网络安全事件响应

第1章 事件响应简介 1
1.1 什么是事件响应 2
1.1.1 事件的定义 2
1.1.2 安全事件的种类 2
1.1.3 其他类型的事件 3
1.1.4 事件响应做些什么 5
1.1.5 事件响应和信息与计算机安全目标的关系 5
1.1.6 事件响应与计算机/信息安全生命周期 6
1.2 事件响应的基本原理 6
1.2.1 保护网络安全的困难 7
1.2.2 大量的安全漏洞 7
1.2.3 攻击系统和网络的程序的存在 8
1.2.4 实际的和潜在的财务损失 8
1.2.5 不利的媒体曝光的威胁 8
1.2.6 对效率的需求 8
1.2.7 当前入侵检测能力的局限性 9
1.2.8 法律方面的注意事项 9
1.3 事件响应概述 10
1.3.1 基本的考虑 10
1.3.2 计划和组织 11
1.4 小结 13
第2章 风险分析 14
2.1 关于风险分析 14
2.2 与安全相关的风险类型 15
2.3 安全事件的数据获取 25
2.3.1 在本机构内部发生的事件的相关数据 25
2.3.2 其他机构收集到的事故数据 25
2.3.3 脆弱性分析 26
2.4
紧急响应中风险分析的重要性 26
2.5 小结 27
第3章 事件响应方法学 29
3.1 使用事件响应方法学的原理 29
3.1.1 结构和组织 29
3.1.2 效率 29
3.1.3 促进事件响应的处理过程 29
3.1.4 意外的收益：处理意外 30
3.1.5 法律考虑 30
3.2 事件响应的6阶段方法学 30
3.2.1 准备 31
3.2.2 检测 33
3.2.3 抑制 40
3.2.4 根除 41
3.2.5 恢复 45
3.2.6 跟踪 45
3.3 建议 46
3.4 小结 47
第4章 事件响应组的组建和管理 48
4.1 什么是事件响应组 48
4.2 为什么要组建事件响应组 49
4.2.1 协调能力 49
4.2.2 专业知识 49
4.2.3 效率 49
4.2.4 先期主动防御的能力 49
4.2.5 满足机构或社团需要的能力 50
4.2.6 联络功能 50
4.2.7 处理制度障碍方面的能力 50
4.3 组建响应组的问题 50
4.3.1 政策 50
4.3.2 响应组是必需的吗 51
4.3.3 功能需求和角色是什么 52
4.3.4 客户群是谁 53
4.3.5 保持与客户的联系 54
4.3.6 建立应急的通信（Developing Out－of－Band Communications） 58
4.3.7 人员问题 58
4.3.8 建立操作流程 60
4.4 关于事件响应工作的管理 61
4.4.1 管理风格 61
4.4.2 与他人合作 62
4.4.3 成功的评估标准 62
4.4.4 维护响应组的技能 63
4.4.5 准备报告和给管理层的汇报 63
4.4.6 事件响应组的发展生命周期 64
4.4.7 模型的价值 65
4.5 小结 65
第5章 事件响应的组织 66
5.1 有效的团队确保可用性 66
5.2 训练团队 67
5.3 测试团队 68
5.4 成功的障碍 70
5.4.1 预算 70
5.4.2 管理的抵制 70
5.4.3 组织的抵制 71
5.4.4 政策 71
5.4.5 用户常识 72
5.5 外部协作 72
5.5.1 执法机构 72
5.5.2 媒体 73
5.5.3 其他事件响应组 73
5.6 管理安全事件 74
5.6.1 持久响应问题 75
5.6.2 分配安全事件的职责 75
5.6.3 流程图 76
5.6.4 优先权 77
5.7 小结 78
第6章 网络攻击的追踪 79
6.1 什么是追踪网络攻击 79
6.2 不同环境下的攻击追踪 80
6.2.1 攻击追踪和入侵追踪 80
6.2.2 和PDCERF方法学的关系 80
6.2.3 代价与收获 81
6.2.4 追踪攻击的动力 81
6.3 追踪方法 82
6.3.1 搜索引擎 82
6.3.2 netstat命令 83
6.3.3 日志数据 83
6.3.4 入侵检测系统的警报和数据 86
6.3.5 原始的包数据 86
6.4 下一步 88
6.4.1 发个电子邮件到abuse@ 88
6.4.2 找到可疑的源地址 89
6.5 构建“攻击路径” 91
6.5.1 什么是攻击路径 91
6.5.2 构建攻击路径 91
6.5.3 查明源 91
6.5.4 其他的线索 92
6.6 最后的忠告 92
6.7 小结 93
第7章 法律问题 94
7.1 美国有关计算机犯罪的法律 95
7.1.1 计算机欺诈和滥用法 95
7.1.2 最新立法 96
7.2 国际立法 97
7.2.1 COE条约 97
7.2.2 欧盟隐私权保护法案 99
7.3 搜查、没收和监控 100
7.4 制定管理政策 101
7.4.1 用户准则(AUP) 101
7.4.2 电子邮件的使用 102
7.4.3 加密 102
7.4.4 搜查与监控 103
7.4.5 未经授权的行为 103
7.4.6 登录警示 103
7.5 责任 104
