展望結(jié)論/sundae_meng互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)/sundae_meng網(wǎng)絡(luò)安全漏洞大量存在數(shù)據(jù)來源CERT/CC網(wǎng)站/sundae_meng網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患Web服務(wù)器和服務(wù)工作站服務(wù)Windows遠(yuǎn)程訪問服務(wù)微軟SQL服務(wù)器Windows認(rèn)證Web瀏覽器

文件共享LSASExposures電子郵件客戶端即時信息Unix十大安全隱患BIND域名系統(tǒng)Web服務(wù)器認(rèn)證版本控制系統(tǒng)電子郵件傳輸服務(wù)簡單網(wǎng)絡(luò)管理協(xié)議開放安全連接通訊層企業(yè)服務(wù)NIS/NFS配置不當(dāng)數(shù)據(jù)庫內(nèi)核來源SANS研究報告/sundae_meng網(wǎng)絡(luò)安全漏洞發(fā)展趨勢利用漏洞發(fā)動攻擊的速度加快：Symantec統(tǒng)計，2004年上半年，漏洞公布到攻擊代碼出現(xiàn)時間：5.8天威脅程度不斷增加2004年1-6月，有攻擊代碼的漏洞中64%屬于高度危險，36%屬于中度危險漏洞利用分析人員興趣的變化Web應(yīng)用的漏洞越來越多Symantec統(tǒng)計，2004年上半年公布了479個與Web應(yīng)用有關(guān)的漏洞，占總數(shù)的39%/sundae_meng病毒、蠕蟲、木馬等在互聯(lián)網(wǎng)上大行其道事例1988年11月：Morris蠕蟲，互聯(lián)網(wǎng)主體癱瘓1989年10月：Wank蠕蟲2001年：紅色代碼、尼姆達(dá)蠕蟲事件2003年：SQLSLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：震蕩波蠕蟲事件相互結(jié)合，危害無窮“紅色代碼”將網(wǎng)絡(luò)蠕蟲、計算機病毒、木馬程序合為一體/sundae_mengCNCERT/CC通過抽樣監(jiān)測發(fā)現(xiàn)，僅2004年上半年，我國遭到Mydoom蠕蟲、利用RPC漏洞和LSASS漏洞的幾類主要蠕蟲攻擊的主機數(shù)目接近200萬臺/sundae_meng網(wǎng)絡(luò)安全造成損失越來越大網(wǎng)絡(luò)堵塞SQLSLAMMER：2003年1月25日發(fā)作,造成大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓，韓國網(wǎng)絡(luò)基本處于癱瘓狀態(tài),我國境內(nèi)感染主機22600余臺業(yè)務(wù)停頓2001年的紅色代碼蠕蟲就曾經(jīng)導(dǎo)致航空售票系統(tǒng)癱瘓，旅客滯留機場的事件類似事件還有網(wǎng)上招生停頓、網(wǎng)上交易中斷等，威脅生命？造成的財產(chǎn)損失難以估計，數(shù)字絕非聳人聽聞2001年，尼姆達(dá)蠕蟲造成的損失估計大大超過26億美元《今日美國》報道：黑客每年給全世界電腦網(wǎng)絡(luò)帶來的損失估計高達(dá)100多億美元切膚之痛？/sundae_meng攻擊手段越發(fā)“高超”漏洞發(fā)布到攻擊出現(xiàn)的時間越來越短Witty蠕蟲事件花樣翻新，防不勝防尼姆達(dá)蠕蟲：通過email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播變種速度令人驚嘆黑客：從單打獨斗到“精誠”合作Botnet攻擊程序日益自動化、并輟手可得/sundae_meng攻擊范圍和時間的變化全面框架

區(qū)域網(wǎng)絡(luò)

多個局域網(wǎng)

單個局域網(wǎng)

