SIEM QRadar

  • 防止伺服器變殭屍電腦有新招 趨勢用HoneyPot陷阱誘捕Bot病毒

    趨勢科技提出一套新的事前偵測Bot病毒的方法,採用過去防止駭客入侵的蜜罐(HoneyPot)機制,在受保護的伺服器主機旁設下誘捕陷阱來找出Bot病毒入侵的威脅

    iThome 文/余至浩 | 2014-09-09發表

    HoneyPot

    此Bot網路主機感染分布圖,是由趨勢科技網路威脅防禦技術部技術經理高迦南,利用HoneyPot反掃描偵測裝置,記錄於2009至2010年之間偵測到疑似Bot掃描行為,進而完成的Bot主機感染地圖。

    圖片來源: 高迦南

     

    今年6月香港公投網站曾遭到多起大規模DDOS攻擊,高達每秒300Gb的攻擊流量,發現不少是來自臺灣受操控的殭屍電腦,反應出目前臺灣仍潛藏大量的殭屍 病毒尚未發現。不過近日,趨勢科技則是提出一套新的事前偵測方法,採用過去防止駭客入侵的蜜罐(HoneyPot)機制,在受保護的伺服器主機旁設下誘捕 陷阱來找出Bot病毒入侵的威脅。

    殭屍網路(Botnet)一直是許多網路駭客進行網路攻擊的常用手法,經由在受害電腦內植入可遠端操控電腦的惡意程式,進而操控這些殭屍電腦進行各種違法行為,而且不只是個人電腦受駭,許多企業電腦也都可能遭到入侵成為殭屍軍團的一份子。

    然而,一般針對Botnet的入侵偵測,大多為一種事後偵測,像是以IDS或IPS入侵偵測系統來說,必須先取得遭Bot惡意程式入侵的攻擊樣本,才能找出內網(LAN)尚未遭惡意程式入侵的受害電腦,但其實這時候入侵行為早已發生。

    因此,趨勢科技網路威脅防禦技術部技術經理高迦南,近日則是提出一個可作為事前偵測Bot病毒入侵的新方法。他說,一般Bot殭屍病毒或惡意程式入侵前,會先對固定幾個埠(Port)掃描是否存在可入侵的弱點,因此若能先一步在Bot進行通訊埠掃描(Port Scan)時,就採取反掃描偵測,就能在入侵前找到可能是殭屍網路的威脅。

    透過QRADAR QFlow Collector 收集內部網路是否有Bot在進行大量的埠掃描(Port Scan),並與防火牆和系統日誌進行關聯

     

    以反掃描偵測工具,對Bot設下陷阱誘捕

    為了能成功找到可能是Bot的威脅,高迦南也採用過去用來防止駭客入侵的蜜罐(HoneyPot)機制,作為事前偵測的工具。HoneyPot是一 個誘捕系統,主要是用來設下陷阱誘使壞人或惡意程式展露其行為或意圖,因此,它可以將自己偽裝成是一臺伺服器,也能當成是一個虛擬機器或是Web客戶端。

    高迦南採取作法是,在需要被保護的電腦或伺服器主機旁架設一臺具誘捕功能的蜜罐設備(HoneyPot),然後將其IP設在受保護對象附近,啟動後完全不開啟任何服務或只提供少量服務,就如同影武者一般,將身形完全隱身起來,讓外界無法察覺它的存在。

    而當這臺誘捕設備啟動後收到來自網路不明主機的通訊埠掃描時,就代表對方很有可能是一臺掃瞄器,正在做入侵前的掃描行為,尋找是否有可入侵的弱點。

    高迦南表示,此種事前偵測方式,好處是,即使駭客自行調低每秒發送掃描封包的次數,該設備也能偵測得到,而且不論從外網(WAN)或內網(LAN)的掃描都可偵測而沒有誤判問題。

    甚至他也表示,此種偵測方式也能適用於自帶設備(BYOD)和IoT物聯網裝置的入侵偵測威脅。

    除此之外,這個 Bot入侵預警機制也能與SDN交換器結合使用。透過SDN交換器本身所具備的即時、動態與軟體可控特性,當HoneyPot偵測有Bot正對其它電腦進 行掃描時,即會通知SDN交換器的控制器,迅速將受感染的Bot疆屍電腦隔離起來,讓感染範圍能控制在最低。而經過高迦南測試後,也可得到98.5%的阻 擋率。

    5年掃到18萬個IP入侵,共記錄120萬筆log資料

    高迦南事後也分析了2009年至2014年7月間,由HoneyPot反掃描偵測裝置記錄下的入侵威脅,總共偵測近18萬個IP位址,共記錄120萬筆的log資料。

    而從這些資料也發現,有三分之一的TCP通訊埠和近1500個UDP通訊埠都曾遭到入侵掃描。當中被掃描次數最多TCP通訊埠,前三名分別是 1433 埠( MS SQL Server )、445埠 ( SMB ),以及9415埠(PPLive開放代理)。而在UDP通訊埠方面,被掃描次數最多前三名則分別是29285埠、22722 埠及137 埠。高迦南也提醒,如果有使用PPLive網路電視的用戶,要小心恐遭利用成為疆屍電腦入侵的對象。

    甚至,高迦南也表示,這種事前偵測方式,未來也可運用在0day(零時差攻擊)漏洞的預警機制,在廠商尚未公布弱點前,就能拿來事先判斷是否有出現類似的入侵威脅發生。

  • 大數據分析 — 資訊安全下一站

    2015-04-10 轉載


      2012年3月,Gartner在一份報告中明確指出——資訊安全正在成為一個大數據分析問題。


       誠然,安全威脅千變萬化,特別是近年來APT攻擊等新型安全威脅的出現,讓企業、非盈利組織乃至政府機構等攻擊目標防不勝防。攻擊方總是想盡辦法突破原 有的攻擊思路,創新攻擊技術和手段,從而達到攻陷對手的目的。而防守方面對變化莫測、創新不斷的攻擊,很難找到統一的、行之有效的方案,來主動應對威脅。 更多的時候,他們只能頭痛醫頭腳痛醫腳,被動挨打。


      真的沒有這樣的方案嗎?


