要想在系统入侵后能够成功阻止攻击者进一步的入侵行为,以及能够尽快恢复系统到正常状态,这就要求我们在一开始就必需采取一些必要的措施来记录、发现和识别对系统的入侵行为。这些预先采取的必要措施,能够帮助我们及时发现对系统的入侵行为,找到攻击者的入侵途径,保留入侵证据,成功恢复系统,以及降低损失水平。
这些预先采取的必要措施也就是成功抢救被入侵系统的前提条件,它们包括完成一些有利于及时发现和记录系统入侵行为、加快系统恢复的安全设置,以及能及时确认系统入侵事件的真假,并对系统入侵事件的严重程度做出正确的判断。
前提一:完成有利于发现和记录系统入侵行为、加快系统恢复的安全设置
1、
开启操作系统自有的审核功能
对于Windows 系统,我们可以通过在“开始”—“运行”框中输入“gpedit.msc”命令来启动组策略编辑器。在组策略编辑器中打开“计算机配置”—“windows设置”—“安全设置”—“本地策略”—“审核策略”,然后开启审核成功的登录事件、审核成功的对象访问、审核成功的特殊使用,还可以开启审核成功的帐户登录事件和成功的帐户管理事件。开启这些系统审核功能后,通过按时查看这些审核功能产生的日志,可以了解系统中是否存在非授权的帐户登录事件,以及这些帐户对系统中哪些对象进行了什么样的操作等信息,也就可以了解系统是否已经被入侵或发生了入侵行为。
2、
在系统中安装防火墙
现在,一些主流的主机型防火墙能够防止大部分的网络攻击行为,同时会将攻击行为记录到相应的日志文件当中,并且,有些防火墙还会将每天的网络连接活动全部记录到相应的日志文件中。我们可以通过定期查看这些防火墙日志文件,来了解某个时期系统受到了什么样的网络攻击,以及查看某个时期的网络连接情况是否异常,来确定是否发生了系统入侵事件。
3、
在系统中安装入侵检测系统(IDS)
基于主机的入侵检测系统(IDS),例如SNORT,能够对进入本机的所有网络流量进行检测,然后与自身的攻击特征库进行对比,当检测到恶意的网络流量或攻击活动时,就会按设定的方式发出警报,并将这些内容记录到相应的日志文件当中。我们在通过IDS的警报发现系统入侵事件的同时,还应当分析此警报产生的日志文件内容来确定这个警报是否是真实的系统入侵事件,以及入侵事件的严重程度。以减少IDS误报带来的错误事件响应,以及正确了解系统入侵事件的严重程度,为后续的系统恢复工作确定正确的恢复方法,以便能及时快速地恢复系统。
而且,通过分析IDS的日志文件,可以找到攻击者的入侵攻击途径,以及攻击者进行的攻击行为,由此可以让我们了解系统被入侵的主要原因是什么,以便能在恢复系统后及时修补这些带来系统入侵行为的漏洞,防止这类入侵事件的发生。
4、
在系统中安装系统监控和网络监控软件
在系统中安装系统监控件,能够让我们实时了解到系统中正在运行的服务和进程的状况,以便能及时发现系统中的异常服务或系统进程,并确认是否是攻击者入侵系统后安装的后门程序。同样,在系统中安装网络监控软件,也就是用来了解与系统中实时的网络连接状况,以便能及时发现异常的网络连接和打开的端口。对于普通用户来说,使用360安全卫士“常用”页中的“系统全面诊断”可以了解到当前系统中运行的服务、进程和加载的模块,通过其“高级”页中的“网络连接状况”就可以监控当前的网络连接状态。
5、
将所有日志文件保存到其它存储设备上
现在,大多数的攻击者在入侵系统之后,在离开系统时都会使用软件或命令修改系统、防火墙和IDS等日志文件中的内容,有的甚至会将这些日志文件全部删除,以防止有户发现他们的行踪。因此,为了保证我们能从这些日志文件中得到可靠的信息,就必需将它们同步保存到有硬件防火墙保护的专门的存储设备中。同时,要设置这些备份的日志文件只能以只读的方式打开,并且不能被复制、修改和删除。
另外,如果日志文件体积比较大,可以在同步备份的同时进行压缩。同样,由于日志文件的内容太多,通过手工的查找的方式很难找到必要的信息,因此,我们可以通过一些自动化日志分析软件,按设定的时间定期对日志文件进行分析,以便能及时发现系统入侵事件。
6、
对系统和系统中的重要服务及数据进行备份
通常,中小企业由于成本控制的需要,不可能建立一套与现行系统相似的冗余系统,而系统和数据备份是恢复被入侵系统和数据到某个特定时期最佳、最快的方式,也是减少损失最好的方法。因此,我们必需对系统和系统中的重要数据建立相应的备份。