單個pc目標(biāo)和破壞的范圍1980s1990sTodayFuture第一代BootvirusesWeeks第二代MacrovirusesDenialofserviceDays第三代DistributeddenialofserviceBlendedthreatsMinutes下一代FlashthreatsMassiveworm-drivenDDoSDamagingpayloadwormsSeconds快速變化的威脅/sundae_meng/sundae_meng攻擊復(fù)雜度與攻擊者的技術(shù)水平高低19801985199019952000猜口令自我復(fù)制程序口令破解攻擊已知漏洞破壞審計后門程序干擾通信手動探測竊聽數(shù)據(jù)包欺騙圖形化界面自動掃描拒絕服務(wù)www攻擊工具攻擊者攻擊者的知識水平攻擊的復(fù)雜度隱秘且高級的掃描工具偷竊信息網(wǎng)管探測分布式攻擊工具新型的跨主機工具/sundae_meng2004年網(wǎng)絡(luò)安全熱點網(wǎng)站仿冒（Phishing）建立假網(wǎng)站通過垃圾郵件發(fā)送服務(wù)器大量發(fā)信引誘用戶訪問使用中獎、系統(tǒng)升級等手段誘使用戶輸入個人信息主要針對銀行和信用卡服務(wù)機構(gòu)/sundae_meng/sundae_meng2004年網(wǎng)絡(luò)安全熱點基于Botnet的網(wǎng)絡(luò)敲詐大量主機被安裝了BOT黑客可以通過IRC服務(wù)器實施控制隨時可能發(fā)動攻擊BOT可以進行升級，擴大攻擊能力/sundae_meng2004年網(wǎng)絡(luò)安全熱點手機和無線網(wǎng)絡(luò)（WLAN）的安全2004年，針對使用Symbian的蘭牙手機的病毒出現(xiàn)針對使用PocketPC的驗證性攻擊程序也被發(fā)現(xiàn)手機功能和操作系統(tǒng)通用性不斷增強，會有越來越多針對手機的攻擊WLAN安全性一直是其應(yīng)用的關(guān)鍵問題2004年出現(xiàn)了可利用來對IEEE1278.11b無線接入點進行拒絕服務(wù)攻擊的漏洞/sundae_meng我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作現(xiàn)狀/sundae_meng國家整體安全戰(zhàn)略需要國家信息化領(lǐng)導(dǎo)小組第三次會議上強調(diào)：“加強信息安全保障工作，重點在于堅持積極防御、綜合防范；全面提高信息安全防護能力；重點保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全；創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境；保障和促進信息化發(fā)展，保護公眾利益，維護國家安全；立足國情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點；發(fā)揮各界積極性，共同構(gòu)筑國家信息安全保障體系。”/sundae_meng國家整體安全戰(zhàn)略需要《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文）指出：“信息安全保障工作的要點在于，實行信息安全等級保護制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，重視信息安全應(yīng)急處理工作，推動信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標(biāo)準(zhǔn)”國家信息安全戰(zhàn)略的近期目標(biāo)：通過五年的努力，基本建成國家信息安全保障體系。/sundae_meng網(wǎng)絡(luò)安全應(yīng)急工作的基本目標(biāo)積極預(yù)防及時發(fā)現(xiàn)快速響應(yīng)確?；謴?fù)/sundae_meng網(wǎng)絡(luò)安全應(yīng)急工作的基本原則加強領(lǐng)導(dǎo)統(tǒng)一指揮分工負(fù)責(zé)積極預(yù)防常備不懈及時預(yù)警協(xié)作配合快速處理確保恢復(fù)