      答案並非如此。

      曙光已至


      正如Gartner指出的那樣,大數據分析或許就是這樣一個方案。大數據分析的巨大價值,不僅可以用於為消費者畫像,幫助企業進行精准行銷。它同樣可以用於為攻擊者畫像,從而主動預測、識別、防範攻擊,搶先進行處置。


      與沙箱等被動的防護方式不同,如果通過大數據分析真的能把隱匿在資料海洋中的攻擊者或者潛在攻擊者“揪”出來,那麼攻擊方在暗處,防守方在明處,攻擊方主動,防守方被動,攻擊方出招,防守方只能接招的不利局面將被徹底扭轉。

      面對一絲曙色,我們有理由相信,大數據分析不僅為資訊安全防護提供一個新的思路,它還有可能改變整個資訊安全產業。
      葉蓬認為,大數據分析技術能夠給網路與資訊安全帶來全新的技術提升,突破傳統技術的瓶頸,可以更好地解決已有的安全問題,也可以幫助我們應對新的安全問題。

       簡言之,安全資料的大數據化、傳統安全分析面臨的諸多挑戰,以及正在興起的智慧安全和情境感知理念都將大數據分析視作關鍵的解決方案。於是,業界出現了 將大數據分析技術應用于資訊安全的技術——大數據安全分析(Big Data Security Analytics,簡稱BDSA),也有人稱做針對安全的大數據分析(Big Data Analytics for Security)。

      借助大數據安全分析技術,人們能夠更好地解決海量安全要素資訊的採集、存儲的問題,借助基於大數據分析技術的機器學習和資料挖據演算法,能夠更加智慧地洞悉資訊與網路安全的態勢,更加主動、彈性地應對新型複雜的威脅和未知多變的風險。

       攻擊者的攻擊行為隱藏在海量的安全事件中,通過包捕獲,也能拿到海量的包含攻擊流量的資料。所有這些海量資料彙聚起來就是安全大數據。通過對這些安全大 資料進行即時分析和歷史分析,建立行為輪廓,並進行行為建模和資料採擷,就能幫助安全分析師識別出攻擊者及其攻擊行為和過程,並提取攻擊特徵,回饋給安全防禦設施進行阻斷。

      “其實,這類分析方法很早就提出來了,只是受限於當時的技術實現手段,難以落地。大數據技術的成熟,以及大數據生態系統的日益壯大,使得這些分析方法有了落地的可性能。”葉蓬告訴記者。

     

      防禦思想變革


      毫無疑問,資訊安全始終是一場攻與防的博弈,此消彼長。當攻擊方不斷創新和突破的時候,那防守方呢?
       “現在業界討論更多的不是有沒有遭到攻擊,而是何時會遭受攻擊,甚至是當我們已經遭受攻擊時,如何迅速、準確地找到網路中已經存在的攻擊!”葉蓬認為, 面對越來越高級和新型的安全威脅,當前整個網路安全防禦體系已經失效,因而安全防禦的思想方法論也需要進行重大的變革。

      “當然,這並不是說傳統的防禦思想一無是處,而是需要進行反思和提升。”葉蓬告訴記者,當前的資訊安全發展趨勢正在從面向合規的安全向面向對抗的安全轉變;從消極被動防禦到積極主動防禦,甚至是攻防兼備、積極對抗的轉變。

       一種防禦思想是縱深防禦。儘管這個防禦思想經常被提及,但是當下要更加深化對“縱深”的理解。“這種縱深不能僅僅是防範某類些攻擊路徑上的縱深,還需要 考慮防範攻擊的時間縱深、管理縱深、物理縱深。總之,我們要從更高的維度來進行縱深防禦,因為我們的對手也正在研究如何從更高的維度來發起攻擊。”葉蓬 說。

      隨著網路安全日漸上升到國家層面,以及網路戰風險的加大,很多軍事理論也被引入了網路安全領域,譬如更加重視情報,尤其是威脅情報 在網路威脅檢測中的作用。情報的獲得與分享將大大提升對高級威脅防禦的有效性。而情報的分析與分享需要大數據平臺來做支撐。又譬如,軍事領域的偽裝、誘餌 技術也應用于網路安全,安全防禦體系中正在加入偽裝的核心資料庫和伺服器,對設備、主機、系統和應用的特徵指紋進行偽裝,以及部署蜜網等。

       “100%的守住網路安全是絕不可能的。因此,我們不能被動地防守,我們需要更快更好地識別潛在的威脅和敵人。從國家網路空間安全的角度來看,就是要具 備先發制人的能力,以及網路空間威懾的能力。從一般企業和組織的角度來看就是要具備主動防禦能力,包括提前獲悉網路中的暴露面,獲悉網路威脅情報。”葉蓬 表示。

      還有一種防禦思維是積極防禦、積極對抗。這種思想的終極目標是不求阻止任何攻擊,而是盡可能地延緩攻擊,拖延攻擊者的時間,以便為找到對策爭取時間。網路攻防很多時候就是一場奪取時間的戰鬥,誰得到的時間越多,誰就越有可能掌握對抗的主動權,而掌握主動就意味著更有可能獲取對抗的勝利。

       葉蓬告訴記者,諸如美國國防部提出了移動目標防禦(Moving Target Defense,簡稱MTD)的理論,並投入大量資金進行研究和產業化。移動目標防禦的核心就是不斷變換己方關鍵目標的工作姿態,從而使得對方疲于破解, 消耗對方的時間,為己方贏得防禦時間,提升系統的可生存性。

      “這種積極防禦就像踢足球一樣。過去,我們的防守也有陣型,但是更像是站樁 式防守,對方一變陣,就完全無法應對。我們過去部署的大量安全設備和系統基本上都是站樁式的,缺乏協作與變換,相互協作和補防能力都沒有。積極防禦就是要 求防守隊員都跑動起來,相互之間更好地協同,對於網路安全防護設備而言就是要相互協同聯動起來。再厲害一點,連球門(關鍵保護物件)的位置也要能夠變化, 譬如隱匿IP,動態化IP等。”葉蓬說。

      “除了場上的隊員要積極起來,場下的教練和分析師智囊團也要積極起來,要根據場上的形勢變化做 出合理的戰術佈置和調整。對於網路安全防禦,就是要有一個決策分析與研判的機制,要有一個安全分析的大腦。這個大腦能夠能夠基於歷史資料採擷分析,找到合 適的設備,將其部署到合適的位置,讓各種安全設備和機制發揮最大的作用;同時,能夠即時分析對抗過程中產生的資訊,做出合理的防守變化。”葉蓬的比喻非常形象。

      顯然,這個安全分析的大腦就是大數據安全分析平臺。

      大數據安全分析平臺


       “在一個較為完備的基於大數據安全分析的解決方案中,通常會有一個大數據安全分析平臺作為整個方案的核心部件,承載大數據分析的核心功能,將分散的安全 要素資訊進行集中、存儲、分析、視覺化,對分析的結果進行分發,對分析的任務進行調度,將各個分散的安全分析技術整合到一起,實現各種技術間的互動。”葉蓬表示,通常意義上的SIEM(安全資訊與事件分析系統)、安全運營中心(SOC、安管平臺)、DLP(資料防洩露系統)、4A系統(認證、帳號、授權、 審計)等都在這個大數據安全分析平臺之下。

     

