[精选]互联网网络安全应急工作回顾与展望.pptx

我国互联网网络平安与应急响应开展与现状国家计算机网络应急技术处理协调中心运行部 张冰2004.12.24 CERNET20042004.12.24 CERNET2004年会年会年会年会主题互联网网络平安面临重大挑战我国互联网网络平安应急工作现状应急组织、策略和方法互联网网络平安应急工作展望结论互联网网络平安面临重大挑战网络平安漏洞大量存在数据来源CERT/CC网站网络平安漏洞大量存在Windows十大平安隐患Web效劳器和效劳效劳器和效劳工作站效劳Windows远程访问效劳微软微软SQL效劳器效劳器Windows认证Web浏览器浏览器文件共享LSAS Exposures电子邮件客户端电子邮件客户端 即时信息即时信息Unix十大平安隐患BIND域名系统域名系统Web效劳器效劳器认证版本控制系统电子邮件传输效劳电子邮件传输效劳简单网络管理协议开放平安连接通讯层企业效劳NIS/NFS 配置不当数据库内核内核来源SANS研究报告网络平安漏洞开展趋势利用漏洞发动攻击的速度加快：Symantec统计，2004年上半年，漏洞公布到攻击代码出现时间：5.8天威胁程度不断增加2004年1-6月，有攻击代码的漏洞中64%属于高度危险，36%属于中度危险漏洞利用分析人员兴趣的变化Web应用的漏洞越来越多Symantec统计，2004年上半年公布了479个与Web应用有关的漏洞，占总数的39%病毒、蠕虫、木马等在互联网上大行其道事例1988年11月：Morris蠕虫，互联网主体瘫痪1989年10月：Wank蠕虫2001年：红色代码、尼姆达蠕虫事件2003年：SQL SLAMMER、口令蠕虫事件、冲击波蠕虫事件2004年5月：震荡波蠕虫事件相互结合，危害无穷“红色代码将网络蠕虫、计算机病毒、木马程序合为一体CNCERT/CC通过抽样监测发现，仅20042004年上半年年上半年年上半年年上半年，我国遭到Mydoom蠕虫、利用RPC漏洞和LSASS漏洞的几类主要蠕虫攻击的主机数目接近200万台网络平安造成损失越来越大网络堵塞SQL SLAMMER：2003年1月25日发作,造成大面积网络拥塞，局部骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台业务停顿2001年的红色代码蠕虫就曾经导致航空售票系统瘫痪，旅客滞留机场的事件类似事件还有网上招生停顿、网上交易中断等，威胁生命？造成的财产损失难以估计，数字绝非耸人听闻2001年，尼姆达蠕虫造成的损失估计大大超过26亿美元今日 报道：黑客每年给全世界电脑网络带来的损失估计高达100多亿美元切肤之痛？攻击手段越发“高超漏洞发布到攻击出现的时间越来越短Witty蠕虫事件把戏翻新，防不胜防尼姆达蠕虫：通过email、共享网络资源、IIS效劳器传播变种速度令人惊叹黑客：从单打独斗到“精诚合作Botnet攻击程序日益自动化、并辍手可得攻击范围和时间的变化全面框架全面框架区域网络区域网络多个局域网多个局域网单个局域网单个局域网单个单个pc目标和破坏目标和破坏的范围的范围1980s1990sTodayFuture第一代第一代第一代第一代 Boot Boot virusesvirusesWeeks第二代第二代第二代第二代 Macro Macro virusesviruses Denial of Denial of serviceserviceDays第三代第三代第三代第三代 DistributeDistributed denial of d denial of serviceservice Blended Blended threatsthreatsMinutes下一代下一代下一代下一代 Flash Flash threatsthreats Massive Massive worm-worm-driven driven DDoSDDoS DamaginDamaging payload g payload wormswormsSeconds快速变化的威胁快速变化的威胁攻击复杂度与攻击者的技术水平攻击复杂度与攻击者的技术水平高高低低19801985199019952000猜口令猜口令自我复制程序自我复制程序口令破解口令破解攻击漏洞攻击漏洞破坏审计破坏审计后门程序后门程序干扰通信干扰通信手动探测手动探测窃听窃听数据包欺骗数据包欺骗图形化界面图形化界面自动扫描自动扫描拒绝效劳拒绝效劳工具工具攻击者攻击者攻击者的攻击者的知识水平知识水平攻击的复杂度攻击的复杂度隐秘且高级的扫描工具隐秘且高级的扫描工具偷窃信息偷窃信息网管探测网管探测分布式攻击工具分布式攻击工具新型的跨主机工具新型的跨主机工具2004年网络平安热点网站仿冒Phishing建立假网站通过垃圾邮件发送效劳器大量发信引诱用户访问使用中奖、系统升级等手段诱使用户输入个人信息主要针对银行和信用卡效劳机构2004年网络平安热点基于Botnet的网络敲诈大量主机被安装了BOT黑客可以通过IRC效劳器实施控制随时可能发动攻击BOT可以进行升级，扩大攻击能力2004年网络平安热点 和无线网络WLAN的平安2004年，针对使用Symbian的兰牙 