/sundae_meng互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案組織體系和職責(zé)明確責(zé)任、組織保障預(yù)警和預(yù)防機制事件分級、監(jiān)測、預(yù)警預(yù)防、平臺要求應(yīng)急響應(yīng)分級響應(yīng)、及時通報/上報信息、協(xié)調(diào)配合后期處置總結(jié)、獎懲評定及表彰應(yīng)急保障準(zhǔn)備預(yù)案、隊伍、培訓(xùn)、經(jīng)費、演練、聯(lián)絡(luò)機制、監(jiān)督檢查、技術(shù)儲備/sundae_meng互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案提出的要求舉例各經(jīng)營性互聯(lián)單位配合CNCERT/CC，每天12時以前采集其互聯(lián)網(wǎng)24小時內(nèi)的運行狀態(tài)數(shù)據(jù)發(fā)生二級/報警網(wǎng)絡(luò)安全事件，CNCERT/CC要在8小時內(nèi)提出建議方案；發(fā)生二級/報警網(wǎng)絡(luò)安全事件，12小時要上報事件動態(tài)……如何落實？/sundae_meng我國公共互聯(lián)網(wǎng)應(yīng)急體系從無到有從小到大從弱到強從點到面/sundae_meng正面經(jīng)驗：2003.SQLSlammer/口令蠕蟲組織：CNCERT/CC；CCERT；各運營商CERT；國際組織效率：兩小時判斷情況，半天控制局勢總結(jié)：應(yīng)急體系發(fā)揮了重要作用潛在的問題還有很多/sundae_mengCNCERT/CC簡介國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)協(xié)調(diào)處理中心2000年成立，2003年7月中編辦批準(zhǔn)現(xiàn)名英文“NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina”職責(zé)和定位“在信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室的直接領(lǐng)導(dǎo)下,負(fù)責(zé)協(xié)調(diào)我國各計算機網(wǎng)絡(luò)安全事件應(yīng)急小組(CERT)共同處理國家公共互聯(lián)網(wǎng)上的安全緊急事件，為國家公共互聯(lián)網(wǎng)、國家主要網(wǎng)絡(luò)信息應(yīng)用系統(tǒng)以及關(guān)鍵部門提供計算機網(wǎng)絡(luò)安全的監(jiān)測、預(yù)警、應(yīng)急、防范等安全服務(wù)和技術(shù)支持,及時收集、核實、匯總、發(fā)布有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息,組織國內(nèi)計算機網(wǎng)絡(luò)安全應(yīng)急組織進行國際合作和交流的組織。/sundae_meng目前具備的主要能力大規(guī)模異常事件的發(fā)現(xiàn)能力理論上確認(rèn)大規(guī)模網(wǎng)絡(luò)安全事件所需要時間不到原來的十分之一重大網(wǎng)絡(luò)安全事件的初步監(jiān)測分析能力包括感染范圍和速度、控制效果、對網(wǎng)絡(luò)的影響情況等攻擊事件的分布式自動驗證拓?fù)浒l(fā)現(xiàn)和定位分析分布式問題網(wǎng)站發(fā)現(xiàn)系統(tǒng)/sundae_meng2004年1-10月接到事件報告情況/sundae_meng與國際應(yīng)急組織密切合作GlobalProblem,GlobalSolution：跨國進行的計算機攻擊事件的處理推動了國際應(yīng)急組織的合作2002年8月，成為FIRST正式成員APCERT創(chuàng)始成員和指導(dǎo)委員會成員同韓國、日本、馬來西亞、巴西、澳大利亞多個國家CERT組織保持密切的合作開始與東盟、泛美、歐洲等地區(qū)CERT組織建立合作渠道/sundae_meng應(yīng)急組織、策略和方法一些建議/sundae_meng面臨的基本問題如何用合理的投入，使組織面臨的整體網(wǎng)絡(luò)安全風(fēng)險降低到可以接受的程度安全是相對的，不是絕對的不同層面：國家、企業(yè)、個人是否真正知道面臨哪些風(fēng)險？如何描述風(fēng)險？安全的水平不是用投入多少來衡量？……/sundae_meng如何保障整體的安全有明確整體的網(wǎng)絡(luò)安全策略適合組織需要的網(wǎng)絡(luò)安全應(yīng)急小組（至少應(yīng)該有POC）詳細(xì)的規(guī)章、流程、手冊，并真正得到貫徹建立監(jiān)測技術(shù)平臺與應(yīng)急工具庫開展應(yīng)急培訓(xùn)、演練網(wǎng)絡(luò)安全知識、信息、經(jīng)驗積累、共享與交換提高組織和個人網(wǎng)絡(luò)安全意識一切都要真正得到貫徹和執(zhí)行！/sundae_meng網(wǎng)絡(luò)安全應(yīng)急組織基礎(chǔ)計算機安全事件相應(yīng)小組CSIRT:ComputerSecurityIncidentResponseTeam負(fù)責(zé)在確定的組織范圍內(nèi)，執(zhí)行、協(xié)調(diào)、支持對計算機實踐做出響應(yīng)的小組CNCERT/CC、CCERT…/sundae_meng理解組織自身的需要為什么需要CSIRT?組織的現(xiàn)狀?部門之間如何聯(lián)系？負(fù)責(zé)人？需要說服那些關(guān)鍵人物?現(xiàn)有的基礎(chǔ)：內(nèi)部的和外部的?事件處理小組？安全流程?安全策略?法規(guī)?標(biāo)準(zhǔn)?帶來哪些好處，存在哪些障礙?CSIRT對整體整體目標(biāo)帶來哪些好處？