      葉蓬介紹,大數據安全分析平臺架構分為採集層、大數據層、分析層、管控層和呈現層,分別完成海量異構資料測採集、預處理、存儲、分析和展示,採用多種分析方法,包括關聯分析、機器學習、運維分析、統計分析、 OLAP分析、資料採擷和惡意程式碼分析等多種分析手段對資料進行綜合關聯,完成資料分析和挖掘的功能,並整合了業界領先的智慧威脅情報管理功能,結合內外部威脅情報,可以為安全分析人員和管理人員提供快捷高效的決策支援。

          IBM QRADAR SIEM 結合外部威脅情報 (IBM X-Force Exchange 與 VirusTotal),讓資安人員判斷更明確與精準


      重塑資訊安全產業


       “做大數據分析,資料品質非常關鍵,如果提供分析的資料本身就有問題或者錯誤,那麼分析結果必然有問題。尤其是大數據安全分析中,資料的真實性和原始性更加重要。具體來說,如果我們僅針對海量日誌進行分析,可能由於攻擊者將關鍵日誌抹除,或者故意摻入假日志,反而會讓基於日誌的大數據安全分析誤導我們。 這時,我們很強調對原始網路流量的分析,將這些流量轉換為流(中繼資料),然後進行大數據分析,配合日誌分析,效果更佳。”葉蓬說。

     

          IBM QRADAR SIEM 結合 QFlow Collector 收集第七層 (Layer 7)網路幫包內容,減少事件誤判


      當然,整體上而言,和大數據分析在其他行業的應用一樣,大數據安全分析還處於早期,尚未成熟,但前景樂觀。葉蓬認為,一方面,大數據分析自身的生態還未真正 建立,大數據技術本身還在迅速演化;另一方面,基於大數據的安全分析演算法還不夠豐富,安全分析演算法的設計人員和資料分析師匱乏,大部分分析結果還需要富有經驗的安全分析師才能解讀,分析結果還做不到一目了然。因此,目前大數據安全分析主要用於針對APT等新型威脅的檢測分析,因為這類需求本身很複雜,值得做這個投入。葉蓬強調,使用者在建設大數據安全系統之前,一定要確認清晰的目標,要有對發展現狀和自身能力的正確認知,切不可盲從。


      大數據時代的到來,使得安全資料的地位和價值得到了空前的提升,資料成為了網路安全的關鍵資源。葉蓬指出,大數據安全分析本質上還是一種知識的運用和提取。在大數據時代,安全對抗往往體現為資料和知識的對抗。


      葉蓬也強調,大數據安全分析不是一個產品分類,而是一種技術,一種安全分析理念和方法。大數據安全分析技術正在重塑整個資訊安全產業,體現在安全防護架構、安全分析體系和業務模式等諸多方面,各種安全產品也正在被大數據安全分析技術重塑。

  • 從零售業與核電廠遭駭實例,透視APT攻擊

    iThome 文/黃彥棻 | 2015-04-16發表

    趨勢科技全球核心事業部資深協理張裕敏以美國Target零售業以及南韓核電廠資料外洩事件為例,剖析常見APT攻擊的6大步驟。

    雖然APT攻擊是目前政府和許多大型企業最在意的資安威脅,目前最主要的APT威脅仍以網路犯罪類型為主,針對國家型的APT攻擊仍占少數,受駭者大多仍是企業。趨勢科技全球核心事業部資深協理張裕敏以美國Target零售業以及南韓核電廠資料外洩事件為例,來剖析常見APT攻擊的6大步驟。他建議,掌握攻擊步驟,企業更能提高事先預防的效果。

    常見APT攻擊的6步驟

    張裕敏表示,APT攻擊最常見的攻擊方式就是社交工程和電子郵件,許多人的資料都可以在網路上找到,有心的犯罪者很容易利用電子郵件甚至是電話鎖定特定目標,來進行社交工程攻擊。舉例而言,目前發現的案例中,除了利用電子郵件的主旨誘使與主旨相關的當事人點擊並閱讀電子郵件外,「以電話為主的社交工程成功率,更是百分之百。」他說,因此,常見APT攻擊的第一步就是:先蒐集足夠的資料,第二步才是發動攻擊。

    再者,除了社交工程電子郵件或網頁的資料蒐集外,取得企業組織內部資訊的方式不見得要透過網路。常見的手法還包括,廣布惡意程式,利用散布免費的USB隨身碟植入惡意程式,或者是利用已經有藍光光碟的韌體,可以被植入惡意程式等。

    發動APT攻擊時,不會全部都是自動化攻擊,張裕敏表示,這過程中一定需要人為介入,所以駭客一定會設計第三步「打造控制及命令伺服器」,以便直接掌握入侵組織的攻擊狀況。

    駭客攻擊手法的第四步驟則是盡可能地暗中蒐集資料,甚至在APT攻擊程式進入內網後,會模擬高階使用者的行為,來提高怪異蒐集資料行為的合理性,讓攻擊行動更不容易被察覺。因為目前所有APT攻擊最主要的目的是偷資料,所以第五步驟則是等候時機傳資料。當駭客已經取得所需要的資料時,不會馬上打包資料、更不會馬上外傳資料,會伺機而動,等到最合適的時機點。張裕敏以美國第二大零售業者Target外洩的資料為例,前後超過700GB,如果一口氣把資料外傳很容易被發現,而且,打包的資料如何儲存不會塞爆硬碟而被發現也是駭客會避免的問題。最後一步則是,當資料打包並外傳後,駭客必須隱匿蹤跡,就會暗中少量多次地慢慢刪除相關資料才,避免被企業IT人員發現異常。

    了解APT常見攻擊步驟後,張裕敏認為,企業想要有效防禦APT,首先,要將駭客阻擋在組織外面,最好的方式是,盡可能地減少駭客能在外部取得的資料。再者,APT不是只有單純的人為,也有自動化的手法,因此在規畫防禦策略時,最好要做到電腦和人聯手的區域聯防,效果才會更顯著。第三,若是軍事等級的單位,一定要搭配實體隔離才行。

     

    IBM QRadar SIEM 協助企業主動偵測外部攻擊

     

     

    美國Target零售業資料外洩事件大剖析

    張裕敏表示,如美國Target和南韓核電廠都是駭客從外面切入攻擊的案例,從這樣的攻擊案例中,也可以學習到正確的預防之道。

    在2013年12月發生美國Target個資外洩事件,最後總計外洩1.1億筆個資,外洩包括姓名、地址、電話、電子郵件以及信用卡卡號資料,因為信用卡資料外洩導致盜刷事件,更引發140多起訴訟案件。

    分析Target入侵手法,張裕敏表示,駭客往往會利用Google以及各種的媒體報導,找到鎖定單位的內部系統、網路架構圖,甚至連POS如何部署,有多少臺POS機、系統版本等資訊都一清二楚。

    不過,駭客原先曾多次利用社交工程以及植入後門方式,試圖攻擊Target公司的系統,而沒有攻擊成功,所以駭客改利用供應商的管道入侵,取得往來的空調業者與電冰箱業者資訊後改先對這批供應商下手下手。