的病毒出现针对使用PocketPC的验证性攻击程序也被发现 功能和操作系统通用性不断增强，会有越来越多针对 的攻击WLAN平安性一直是其应用的关键问题2004年出现了可利用来对IEEE 1278.11b无线接入点进行拒绝效劳攻击的漏洞我国互联网网络平安应急工作现状国家整体平安战略需要国家信息化领导小组第三次会议上强调：“加强信息平安保障工作，重点在于坚持积积极极防防御御、综综合合防防范范；全面提高信息平安防护能力；重点保障信息网络和重要信息系统平安；创立平安健康的网络环境；保障和促进信息化开展，保护公众利益，维护国家平安；立足国情、以我为主、管理与技术并重、统筹规划、突出重点；发挥各界积极性，共同 构 筑国国 家家 信信 息息 平平 安安 保保 障障 体体 系系。国家整体平安战略需要关于加强信息平安保障工作的意见中办发2003 27号文指出：“信息平安保障工作的要点在于，实行信息平安等级保护制度，建设基于密码技术的网络信任体系，建设信息平安监控体系，重视信息平安应急处理工重视信息平安应急处理工重视信息平安应急处理工重视信息平安应急处理工作作作作，推动信息平安技术研发与产业开展，建设信息平安法制与标准国家信息平安战略的近期目标：通过五年五年五年五年的努力，基本建成国家信息平安保障体系。网络平安应急工作的基本目标积极预防及时发现快速响应确保恢复网络平安应急工作的基本原则加强领导统一指挥分工负责 积极预防常备不懈及时预警 协作配合 快速处理确保恢复 互联网网络平安应急预案组织体系和职责明确责任、组织保障预警和预防机制事件分级、监测、预警预防、平台要求应急响应分级响应、及时通报/上报信息、协调配合后期处置总结、奖惩评定及表彰应急保障准备预案、队伍、培训、经费、演练、联络机制、监督检查、技术储藏互联网网络平安应急预案提出的要求举例各经营性互联单位配合CNCERT/CC，每天12时以前采集其互联网24小时内的运行状态数据发生二级/报警网络平安事件，CNCERT/CC要在8小时内提出建议方案；发生二级/报警网络平安事件，12小时要上报事件动态如何落实？我国公共互联网应急体系从无到有从小到大从弱到强从点到面正面经验：2003.SQL Slammer/口令蠕虫组织：CNCERT/CC；CCERT；各运营商CERT；国际组织效率：两小时判断情况，半天控制局势总结：应急体系发挥了重要作用潜在的问题还有很多CNCERT/CC简介国家计算机网络应急技术协调处理中心2000年成立，2003年7月中编办批准现名英文“National puter network Emergency Response technical Team/Coordination Center of China职责和定位“在信息产业部互联网应急处理协调办公室的直接领导下,负责协调我国各计算机网络平安事件应急小组CERT共同处理国家公共互联网上的平安紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络平安的监测、预警、应急、防范等平安效劳和技术支持,及时收集、核实、汇总、发布有关互联网平安的权威性信息,组织国内计算机网络平安应急组织进行国际合作和交流的组织。目前具备的主要能力大规模异常事件的发现能力理论上确认大规模网络平安事件所需要时间不到原来的十分之一重大网络平安事件的初步监测分析能力包括感染范围和速度、控制效果、对网络的影响情况等攻击事件的分布式自动验证拓扑发现和定位分析分布式问题网站发现系统2004年1-10月接到事件报告情况与国际应急组织密切合作Global Problem,Global Solution：跨国进行的计算机攻击事件的处理推动了国际应急组织的合作2002年8月，成为FIRST正式成员APCERT创始成员和指导 会成员同韩国、马来西亚、巴西、澳大利亚多个国家CERT组织保持密切的合作开始与东盟、泛美、欧洲等地区CERT组织建立合作渠道应急组织、策略和方法一些建议面临的基本问题如何用合理的投入，使组织面临的整体网络平安风险降低到可以接受的程度平安是相对的，不是绝对的不同层面：国家、企业、个人是否真正知道面临哪些风险？如何描述风险？平安的水平不是用投入多少来衡量？如何保障整体的平安有明确整体的网络平安策略适合组织需要的网络平安应急小组至少应该有POC详细的规章、流程、手册，并真正得到贯彻建立监测技术平台与应急工具库开展应急培训、演练网络平安知识、信息、经验积累、共享与交换提高组织和个人网络平安意识网络平安应急组织基础计算机平安事件相应小组CSIRT:Computer Security Incident Response Team负责在确定的组织范围内，执行、协调、支持对计算机实践做出响应的小组CNCERT/CC、CCERT理解组织自身的需要为什么需要CSIRT?组织的现状?部门之间如何联系？负责人？需要说服那些关键人物?现有的基础：内部的和外部的?事件处理小组？平安流程?平安策略?法规?标准?带来哪些好处，存在哪些障碍?CSIRT对整体整体目标带来哪些好处？商业优势、投资回报?