对于系统或系统中不经常改变状态或数据的内容,可以建立一个完全备份,对于每天都会更改的数据,在建立完全备份的同时,还应当进行每日的增量备份。如果完全备份的对象某个时候发现改变,例如安装了新软件,重新设置了系统安全选项,更新了系统或软件补丁包,就应当对这些内容重新做一次完全备份,新的完全备份应当与旧的完全备份分开存储。
至于备份存储的媒介,可以是同一网络中的处于防火墙保护下的网络存储设备,也可以将固定不变的完全备份刻录到光盘中和磁带中,将增量备份记录到磁带或其它质量可靠的移存储媒介中,还可以对最重要的数据进行异地备份,或将磁带和光盘保存到另一个地方,以防止自然灾害和人为的丢失和损坏备份。无论备份保存在什么媒介上,存放在什么位置,都应当按日期和内容进行编号分开存储,并且,还应当定期对备份进行检查,以确保在需要时保证这些备份是可用的。
但是,如果当我们发现系统被入侵时,系统已经被黑客控制了相当长的一段时间,那么,在这段时间内产生的系统或数据的全盘备份,就有可能包括了攻击者对系统和数据做的修改,也就不能再被信任。这样系统或数据就不可能恢复到最近的时期,势必就会带来相应的损失,这也就是为什么要及时发现系统被入侵的主要原因之一。
7、
准备一些必要的工具。
在对计算机进行系统入侵阻止和恢复的过程中,为了提高事件处理的速度和效率,还可能会使用到其它的第三方软件,例如文件完整性检测软件,弱点检测软件等等,我们应当根据自身的实际需求,来准备这些软件,并将它们保存到移动存储设备上妥善保管,以便在发现系统入侵事件后能够立即使用。
前提二:能及时识别系统入侵事件及其真假,以及能迅速判断入侵事件的严重程度
要想成功阻止系统入侵行为,有效恢复系统到正常运行状态,最大限度地减少入侵损失,有两个重要的因素非常关键:其一就是能及时识别系统发生了入侵事件,以及能正确分辨出入侵事件的真假,确定入侵事件发生的具体时间。其二就是能迅速判断系统入侵事件影响的范围,造成损失的严重程度,以及能对入侵事件按损失的严重程度进行分类。这两个关键因素是恢复被入侵系统过程当中最基础的前提条件,缺一不可!
假如我们没有按前提一所述的方式对系统入侵事件做好准备工作,而且也没有实时监控系统的运行和网络连接状态,那么,就不可能及时发现系统入侵事件。待等到发现系统不能运行,发现企业机密数据已经泄漏,或者突然收到来自某个地区的法律诉讼时,才意识到系统已经被入侵,那么,一切都晚矣!因此,在系统正常运行过程当中,我们必需不断对系统的运行状态进行实时的监控和分析:查看系统中当前运行的系统服务和进程是否正常;查看与系统建立的网络连接是否正常;对系统文件和数据进行完整性检测,前提是已经建立了文件的完整性档案;检查系统帐户状态及权限;检查系统资源利用状况,以及手工或日志实时监控软件的方式来实时分析系统、防火墙、IDS等安全软件的日志文件等方法,来确定系统目前的运行状况是否正常。所有的这些方法都是及时发现系统是否已经被入侵的的方法,我们应当按时对系统做这样的一次全面检查,甚至可以通过弱点检测软件对系统进行全面的弱点检测,以快速了解系统的安全状况。灵活地使用这些方法,能让我们及时发现系统已经被入侵。
当得到系统已经被入侵的信息后,首先要做的就是通过手工分析的方式来确定入侵事件的真实性。这是由于如果我们首先得到系统被入侵的警报是通过安装在系统上的防火墙或IDS/IPS来获取的,那么,由于这些软件本身存在对入侵事件有误报的可能,因此,如果在得到警报的同时,不去手工查证入侵事件的真伪,那么,如果对一次严重性入侵误报做出了严重性系统入侵恢复处理,那么,造成的损失将是我们自己引起,而不是真的由于入侵原因所引起。因此,为了减少由于误报而产生的不必要的系统入侵事件处理,就必需在发现系统被入侵的同时,确认其真实性。
同样,在确定系统确实被入侵了以后,就应当着手分析此次系统入侵事件发现的具体时间,确定受损的范围和严重程度。明确了系统被入侵的具体时间,才有可能知道攻击者是利用什么漏洞入侵系统的,才有可能知道应当检测系统哪些方面,才有可能知道应当将系统恢复到什么时候,才能确定什么时候的备份是有效的;只有确定了系统入侵受损的范围,才有可能知道系统中的哪些数据被损坏,需要恢复什么,才有可能知道应当立即隔离或备份什么数据,才有可能确定系统入侵事件的严重程度。也只有对系统入侵事件的严重程度进行了分类,才知道按什么方式向上级领导进行报告,才能让企业领导做出正确的处理决定。只有确定了系统入侵事件受损的范围和严重程度,我们在后面进行的系统入侵处理过程中,才知道用什么方式去应对此次入侵事件是最快速、最经济和最有效的。