    攻擊駭客發現,冷凍空調業者網站的防禦機制很弱,所以,駭客先發送社交工程郵件成功後,再植入木馬程式竊取銀行帳號密碼,等到供應商帳密全部到手後,再利用這批帳號密碼資料,登入Target供應商平臺網站,找出Target系統上的多重漏洞,利用上傳功能植入木馬程式後,來竊取Target系統的最高權限。

    取得Target最高管理權限後,木馬程式先從內部網路擴散,首先是入侵AD(目錄服務),例如透過一些不需要AD密碼就可以登入的功能來竊取加密過的資料,接著就可以進一步入侵其他伺服器了。張裕敏表示:「IT人員務必時刻關注AD伺服器的動態。」 駭客成功入侵後,開始蒐集與打包資料,從POS系統的記憶體中找到Target客戶資料和信用卡資料,為了避免竊取的資料被發現,駭客先將這些資料打包成.dll檔案,並且透過網路芳鄰將資料除存在Target內部的一臺網路分享電腦中。

    除入侵AD伺服器外,駭客也入侵微軟SCCM伺服器,並利用SCCM派送鎖定POS機的惡意程式BlackPOS到所有的POS系統,並先占領其中一臺伺服器當做內部攻擊的中繼站。張裕敏說,因為Target內部暗藏了中繼站電腦,所以即便POS機電腦硬碟都格式化來刪除資料也完全沒用,惡意程式仍可以在內部擴散蔓延。

    目前已經確認,駭客透過一套BMC軟體來存取偷取Target的資料。因為該套軟體會透過FTP外傳資料,駭客就用同樣手法外傳資料。這些駭客竊取的資料已經可以在俄羅斯的黑市發現,有一批外洩的信用卡資料到期日到2025年,已經將這批資訊送交VISA調查;而卡片背面後3碼資訊更被賣到越南黑市製作偽卡。Target個資外洩事件發生9個月後,所有高階主管都換過一輪,連執行長也因此下臺。張裕敏表示,這類網路犯罪型的APT攻擊,會攻擊整個供應鏈最脆弱的環節,只有公司組織安全還不夠,必須連其他合作的供應商都安全,才是真的安全。

    南韓核電廠資料外洩關鍵是文書軟體漏洞

    另外一個因為APT攻擊導致資料外洩,就是才剛發生在今年3月12日的南韓核電廠外洩事件。張裕敏表示,這是一場持續性的資安事件。為什麼會持續發生的關鍵點在於,廠內所有電腦硬碟進行格式化作業不夠徹底。張裕敏認為,除非所有機器同時一起執行格式化且重灌系統,否則,只要採取分區或分部門來進行電腦重灌,就容易讓駭客有可趁之機。像這起南韓核電廠事件中,出現了一個看得到但找不到電腦的IP,實體電腦有8臺,但從網管軟體上看到的卻是9臺,「消失的幽靈機器可能是駭客掌控的機器」;另外,有些虛擬機器若沒有良好的控管,也可能出現幽靈虛擬機器而成為新的管理風險。

    若追查南韓核電廠資料外洩事件,可從2014年11月28日發現的南韓常用HWP格式的惡意文件開始,到後來該惡意文件變成5,980封惡意郵件寄給3,571人,直到去年12月10日,惡意程式被觸發執行後,核電廠內部網路偵測到大量惡意程式的連線。張裕敏表示,HWP是韓國常用文書處理系統,和微軟相容但漏洞很多,甚至沒有CVE漏洞編號,這表示大多數HWP文書處理應用程式都不知道應該要修補漏洞,這也證明,要透過HWP應用程式的弱點攻擊韓國,其實很容易。

    這起南韓核電廠資料外洩事件,駭客原本的目的是要錢,先透過部落格公布內部員工資料,像是一些員工身心調查資料都遭外洩來勒索金錢,宣稱發動攻擊的駭客集團為「Who Am I」,甚至還開設臉書帳號發訊息,最後則是利用推特(Twitter)公布南韓核電廠資料的下載連結,而引發各界重視。

    韓國政府介入調查後發現,攻擊來源是從三個VPN端點入侵,也要求中國協助調查。南韓核電廠外洩資料總共發現,有12種類型、共計117件資料外洩。目前所知,南韓外洩的資料不只是水冷式裝置地圖被公布,連核能鈾棒也被駭客控制,只要駭客下命令,隨時可以讓核能鈾棒超標數倍。

    IBM Security Trusteer Apex 保護端點APT攻擊

     

    買遍APT產品,不如自己打造一個IR團隊

    張裕敏表示,每一個APT產品都有自己的特色及專長,不是宣稱可以預防APT攻擊,就是適合每一個組織單位。關鍵點在於,所有的組織單位都必須清楚掌握內部系統哪個環節最重要,不過,駭客也很容易得知每個系統的重要性資訊。因此,他建議:「現在的資安防禦策略是,企業要預設已經被入侵,而不是防範被入侵。」因為防禦的視角不一樣,有能力做現場資安事件處理(IR)團隊,會比買遍各家APT產品更有用。

    IBM QRadar Incident Forensics 協助企業進行外洩事故鑑識

     

  • IBM X-Force威脅情報

    IBM X-Force研究是全球最知名之一的業務安全研究團隊,他們深厚的安全研究專業知識和全域威脅情報,造就更強的安全解決方案

    IBM® X-Force® Exchange是雲端型的威脅情報分享平台,能讓使用者迅速研究最新的安全威脅、彙集可行的情報,並與同儕一起分工合作。IBM X-Force Exchange的內容來自於人類和機器運用 IBM X-Force規模所產生的情報。

    IBM X-Force Exchange Commercial API可讓您程式化存取外部威脅情報,以協助將安全事件脈絡化。身為 IBM X-Force Exchange協同平台的隨附供應項目,此 API使用開放式標準來協助加速行動。

    IBM QRadar Log Manager SIEM能直接整合 IBM X-Force Exchange Portal X-Force Threat Intelligence (威脅情報),讓企業資訊安全分析更精準。

    QRadar Threat Intelligence App使用開放標準 STIX TAXII格式來更新任何威脅情報訂閱源,並部署資料以建立定制規則用於關聯、搜索或報告。例如,使用應用程式從 IBM X-Force Exchange導入危險 IP位址的公共集合,並建立規則以提高包含來自關注列表的 IP位址的任何攻擊的量級。並且能進行搜尋,下載與分享。

    凱信客製的外部的Threat Intelligence ,例如VirusTotal , IPVOID/BlackList,以強化資安問題的解決能力,減少誤判。

     

     

    IBM XFE

    IBM 700TB安全情報資料放上雲端,開放給全球研究人員共享

    X-Force Exchange資料庫蒐集來自2.7億個端點的惡意程式威脅情報、250個網頁與影像的威脅資訊、逾800萬筆的垃圾訊息,及網釣攻擊情報,並列出近100萬個惡意的IP位址。