商業(yè)優(yōu)勢、投資回報?/sundae_meng看看國外的情況全球應(yīng)急組織論壇亞太應(yīng)急組織歐洲安全事件交換計劃/sundae_meng/sundae_meng事件處理的一般階段第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待第二階段：確認(rèn)——對情況綜合判斷第三階段：封鎖——制止事態(tài)的擴大第四階段：根除——徹底的補救措施第五階段：恢復(fù)——備份，頂上去！第六階段：跟蹤——還會有第二次嗎/sundae_mengHandlingtheIncident恢復(fù)Recovery根除Eradication發(fā)現(xiàn)Identification預(yù)防Preparation控制Containment跟蹤FollowupAnalysisIncidentResponseLifeCycle/sundae_meng/sundae_meng第一階段——準(zhǔn)備預(yù)防為主幫助服務(wù)對象建立安全政策幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件掃描，風(fēng)險分析，打補丁如有條件且得到許可，建立監(jiān)控設(shè)施應(yīng)急聯(lián)絡(luò)機制/sundae_meng建立事件報告的機制和要求建立事件報告流程和規(guī)范IntranetPhoneEmailWho?What?When?Where?How?ReportingMechanisms/sundae_meng第二階段——確認(rèn)確定事件的責(zé)任人指定一個責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度預(yù)計采用什么樣的專用資源來修復(fù)？/sundae_meng第三階段——封鎖即時采取的行動防止進一步的損失，確定后果確定適當(dāng)?shù)姆怄i方法咨詢安全政策確定進一步操作的風(fēng)險損失最小化可列出若干選項，講明各自的風(fēng)險，由服務(wù)對象選擇/sundae_meng第四階段——根除長期的補救措施 確定原因，定義征兆 分析漏洞 加強防范 消除原因 修改安全政策/sundae_meng第五階段——恢復(fù)被攻擊的系統(tǒng)由備份來恢復(fù)作一個新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控/sundae_meng第六階段——跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對響應(yīng)效果給出評估/sundae_meng網(wǎng)絡(luò)安全應(yīng)急技術(shù)基礎(chǔ)入侵檢測系統(tǒng)調(diào)查分析系統(tǒng)事件描述與交換系統(tǒng)事件管理系統(tǒng)備份恢復(fù)系統(tǒng)應(yīng)急專用工具(掃描器、補丁管理…)網(wǎng)絡(luò)安全管理平臺(SOC)更多……/sundae_meng響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報和警告事件處理事件分析現(xiàn)場事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)測與安全審計評估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護安全工具的開發(fā)入侵檢測服務(wù)安全有關(guān)的信息的傳播風(fēng)險分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識教育/培訓(xùn)產(chǎn)品評估或認(rèn)證應(yīng)急是一種服務(wù)/sundae_meng應(yīng)急人員的基本素質(zhì)基本的專業(yè)知識，最好擁有專門的認(rèn)證超強的學(xué)習(xí)能力，跟上網(wǎng)絡(luò)安全事件發(fā)展良好的溝通交流能力豐富的事件處理、分析、調(diào)查經(jīng)驗撰寫規(guī)范的事件處理報告的能力/sundae_meng互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作展望/sundae_meng道高？魔高？攻擊者：發(fā)現(xiàn)漏洞編寫攻擊代碼(測試)執(zhí)行攻擊防御者：發(fā)現(xiàn)漏洞發(fā)布消息開發(fā)補丁程序發(fā)布補丁風(fēng)險檢查監(jiān)測攻擊分析惡意代碼控制傳播PropagationControl發(fā)布補丁和工具恢復(fù)被入侵系統(tǒng)升級/調(diào)整/評估/sundae_meng對手有多快？漏洞隨時被發(fā)現(xiàn)攻擊代碼出現(xiàn)加快:6天甚至更快零日攻擊開始出現(xiàn)10到30分鐘使整個互聯(lián)網(wǎng)癱瘓已經(jīng)成為可能Well,howfastcanwebe,then?/sundae_meng很長的路要走/sundae_meng典型漏洞引發(fā)的安全事件數(shù)量變化曲線Time事件數(shù)量發(fā)現(xiàn)漏洞公布漏洞公布補丁程序?qū)嵤┭a丁安裝CSIRT

廠商/協(xié)調(diào)機構(gòu)職責(zé)劃分CSIRT開始行動CSIRT開始行動CSIRT開始行動CSIRT開始行動CSIRT開始行動/sundae_meng應(yīng)對大規(guī)模的主動攻擊如何對付DDoS、BotNet等大范圍跨域的大規(guī)模網(wǎng)絡(luò)攻擊？快速控制、追查源頭、徹底清除、調(diào)查取證……被利用來進行犯罪活動，DDoS攻擊造成損失越來越大經(jīng)濟影響和社會影響如何真正解決這些問題？/sundae_meng實時跨網(wǎng)防御概念

Real-timeInter-networ