7.6 起诉还是不起诉 105
7.7 小结 106
第8章 取证（I） 107
8.1 指导性的原则 109
8.1.1 道德 109
8.1.2 执行检查 109
8.2 取证硬件 110
8.3 取证软件 111
8.3.1 进行拷贝的工具 112
8.3.2 搜索工具 112
8.3.3 完整系列软件 113
8.4 获取证据 113
8.5 对证据的检查 115
8.5.1 做好搜查计划 115
8.5.2 文件恢复 116
8.5.3 操作系统文件 116
8.6 小结 116
第9章 取证（II） 118
9.1 秘密搜查 118
9.2 高级搜查 119
9.2.1 硬件问题 119
9.2.2 笔记本电脑 120
9.2.3 老型号系统 121
9.2.4 个人数字助理 121
9.3 加密 122
9.4 家用系统 123
9.5 UNIX系统和服务器取证 124
9.5.1 与众不同的UNIX 124
9.5.2 映像UNIX工作站 124
9.5.3 UNIX分析 125
9.5.4 服务器和服务器farm 127
9.6 小结 128
第10章 内部攻击的处理 129
10.1 内部攻击者的类型 129
10.2 攻击类型 131
10.3 对内部攻击的预防 133
10.4 检测内部攻击 134
10.5 内部攻击的响应 135
10.6 特殊考虑 137
10.7 特殊情况 137
10.8 法律问题 138
10.9 小结 140
第11章 事件响应中人性的因素 141
11.1 社会科学与事件响应的结合 141
11.2 第一节：计算机犯罪特征描述 143
11.2.1 什么是计算机犯罪特征描述(CCP) 143
11.2.2 为什么CCP会成为事件响应中的一部分 144
11.2.3 什么时候使用CCP 144
11.2.4 CCP的方法论 147
11.3 第二节：内部攻击 157
11.3.1 为什么内部人员要发起攻击 160
11.3.2 可行的解决方案 161
11.3.3 调查内部人员 162
11.4 第三节：事件的受害者 163
11.5 第四节：事件响应中人性的因素 166
11.6 小结 167
第12章 陷阱及伪装手段 168
12.1 关于陷阱和伪装手段 168
12.1.1 “蜜罐”(Honeypots) 168
12.1.2 自动提示信息 169
12.1.3 圈套命令 170
12.1.4 虚拟环境 170
12.2 陷阱与伪装手段的利与弊 172
12.2.1 优点 172
12.2.2 缺陷 173
12.3 焦点：“蜜罐” 174
12.3.1 伪装服务器和伪装主机 174
12.3.2 初始考虑因素 175
12.3.3 部署上应考虑的问题 176
12.3.4 案例学习：欺骗工具包(DTK) 181
12.3.5 蜜罐的未来 182
12.4 事件响应中陷阱和欺骗手段的整合 183
12.4.1 检测 183
12.4.2 准备 183
12.4.3 抑制 183
12.4.4 跟踪 184
12.5 小结 184
第13章 事件响应的未来发展方向 186
13.1 技术进展 186
13.1.1 入侵监测 186
13.1.2 自动响应 188
13.1.3 实验中的追踪方法 188
13.1.4 取证工具 189
13.1.5 加密 189
13.2 社会进展 190
13.2.1 法律条文 190
13.2.2 协同响应 190
13.2.3 教育 191
13.3 职业发展 191
13.4 事件的种类 195
13.4.1 病毒和蠕虫 195
13.4.2 内部攻击 196
13.4.3 外部攻击 196
13.5 小结 198
附录A RFC-2196 200
站点安全手册 200
A.1 简介 200
A.1.1 这项工作的目的 201
A.1.2 读者 201
A.1.3 定义 201
A.1.4 相关工作 201
A.1.5 基本方法 202
A.1.6 风险评估 202
A.2 安全政策 203
A.2.1 安全政策是什么，我们为什么需要它 203
A.2.2 怎样产生一个好的安全政策 205
A.2.3 保持政策的灵活性 206
A.3 体系结构 206
A.3.1 目标 206
A.3.2 网络和服务的配置 208
A.3.3 防火墙 211
A.4 安全服务和程序 213
A.4.1 认证 214
A.4.2 保密性 216
A.4.3 完整性 216
A.4.4 授权 216
A.4.5 访问 217
A.4.6 审核 219
A.4.7 安全备份 221
A.5 安全事件处理 221
A.5.1 事件处理的准备和计划 223
A.5.2 通知和联系人 224
A.5.3 识别一个事件 228
A.5.4 事件处理 230
A.5.5 事故的后果 233
A.5.6 责任 233
A.6 正在进行的活动 234
A.7 工具和存放地点 235
A.8 邮件列表和其他资源 235
A.9 参考资料 237
附录B 事件响应与报告项目检查表 246