    IBM已把多達700TB的安全情報資料置放在IBM Cloud上新設立的IBM X-Force Exchange網路威脅情報共用平台,讓全球的研究人員或IT管理人員皆可存取該平台的資料,並可動員及聯合對抗網路威脅。

    X Force Home

    基於大量安全情報的X-Force Exchange平台整合了諸如QRadar等威脅研究資料與技術、數千家的全球客戶與來自IBM Managed Security Services的安全分析與專家,可望成為全球最大也是最完整的漏洞目錄之一。

    它蒐集來自2.7億個端點的惡意程式威脅情報、基於250個網頁與影像的威脅資訊、逾800萬筆的垃圾訊息,及網釣攻擊情報,並列出近100萬個惡意的IP位址。

    IBM表示,現在對可靠威脅情報的需求更勝以往,有80%的網路攻擊是源於高度組織化的駭客集團,他們的動員能力很強,且會彼此分享資料、工具,及技術。反觀被攻擊的企業中有65%同時採用可靠與不可靠的安全情報來防禦。

    目前X-Force Exchange所擁有的700TB資料是由IBM提供,但IBM期望該資料庫將藉由該平台的開放與共享機制持續成長,讓業者可透過即時的資料對抗網路犯罪。

    IBM Security總經理Brendan Hannigan表示,X-Force Exchange將讓企業能夠有規模地展開協作以抵抗快速增加的網路犯罪威脅,IBM身先士卒開放全球的網路威脅研究、客戶、技術及專家,並邀請產業參與 及分享他們的情報,希望能加速形成可用來對抗駭客的關係鏈。

    X-Force Exchange平台將存有大量且持續增加的安全情報供免費存取,也有一協作介面以利各方人員互動,並有API程式庫以促進不同平台、機器,及應用之間的 查詢。IBM計畫未來將支援STIX及TAXII等威脅情報自動分享的新標準,讓各界更容易分享資訊並整合到既有的安全系統。(編譯/陳曉莉)

     

    IBM開放威脅情報共享平台

    IBM發布了一個新的威脅情報共享平台,幫助企業的安全部門和研究人員協作應對安全事件,並從威脅情報數據中篩選出有價值的信息。

    該基於雲的平台名為X-Force Exchange,能夠為全球提供對IBM及第三方威脅數據資源的訪問,包括實時的攻擊情況數據。它整合了IBM的威脅研究數據和技術,包括Qradar安全情報平台、上萬的客戶和IBM安全管理服務的安全分析。IBM聲稱該平台集聚了超過700T的原始數據,而且還在持續更新。

    X-Force Exchange的用戶可以合作並利用多種數據資源,包括:

    ·世界上最大的漏洞目錄之一

    ·基於每天150億起安全事件監控的威脅情報

    ·來自2700萬終端網絡的惡意威脅情報

    ·基於250億網頁和圖片的威脅信息

    ·超過800萬封垃圾郵件和釣魚攻擊的深度情報

    ·接近100萬惡意IP位址的信譽數據

    該平台還包括幫助整理和注釋內容的工具,以及在平台、設備和應用程式之間方便查詢的API,允許企業處理威脅情報並採取行動。IBM表示,該平台還將提供對STIX和TAXII的支持,以及自動化威脅情報共享和安全方案整合新標準的支持。

    QRadar TI App

  • 企業安全管理的“六脈神劍”

    當考慮確定作業系統、資料和網路的可用性和完整性控制時,與可考慮潛在機會授權的管理員相比,普通用戶擁有更少的特權。系統管理員、執行備份的操作人員、資料庫管理員、維修技師甚至幫助台支持人員的運營商,都紛紛在網路中提升許可權。為了確保你系統的安全性,還必須考慮可以防止管理員濫用特權的控制。 用於管理日常事務以及組織內的資料存取的自動化控制不能保證自己的完整性和可用性,避免過度管理任務的控制。如果控制管理使用權限的控制項也不強,那麼任何 其他的控制項也會被削弱。下面一起來看企業安全管理的“六脈神劍”——六個最佳實踐:

    實踐一:防止權力的濫用行政權力

    安全的兩個安全原則將幫助你避免權力得濫用:限制權力及職責的分離(SoD)。你可以限制權力,通過分配每個員工他或她所做工作需要的許可權。在你的IT基礎架構,你有不同的系統,並且每個人都可以自然地分割成不同的許可權類別。這種分割的例子是網路基礎設施、存儲、伺服器、桌上型電腦和筆記型電腦。

    另一種分配權力的方式是在服務管理和資料管理之間。服務管理是控制網路的邏輯基礎設施,如網域控制站和其他中央管理伺服器。這些管理員在管理專門的服務器,在這些伺服器上控制項運行、將部分使用者分成組、分配許可權等等。資料管理,在另一方面,是有關管理檔、資料庫、Web內容和其他伺服器的。即使在這些結構中,權力可以被進一步細分,也就是說,角色可以被設計和許可權可以被限制。檔案伺服器備份操作員不應該有特權備份資料庫伺服器相同的個體。資料庫管理員 也可能被某些伺服器限制其權力,與檔和印表伺服器管理員一樣。

    在大型組織中,這些角色可以無限細分,一些幫助台運營商可能有權重設帳戶和密碼,而其他人只限于説明運行應用程式。我們的目標是要認識到,提升許可權的所有管理員必須是可信的,而有些人比其他人更應該得到信任。誰擁有全部或廣泛的許可權越少,那麼可以濫用這些特權的人就越少。

    實踐二:確定管理規範

    以下管理實踐有助於管理安全性:

    ·在遠端存取和存取控制台和管理埠上放置控制項。

    ·實現帶外存取控制設備,如序列埠和數據機,物理控制存取敏感設備和伺服器。

    ·限制哪些管理員可以物理存取這些系統,或誰可以在控制台登入。不能因為雇員有行政地位,就意味著不能限制他或她的權力。

    ·審查管理員。IT管理員在一個組織的資產上擁有巨大的權力。每一個擁有這些許可權的IT員工應在就業前徹底檢查,包括徵信調查和背景調查。

    ·使用自動軟體分發方法。使用自動化的作業系統和軟體的安裝方法既保證了標準的設置和安全配置,從而防止意外的妥協,也是抑制權力濫用的一個很好的做法。當系統自動安裝和配置,後門程式的安裝和其他惡意程式碼或配置發生的機會就越來越少。

    ·使用標準的行政程式和腳本。使用腳本可能意味著效率,但是如果使用了流氓腳本就可能意味著破壞系統。通過標準化的腳本,濫用的機會較少。腳本也可以被數位簽章,這可以確保只有授權的腳本能夠運行。

    實踐三:做好許可權控制

    這些控制包括:

    ·驗證控制:密碼、帳戶、生物識別、智慧卡以及其他這樣的設備和演算法,充分保護認證實踐

    ·授權控制:設置和限制特定使用者的存取設備和組

    如果使用得當,帳戶、密碼和授權控制可以派專人負責他們網路上的行為。正確使用是指至少每個員工的一個帳戶可授權使用系統。如果兩個或更多的人共用 一個帳號,你怎麼能知道哪一個該為公司機密失竊負責?強式密碼策略和職工教育也有助於執行該規則。當密碼是難以猜測的和員工知道密碼是不應該被共用的,適當的問責制的可能性才會更大。

    授權控制確保對資源的存取和許可權被限制在適當的人選。例如,如果只有Schema Admins組的成員可以在Windows 2000下修改Active Directory架構,而且架構被修改,那麼無論是該組的成員做的還是別人使用該人的帳戶做的。

    在一些有限的情況下,系統被設置為一個單一的、唯讀的活動,許多員工需要存取。而不是提供每一個人一個帳戶和密碼,使用一個帳戶和限制存取。這種類型的系統可能是一個倉庫的位置資訊亭,遊客資訊亭等。但是,在一般情況下,系統中的每個帳戶應該僅分配給一個單獨的個人。

    所有的行政人員應至少有兩個帳戶:一個普通特權的“正常”帳戶供他們存取電子郵件、查找互聯網上的資訊、並做其他事情時使用;和不同的帳戶,他們可以用它來履行行政職責。

    對於一些高許可權的活動,一個帳戶可能被分配特權,但是應該由兩個值得信賴的員工各創造一半的密碼。兩者都不能單獨執行該活動,它需要兩者共同來做。 此外,由於有可能被追究責任,每人都會監視對方履行義務。這種技術通常用於在Windows伺服器上保護原始管理員帳戶。此帳戶也可以被分配一個長而複雜 的密碼,然後不能使用,除非當關鍵管理人員離開公司或其他一些突發事件發生後,管理帳戶的密碼忘記或丟失時不得不恢復伺服器。然後其他管理帳戶被創建並用 于正常管理。另一個特別帳戶可能是根憑證授權的管理帳戶。當需要使用這個帳戶,比如更新此伺服器的證書,兩名IT員工必須同時在場登入,減少該帳戶受 到損害的機會。

    實踐四:獲取外部資訊作為內部管理借鑒

    安全專家面臨緊跟當前安全形勢的艱巨任務。你應該及時瞭解當前威脅和適用於你組織的核心業務流程和高價值目標相應的保護措施。

    你可以從眾多資源中汲取更多以瞭解當前的威脅環境。領先的安全廠商,包括

    Symantec,該公司出版了年度互聯網安全威脅報告;McAfee 實驗室,它提供了一個季度的威脅報告; IBM X-Force,產生了威脅和風險趨勢報告;以及思科,該公司出版了安全威脅白皮書,他們都用有效資源不斷更新有威脅的環境。此外,還有一些提供威脅情報的各種組織,包括卡內基•梅隆大學軟體工程研究所( CERT ) ,它研究的Internet安全性漏洞,並進行長期的安全性研究;美國政府的應急準備小組( US-CERT ) ,它提供技術安全警報和公告; SANS協會,發佈頂端的網路安全風險清單;和電腦安全協會( CSI),其出版年度電腦犯罪和安全調查。除了這些資源,專業協會,如國際資訊系統安全認證聯盟( ISC2 )提供廠商中立的培訓、教育和認證,包括為安全專業開展的CISSP 。資訊系統稽核與控制協會(ISACA )從事開發、採納和使用全球公認的,業界領先的知識和實踐資訊系統,如COBIT標準和CISA認證資訊系統。

    對於已確定的各項資產,你必須為執行建議的保護措施負責。安全專業人員所遇到的問題是如何知道什麼時候一個系統或應用程式需要一個修補程式或補丁應用。大多數供應商為安全更新、提供安全警示,以及一個維護訂閱被購買的資訊提供一個郵寄清單。市面上有許多安全郵寄清單,但近年來最流行的是 Bugtraq和Insecure.org提供的Full Disclosure名單。請記住,最新的漏洞和駭客不在任何網站上發表,廠商也不能意識到“零日漏洞”,直到攻擊發生。但是訂閱這些郵寄清單,將隨時向你通報,就像任何人都可以被通知一樣。

    實踐五:實施安全監控與稽核

    系統監控和稽核活動很重要的原因有兩個。首先,監測活動告知系統管理員系統的操作方式,系統故障在哪裡,在什麼地方性能是一個問題,什麼類型的負載系統在任何給定的時間負荷著大量負載。這些細節允許被適當的維護和發現性能瓶頸,並且指出進一步調查的領域是很有必要的。聰明的管理員使用一切可能的工具來確定一般的網路和系統的健康,然後採取相應的行動。其次,安全性感興趣是可疑活動的暴露,正常和非正常使用的審核跟蹤,以及法醫證據在診斷攻擊或誤用時 是非常有用的,這樣有可能捕捉和起訴攻擊者。可疑活動包括明顯的症狀,如已知的攻擊代碼或簽名,或可能的模式是有經驗的,意味著可能嘗試或成功的入侵。

    從日誌中提供的資訊和從其他監測技術中受益,你必須瞭解資訊可用的類型以及如何獲得它。你還必須知道如何處理它。三種類型的資訊是有用的:

    ·活動日誌

    ·系統和網路監控

    ·漏洞分析

    1.稽核活動日誌

    每個作業系統、設備和應用程式可以提供大量的日誌記錄活動。不過,管理員這樣做必須做出記錄多少活動的決定。預設登入資訊的範圍各不相同,什麼東西可記錄,應該用來記錄什麼,這沒有明確的答案。答案取決於活動和日誌記錄的原因。

    當檢查日誌檔時,瞭解哪些內容需要被記錄,而哪些內容不重要。日誌中包含的資訊因日誌的類型、事件的類型、作業系統和產品、是否可以選擇額外的事 情以及資料的類型而變化。此外,如果你正在尋找“誰”參加了此次活動,或者他們使用了“什麼”機器,這些資訊可能會或可能不會是日誌的一部分。 Windows Server 2003之前的Windows事件日誌,例如,不包括電腦的IP位址,只有主機名稱。和Web伺服器日誌不包括確切資訊,無論它們是什麼品牌。很多Web 活動通過代理伺服器,所以你會發現,雖然你知道網路來源,但不知道來自具體的哪個系統。

    在確定是什麼日誌的時候,一般情況下,你必須回答以下問題:

    ·什麼是默認登入?這不僅包括典型的安全資訊,如成功和不成功登入或存取檔,而且還包括在系統上運行服務和應用程式的行為。

    ·資訊被記錄哪裡在?這可能會記錄到多個位置。

    ·隨著添加的資訊,日誌檔的大小是無限的增長還是應當設置檔大小?如果是後者,那麼日誌檔已滿的時候又怎麼辦?