通常,我们还应当按攻击者入侵系统的目的,对系统入侵事件按下列方式分成四个大的类别,这样,能让我们在后面的入侵事件处理过程当中,知道需要以恢复什么样的内容为主要目的。当然,企业在安全策略中已经规定了当发生此类事件时应当以什么为主要目的。但是,我们还是要在发现系统入侵事件后,对其入侵目的进行分类,以方便我们在后面的处理过程。通常,我们可以将入侵事件按入侵的目的分成下列四个方面:
1、
以控制系统为目的的入侵事件;
2、
以得到系统中机密数据为目的的入侵事件;
3、
以破坏系统中机密数据为目的的入侵事件;
4、
以破坏系统为目的的入侵事件;
不管怎么样,上面所述的这两个重要的前提条件,在系统入侵处理进行之前,都必需按要求实施。在本文后面具体的系统入侵恢复处理描述当中,都是在这两个方面已经确立了的基础上来进行的。我们不能等到系统入侵事件发生后,才想到应该怎么去做,这样,一切都已经晚了,而且,即使做得再好也不可能达到最好的恢复效果。
抢救被入侵系统——实施系统入侵恢复的组织措施
对于抢救被入侵的系统来说,组织措施的实施应当在技术措施之前进行,它是保证技术措施正确实施的必要基础。应当完成一些保证系统入侵事件处理有序进行,以及为事后分析保留内容的一些组织措施这些组织措施包括:
1、
建立事件响应计划
对于事件响应来说,事先建立一个相应的响应计划总是一个不错的决定,尤其是对于中小企业事件响应团队成员是由非专业IT人员组成,就更加应该事先制定一个恰当的事件响应计划,并让所有事件响应成员都完全熟悉所有的事件响应流程和处理方法。
由于现在大多数中小企业没有独立的IT部门,只留有个别系统或网络管理员,因此,在对系统进行入侵响应时,应当将计算机用户,系统管理员和企业领导结合起来,构成一个系统入侵事件响应团队。然后确定当发现系统入侵事件时,应当如何上报,以及确定企业中哪些系统需要什么样的要求,例如持续性,可停机的时间长度,以及以拯救什么为主要目的等,这些内容,决定系统入侵事件处理的具体步骤。一旦确定,如果没有什么大的变动,系统管理员或网络管理员就应当严格按照这些规定来完成系统入侵响应。
不管怎么说,在事先有了一些为应对这些突发事情而做足准备的,事后抢救时就能达到事倍速功半的效果。对于一些大型网络来说,就必需有一个事件响应计划来指导这些入侵事件发
生时的应对措施。而对于单台工作站或服务器来说,抢救被入侵了的系统,就可以依靠技术
员或管理员的经验和技术水平来应对。无论怎样,在事先为计算机可能会出现的突然事件做
一些必要的准备,从根本上说是保证系统被及时成功恢复的关键所在。
2、
建立事件响应团队
如果有条件,最好为此建立一个事件响应团队,并为此确定成员,指定他们应当承担的责任,如是没有专门的IT部门,可以由一些终端使用人员来兼任,然后由系统或网络管理员统一协调这些人员进行事件响应。为此,企业应当对这些人员进行相应的模拟事件响应培训,以确保当真正的入侵事件发生时,所有团队成员都能按自己的职责,按要求完成属于自己的任务。
3、
建立系统入侵事件处理流程和制度
同时,恢复入侵系统还有一个条件就是将平时对系统的所有操作都详细地记录下来,当检查系统有什么改变时,就可以知道哪些是自己做的,哪些是黑客做的。还有,系统中开了什么服务、端口,网络接口卡的配置情况,防火墙规则,IDS规则,系统用户及重要文件的权限属性,以及具体文件的安装时间,修改时间,文件大小,属主,权限,等信息都应当记录下来,养成这样的习惯将会让事后的检查和恢复工作带来意想不到的好效果。而且能大大提高检测的准确性,提高恢复的速度,这些都能给企业带来真正的效益。为了方便事件分析,在处理过程当中,还应当将所有的操作内容全部详细地记录下来,例如操作的对象,对象原来的值,现在的值,操作人和操作的时间等。
4、
组织实施和协调方式
还有,就是企业领导应当对系统的入侵事件有足够的认识,要对恢复工作做坚决的支持,对恢复中产生的问题要主动解决,并承担整个事件处理的主要指导。为系统的入侵恢复准备工具,安排人手,协调处理等。
组织措施的实施是贯穿整个系统入侵事件抢救的全过程,它为成功抢救被入侵的系统提供组织基础和方向性指导。协调整个处理小组成员完成此次事件入侵处理。
本文转自 雪源梅香 51CTO博客,原文链接:
http://blog.51cto.com/liuyuanljy/196905
,如需转载请自行联系原作者