看看国外的情况全球应急组织论坛亚太应急组织欧洲平安事件交换方案事件处理的一般阶段第一阶段：准备让我们严阵以待第二阶段：确认对情况综合判断第三阶段：封锁制止事态的扩大第四阶段：铲除彻底的补救措施第五阶段：恢复备份，顶上去！第六阶段：跟踪还会有第二次吗Handling the Incident恢复恢复RecoveryRecovery铲除铲除EradicationEradication发现发现IdentificationIdentification预防预防PreparationPreparation控制控制ContainmentContainment跟踪跟踪Follow up Follow up AnalysisAnalysisIncident Response Life CycleIncident Response Life CycleIncident Response Life CycleIncident Response Life Cycle第一阶段准备预防为主帮助效劳对象建立平安政策帮助效劳对象按照平安政策配置平安设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施应急联络机制建立事件报告的机制和要求建立事件报告流程和标准IntranetPhoneEmailWho?Who?Who?Who?What?What?What?What?When?When?When?When?Where?Where?Where?Where?How?How?How?How?Reporting MechanismsReporting MechanismsReporting MechanismsReporting Mechanisms第二阶段确认确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？第三阶段封锁即时采取的行动防止进一步的损失，确定后果确定适当的封锁方法咨询平安政策确定进一步操作的风险损失最小化可列出假设干选项，讲明各自的风险，由效劳对象选择第四阶段铲除长期的补救措施确定原因，定义征兆分析漏洞加强防范消除原因修改平安政策第五阶段恢复被攻击的系统由备份来恢复作一个新的备份把所有平安上的变更作备份效劳重新上线持续监控第六阶段跟踪关注系统恢复以后的平安状况，特别是曾经出问题的地方建立跟踪文档，标准记录跟踪结果对响应效果给出评估网络平安应急技术基础入侵检测系统调查分析系统事件描述与交换系统事件管理系统备份恢复系统应急专用工具扫描器、补丁管理网络平安管理平台SOC更多响响应应式效式效劳劳预预防式效防式效劳劳平安平安质质量管理效量管理效劳劳警警报报和警告和警告事件事件处处理理-事件分析事件分析-现场现场事件响事件响应应-事件响事件响应应支持支持-事件响事件响应协调应协调平安漏洞平安漏洞处处理理-平安漏洞分析平安漏洞分析-平安漏洞响平安漏洞响应应-平安漏洞响平安漏洞响应协调应协调Artifact处处理理-Artifact分析分析-Artifact响响应应-Artifact响响应协调应协调o公告公告o技技术监测术监测o与与平安审计评估o平安工具、应用程序和基础设施的配置和维护o平安工具的开发o入侵检测效劳o平安有关的信息平安有关的信息的的传传播播风险分析效劳持续性和灾难恢复规划平安性咨询建立平安意识教育/培训产品评估或认证应急是一种效劳应急人员的基本素质基本的专业知识，最好拥有专门的认证超强的学习能力，跟上网络平安事件开展良好的沟通交流能力丰富的事件处理、分析、调查经验撰写标准的事件处理报告的能力互联网网络平安应急工作展望道高？魔高？攻击者：发现漏洞编写攻击代码测试执行攻击防御者：发现漏洞发布消息开发补丁程序发布补丁风险检查监测攻击分析恶意代码控制传播Propagation Control发布补丁和工具恢复被入侵系统升级/调整/评估对手有多快？漏洞随时被发现攻击代码出现加快:6天甚至更快零日攻击开始出现10到30分钟使整个互联网瘫痪已经成为可能Well,how fast can we be,then?很长的路要走典型漏洞引发的平安事件数量变化曲线Time事件数量发现漏洞公布漏洞公布补丁程序实施补丁安装CSIRT厂商/协调机构职责划分CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动应对大规模的主动攻击如何对付DDoS、BotNet等大范围跨域的大规模网络攻击？快速控制、追查源头、彻底去除、调查取证被利用来进行犯罪活动，DDoS攻击造成损失越来越大经济影响和社会影响如何真正解决这些问题？