    ·可以記錄哪些類型的附加資訊?你又怎麼選擇這些選項呢?

    ·什麼時候需要特定的日誌活動?在一些環境下,記錄特定的專案是合適的,但對其他環境卻不合適?適合某些伺服器,但不適合其他伺服器?適合伺服器,但卻不適合桌面系統?

    ·應歸檔哪些日誌和應歸檔保存多長時間?

    ·如何讓記錄免受意外或惡意修改或篡改?

    不是每一個作業系統或應用程式日誌記錄相同類型的資訊。知道配置什麼,在哪裡可以找到日誌,日誌中的哪些資訊在需要瞭解具體的系統時是有用的。綜觀 在一個系統中的示例日誌是非常有用的,然而,因為它賦予問題類型許多含義,所以這些問題你需要問和回答。Windows和Unix日誌是不同的,但是對於 二者,你可能要能夠識別誰、什麼、何時、何地以及為什麼事情會發生。下面的例子討論Windows日誌。

    在Windows NT、XP、Windows2000、Vista和Windows7中,預設情況下,Windows的稽核日誌是關閉的。Windows Server 2003和更高版本有一些稽核日誌功能在預設情況下是打開的,可以被記錄的事情都顯示在圖1。管理員可以打開所有或某種可用類別的安全性記錄檔記錄並且可以通 過直接指定物件存取註冊表、目錄和檔案系統設置額外的安全記錄。甚至可以使用群組原則(本機的配置,安全性,應用程式的安裝和腳本庫的實用程式)為 Windows 2000或Windows Server 2003域的所有伺服器和桌上型電腦設定稽核要求。

    什麼時候使用Windows Server 2003,瞭解記錄什麼是很重要的,因為Windows Server 2003預設策略值記錄了只有小數目的活動。不用說,打開所有的日誌類別也是不合適的。例如,在Windows安全審核,分類審核過程跟蹤將不適用於大多 數生產系統,因為它記錄了每一個過程活動中的每一個位,而對於正常驅動器配置和稽核日誌審查來說,則存在著過多的資訊。然而,在開發環境或者當審查定制軟件以確定它說了什麼做了什麼時,開啟審核過程追蹤可能為開發商排除故障代碼或分析檢查它提供了必要資訊的數量。

    記錄在每一個Windows NT(及更高版本)電腦的特殊本地安全事件日誌的審核事件是配置審核的安全事件。事件日誌位於%WINDIR%\ SYSTEM32\ config資料夾下。除了安全事件,許多可能會提供安全性或活動跟蹤資訊的其他事件也會記錄到應用程式日誌、系統日誌或者Windows 2000和更高版本的網域控制站——DNS伺服器日誌、目錄服務日誌、或檔複製服務日誌中。

    此外,許多進程提供額外的日誌記錄功能。例如,如果安裝了DHCP服務,它也可以被配置為記錄的附加資訊,例如當它租用一個位址,在域中它是否被授 權,以及網路中的另一台DHCP伺服器是否被發現。這些事件不會記錄在安全事件日誌,而是DHCP事件記錄到%WINDIR%\ SYSTEM32\ DHCP。

    通常情況下,你可以打開記錄了許多服務和應用程式的額外的日誌,而這一活動被記錄到Windows事件日誌、系統或應用程式日誌、或者服務或應用程 序創建的特殊的日誌中。微軟的IIS遵循這種模式,和Microsoft伺服器應用程式如Exchange,SQL Server和ISA伺服器一樣。聰明的系統管理員以及稽核員,將決定在Windows網路系統上運行什麼,什麼日誌記錄功能可用於每個服務或應用程式。 雖然大多數的日誌資訊,僅涉及系統或應用程式操作,但它可能成為一個取證調查的一部分,如果它是必要或保證其重建活動的。記住這包括什麼資訊被記錄在每個 系統上以及被記錄到哪裡。

    許多特殊的應用程式日誌中是基本的文字檔,但是特殊的“事件日誌”卻不是。這些檔有自己的格式,你可以管理存取它們。雖然任何應用程式可以通過編寫事件記錄到這些日誌檔,但是在日誌中,事件無法修改或刪除。

    事件日誌本身不自動封存,它們必須給定一個大小,他們可以覆蓋舊的事件,停止記錄直到手動清零,或者在安全選項中,當日誌檔已滿時停止系統。最佳實踐建議建立一個龐大的日誌檔,並允許事件被覆蓋,但對這些完整檔的監控和頻繁的歸檔,所以沒有記錄丟失。

    早期的安全和系統管理員的建議強調,日誌必須每天進行審查,並假設有時間這樣做。我們現在知道,除非在特殊情況下這不會發生。現在在採取下列行動的最佳實踐建議:

    ·發表日誌資料到外部伺服器。

    ·日誌整合到一個中央源。

    ·應用篩檢程式或查詢來產生有意義的結果。

    發佈日誌資料到外部伺服器有助於保護日誌資料。如果伺服器被攻破,攻擊者也無法修改本地日誌和掩蓋他們的蹤跡。日誌整合到一個中央源,使資料更易於 管理,因為查詢只需要對一個批次的資料運行處理。Unix的系統日誌工具,使用的時候,可以讓你將日誌資料張貼和鞏固到一個中央系統日誌伺服器。一個版本 的系統日誌也可用於Windows。

    其他技術日誌整合的例子包括

    ·收集安全事件日誌的副本並定期將他們歸檔到一個資料庫中,然後開發SQL查詢以完成報告或使用現成的產品直接對特定類型的日誌查詢這個資料庫。

    ·投資于協力廠商安全管理工具,讓它可以收集和分析特定類型的日誌資料

    ·使用安全資訊和事件管理(SIEM)系統從許多來源——安全性記錄檔、Web伺服器日誌、IDS日誌等來收集日誌資料和警報。

    ·使用系統管理工具或服務管理平臺或服務的日誌管理功能。

    2.監控系統和網路活動

    除了記錄資料,系統和網路活動可以提醒有見識的管理員潛在的問題。系統和網路應進行監測,不僅在修復關鍵系統和性能瓶頸的調查和解決時,也在你知道 一切都好,或者攻擊正在進行中。是由於硬碟崩潰無法存取系統?還是拒絕服務攻擊的結果?為什麼今天會從一個忙碌的網路出現突然激增的資料包?

