处理安全问题

调试常见的安全问题

访问控制问题：
1、认证问题2、许可问题3、访问冲突
数据外泄：
攻击者获取了存储在私有网络内部的数据并将其移动至外部网络的过程。
事件日志中的异常
安全配置问题：
访问点、防火墙、内容过滤器、入侵检测系统等
基线偏离（基线：安全的最低标准）
软件问题：
未授权软件、无证书软件、过期软件
资产管理问题：
清点并跟踪组织内所有价值对象的过程

响应安全事件

事件响应：
使用有序的方法论来解决和管理安全漏洞和攻击，同时限制损害并降低恢复成本的做法。
准备、检测、处理、恢复、报告总结
事件准备：
为有效地响应事件奠定了基础
指定组织策略
指定响应计划/策略
指定沟通计划
建立文档要求
组件事件响应小组（IRT）
确保IRT拥有必要的访问权限和资源
对IRT和其他员工的教育
事件监测与分析
确定与正常操作的偏离情况，以及它们是否被认为是事件
建立基线并识别能知识偏离的资源
比较与既定指标的偏差
通知IRT并建立沟通渠道
选择事件处理人
确保事件处理人记录下了检测流程
事件遏制
限制损失并防止进一步的损害
短期遏制，如网络隔离
创建关键系统的重复镜像以建立系统备份
长期遏制，如将系统下线进行维修
事件消除
移除或恢复受影响的系统
采取必要步骤将系统恢复到运行状态
实施额外的安全控制
更新事件文档
事件恢复
将受影响的系统重新引入生产环境
恢复运营的时间范围
用于确保系统功能性的测试工具和措施
监视系统异常的时间范围
经验教训
包含了整个过程
与IRT和管理层会面，完成事件时间线的确定
确定问题及其范围，以及为缓解影响需要采取的措施
IRT和事件响应计划的有效性，以及其中哪些内容需要改进
完成了事件的文档记录
事件响应计划（必须先确认真实性再进行响应）
一个文档或一系列文档，其中描述了用于检测，响应以及最小化安全事件影响的程序。
IRT的建立和维护
以书面形式列举了构成安全事件的内容
对每种分类或类型的定义
事件发生时应遵循的分步流程
IRT成员的角色和责任
报告要求
扩大因素
测试和验证方式
桌面演习
功能演习
第一响应人
第一时间到达事故现场的一位经验丰富的人员或一组训练有素的专业人员
安全事件响应准则
如果存在IRP，遵循其中列举的指导原则来响应事件
如果IRP不存在，则需要确定一名主要调查人员，他将领导整个调查过程
确定事件是否真正发生以及系统或流程的受损程度
尝试隔离或以其他方式控制事件的影响
记录事件的详细信息

调查安全事件

计算机取证
收集和分析来自计算机设备的数据的做法，并有可能在法庭上将这些信息作为一种证据形式呈现。
主要处理证据的恢复和调查
仍然是一个新兴领域
结合了法律要素和计算机科学
一些调查会在没有法律行为的参与下进行
基本的取证流程
收集、检查、分析、报告
取证数据的保存
法律保留：当有充分理由提起诉讼时，要求保护所有相关信息的过程。
基本的取证响应程序
捕获取证图像和内存
检查网络流量和日志
捕获视频
记录时间偏移量
散列
截取快照
确定证人
跟踪工时和成本
收集情报
易失性
在安全事件发生后，易失数据应当从不同存储位置和设备中被恢复的顺序
1、CPU寄存器，CPU缓存和RAM
2、网络缓存和虚拟内存
3、硬盘驱动和内存
4、CD，DVD和打印输出
调查安全事件的准则
制定或采用一致的流程来处理和保存取证数据
评估损害，并确定受损系统带来的影响
确定是否需要外部的专业技术支持
咨询公司
如果需要，通知当地执法部门
保护现场以便保留其中的硬件
收集所有必要证据
电子数据
硬件组件
电话系统组件
在电子数据收集过程中遵循易失性顺序
与相关人员进行面谈，以便收集更多信息
将你的发现报告给相关人员