实时跨网防御概念Real-time Inter-network Defense RIDnTrace Security Incidents to the SourcenStop or Mitigate the Effects of an Attack or Security IncidentnFacilitate munications between Network ProvidersnIntegrate with existing and future network ponentsnSystems to trace traffic across a networkIntrusion Detection SystemsNetFlow,Hash Based IP Traceback,IP Marking,etc.Network devices such as routers and firewallsnProvide secure means to municate RID messagesnConsortiums agree upon use and abuse guidelinesnConsortiums provide a key exchange methodTrusted PKI,certificate repository,cross certificationsSource:INCH WG RID Draft标准标准结论-必须要做的事情提高应急响应的速度和能力加强应急组织之间协作非常重要需要建立和开展应急相关的标准信息要共享处理要配合分析要深入相互要信任效劳要标准欢送各位专家批评指正！谢谢！国家计算机网络应急技术处理协调中心国家计算机网络应急技术处理协调中心张张 冰冰 博士 9、静夜四无邻，荒居旧业贫。11月-2311月-23Sunday,November 26,202310、雨中黄叶树，灯下白头人。11:08:2411:08:2411:0811/26/2023 11:08:24 AM11、以我独沈久，愧君相见频。11月-2311:08:2411:08Nov-2326-Nov-2312、故人江海别，几度隔山川。11:08:2411:08:2411:08Sunday,November 26,202313、乍见翻疑梦，相悲各问年。11月-2311月-2311:08:2411:08:24November 26,202314、他乡生白发，旧国见青山。26 十一月 202311:08:24 上午11:08:2411月-2315、比不了得就不比，得不到的就不要。十一月 2311:08 上午11月-2311:08November 26,202316、行动出成果，工作出财富。2023/11/26 11:08:2411:08:2426 November 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。11:08:24 上午11:08 上午11:08:2411月-239、没有失败，只有暂时停止成功！。11月-2311月-23Sunday,November 26,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。11:08:2411:08:2411:0811/26/2023 11:08:24 AM11、成功就是日复一日那一点点小小努力的积累。11月-2311:08:2411:08Nov-2326-Nov-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。11:08:2411:08:2411:08Sunday,November 26,202313、不知香积寺，数里入云峰。11月-2311月-2311:08:2411:08:24November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 202311:08:24 上午11:08:2411月-2315、楚塞三湘接，荆门九派通。十一月 2311:08 上午11月-2311:08November 26,202316、少年十五二十时，步行夺得胡马骑。2023/11/26 11:08:2411:08:2426 November 202317、空山新雨后，天气晚来秋。11:08:24 上午11:08 上午11:08:2411月-239、杨柳散和风，青山澹吾虑。11月-2311月-23Sunday,November 26,202310、阅读一切好书如同和过去最杰出的人谈话。11:08:2411:08:2411:0811/26/2023 11:08:24 AM11、越是没有本领的就越加自命非凡。11月-2311:08:2411:08Nov-2326-Nov-2312、越是无能的人，越喜欢挑剔别人的错儿。11:08:2411:08:2411:08Sunday,November 26,202313、知人者智，自知者明。胜人者有力，自胜者强。11月-2311月-2311:08:2411:08:24November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 202311:08:24 上午11:08:2411月-2315、最具挑战性的挑战莫过于提升自我。十一月 2311:08 上午11月-2311:08November 26,202316、业余生活要有意义，不要越轨。2023/11/26 11:08:2411:08:2426 November 202317、一个人即使已登上顶峰，也仍要自强不息。11:08:24 上午11:08 上午11:08:2411月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