    有些SIEM工具還尋求提供網路活動的圖片,以及系統活動的許多管理工具的報告。此外,IDS系統、協定分析者可以提供存取網路上流量的內容。

    連續監測也許是出於安全操作的最好防禦。安全操作必須能夠產生、收集和查詢日誌檔,如主機的日誌和代理、認證和歸屬日誌。安全操作必須具有技能設 置為執行涵蓋了網路所有關鍵的“瓶頸點”(入口和出口)的深度包檢測。許多商業監測包也可用,與事件關聯引擎一樣。開源的替代方案也可以,但是卻拿不出在 發生安全事故時或在事後剖析通常需要的專業支援團隊。決定監視什麼和如何監視這是一個重大的努力。

    安全專業人士如果參考美國國家標準與技術研究院(NIST)的特別出版物800-37,“聯邦資訊系統運用風險管理框架的指南:一種安全的生命週期 方法”會做得很好。本文檔提供了連續監測戰略的指導。高價值目標(資產)需要重點監測。擁有當前和相關威脅情報的安全操作,結合著廣泛和有針對性的監測策 略和技巧,可能抓住網路刑事犯一個APT攻擊的行為。

    3.漏洞分析

    沒有一個缺少弱點掃描器的安全工具包是完整的。這些工具對眾所周知的配置缺陷、系統漏洞和補丁級別提供當前可用系統的稽核。它們可以是全面的,能夠 掃描多種不同的平臺;也可以只對應於特定的作業系統;或者它們可以唯一地固定在一個單一的漏洞或服務,如惡意軟體檢測工具。他們可以是非常地自動化,只需 要一個簡單的啟動命令,或者他們可能需要複雜的知識或完成一長串的活動。

    使用漏洞掃描器,或委託這樣的掃描之前,需要時間來瞭解將會顯示什麼樣的潛在結果。即使是簡單的,單一的漏洞掃描程式也可能會不識別漏洞。相反,他 們可能簡單地表明,特定弱勢的服務是運行在一台電腦上的。更複雜的掃描可以產生數百頁的報告。所有的項目是什麼意思?他們中有些項目可能是誤報,有些可 能需要高級的技術知識來瞭解或減輕;還有一些可能是漏洞,你對此無能為力。例如,運行一個Web伺服器確實讓你比你不運行伺服器更容易受到攻擊,但如果 Web伺服器是你組織運作中至關重要的一部分,那麼你必須同意承擔這個風險。

    雖然漏洞掃描產品有所不同,重要的是要注意一個基本的漏洞評估和緩解不需要花哨的工具或昂貴的顧問。免費和可用的低成本工具,和脆弱性列表的許多免費資源一起存在。特定的作業系統清單可以在互聯網上從作業系統供應商獲得。

    國家標準與技術研究所出版了可免費下載的“資訊技術系統的自我評估指南”。雖然一些指南的具體情況可能只適用於政府機關,但是大部分的建議對任何組 織還是有用的;文檔提供了問卷的格式,像一個稽核師的工作表,可以説明資訊安全新人執行評估。在調查問卷中覆蓋了風險管理、安全控制、IT生命週期、系統 安全計畫、人員安全、物理和環境的保護、輸入和輸出控制、應急規劃、硬體和軟體的維護、資料的完整性、文檔、安全意識培訓專案、事件回應能力、識別和認 證、邏輯存取控制和稽核跟蹤等問題。

    實踐六:充分部署事件響應

    一個組織的檢測能力和複雜攻擊的反應能力是依賴於一個事件回應小組的有效性和能力。這個團隊由超過一個人組成,因為對一個事件的響應將由各種各樣的 角色實施。從管理者到員工,內部到外部的專業人士,如IT員工、業務合作夥伴、安全運營、人力資源、法律、財務、稽核、公共關係和執法。電腦安全事件響 應小組(CSIRT)是任何安全運營功能的重要組成部分。

    卡內基梅隆大學的CERT程式為事件回應提供了一個良好的模型和有用的材料。CERT成立於1988年,由國防部DARPA機構資助,以應付第一個 自我繁殖的互聯網惡意軟體(被稱為“Morris蠕蟲”)的爆發。由康奈爾大學研究生羅伯特•莫里斯釋放到早期的互聯網,莫里斯蠕蟲在電腦上自我複製和傳 播,通過重載受害者電腦上無止境的任務以造成拒絕服務的攻擊。CERT為電腦安全事件回應小組(CSIRT)提供了一個手冊。該指南涵蓋了從建議的框架 到回應小組會遇到的基本問題。

    為建立自己的事件回應團隊的CERT過程已提供給公眾,大家可以在www.cert.org找到,它包括以下步驟。

    第一步,最可靠的努力,是從組織的高層管理人員獲得贊助。資金和資源都依賴於這種支援,所以團隊的權威是從組織內各部門借用人員。最終,團隊的成功是與高層管理人員的支持相關的。

    下一步是為事件回應小組制定高級別戰略計畫。規劃目標、時限和成員考慮到團隊面臨的依賴和約束提供了一個實現CSIRT路線圖和項目計畫。

    從組織中收集資訊是在確定CSIRT的角色和它需要資源中重要的下一步。在這個步驟中,你發現你所需要的其他組織所擁有的資源,以及如何使用它們。 例如,人力資源、法律、稽核和通信(也許行銷部)的代表,當然還有IT,所有的這些人,可能還有更多,扮演不同的角色,他們各自有自己的目標和在團隊中他 們想要看到的優先順序。在資訊收集階段,你也將決定需要哪些外部資源參與,如執法和公共CSIRT組織一樣。

    創建和交流一個願景、使命、章程以及下一步是規劃團隊的未來,而這些步驟提供了一個焦點,可以説明團隊成員理解什麼需要他們以及組織與CSIRT的對話模式。在這個步驟中CERT也包括預算編制。

    所有的規劃完成後的下一步,就是創造團隊。在這個步驟中,員工彙聚在一起訓練,採購設備來支援團隊憲章中定義的功能。一旦團隊已經啟動並運行,通知 被發送到整個組織和通信程式付諸實施。在一個計畫 - 執行 - 檢查 - 行動迴圈的精神中,最後一步是評估團隊的效率,以深入瞭解作出改善。

    事件回應和安全小組論壇(FIRST)是另一個CSIRT組織,類似於CERT。他們自稱為“受信任的合作處理電腦安全事故的電腦事件回應小 組,促進事故預防計畫的國際聯盟。”根據他們的任務說明,FIRST 組織中的成員開發和共用技術資訊、工具、方法、流程和最佳實踐;鼓勵和推動優質安全的產品、政策和服務的開發,制訂並推廣最佳的電腦安全實踐,以及利用 他們的綜合知識、技能和經驗,以促進一個安全的和更安全的全球電子環境。

    在今天混合威脅的環境下,一個單一組織的事件響應團隊將不足以提供所需的覆蓋範圍。安全操作必須配合有信譽的事件回應組織。此外,安全運營組織需要 有一定的無論在內部或外部分析惡意軟體的等級,因為這技能處於高需求的狀態。安全操作必須持續監控和事件回應優先來滿足在當今複雜的、網路化的、全球經濟 所帶來的挑戰。阻止網路罪犯的能力取決於該組織的檢測和回應的承諾。