應(yīng)急響應(yīng)研究領(lǐng)域目前最被廣為接受的流程是PDCERF方法學(xué)，該方法學(xué)將應(yīng)急響應(yīng)整個(gè)流程劃分為準(zhǔn)備（Preparing）、檢測（Detection）、抑制（Control）、根除（Eradicate）、恢復(fù)（Restore）和跟進(jìn)（Follow）六個(gè)階段。在實(shí)際應(yīng)急響應(yīng)過程中，也不一定嚴(yán)格存在這六個(gè)階段，也不一定嚴(yán)格按照這六個(gè)階段的順序進(jìn)行，但是PDCERF是目前適應(yīng)性較強(qiáng)的應(yīng)急響應(yīng)的通用方法學(xué)。下面結(jié)合一個(gè)實(shí)際案例，對(duì)這六個(gè)階段分別予以介紹。

案例背景

圖1 公司內(nèi)部網(wǎng)絡(luò)架構(gòu)圖

某公司自有數(shù)據(jù)中心擁有近百臺(tái)服務(wù)器，服務(wù)器上部署有各類業(yè)務(wù)系統(tǒng)提供給用戶使用，其中部分服務(wù)器與Internet隔離，僅僅為內(nèi)部用戶提供服務(wù)，而另外一部分服務(wù)器則利用NAT端口映射技術(shù)開放給外部用戶使用。為保障Internet接入的穩(wěn)定性，公司引入了聯(lián)通和電信兩條Internet線路，其中聯(lián)通線路帶寬為100Mbps，屬于主用線路；電信線路帶寬為20Mbps，屬于備用線路。公司對(duì)于信息安全十分重視，不僅在Internet出口網(wǎng)關(guān)處部署了防火墻（Juniper ISG2000）、IPS（啟明星辰NIPS-3060）等安全設(shè)備，以防范來自Internet的網(wǎng)絡(luò)安全威脅，而且對(duì)于內(nèi)網(wǎng)的管控也相當(dāng)嚴(yán)格，員工電腦都安裝了企業(yè)級(jí)殺毒軟件，而且在全網(wǎng)范圍內(nèi)部署了準(zhǔn)入控制相關(guān)產(chǎn)品，不符合安全策略的主機(jī)將無法接入網(wǎng)絡(luò)。同時(shí)，員工辦公電腦的USB接口、光驅(qū)等都被禁止使用，以防U盤、光盤等外來介質(zhì)給內(nèi)網(wǎng)帶來病毒感染的威脅。整個(gè)公司內(nèi)部網(wǎng)絡(luò)架構(gòu)是典型的“核心—匯聚—接入”三層架構(gòu)，如下圖1所示。

為了保障業(yè)務(wù)連續(xù)性，提升信息安全應(yīng)急響應(yīng)能力，公司內(nèi)部參照PDCERF流程建立了較為完善的信息安全應(yīng)急響應(yīng)機(jī)制，范圍包含服務(wù)器、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等多個(gè)方面。本文以“服務(wù)器遭受DDoS拒絕服務(wù)攻擊”事件為例，來介紹該公司的應(yīng)急響應(yīng)流程。

準(zhǔn)備階段

準(zhǔn)備階段是信息安全事件響應(yīng)的第一個(gè)階段，即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備。這一階段極為重要，因?yàn)槭录l(fā)生時(shí)很可能需要在短時(shí)間內(nèi)處理較多的事務(wù)，如果沒有做好足夠的準(zhǔn)備工作，那么將很難及時(shí)地完成響應(yīng)工作。該公司在攻擊事件發(fā)生前，做了相應(yīng)的準(zhǔn)備工作，主要有如下幾點(diǎn)。

1.為防止病毒的侵害，該服務(wù)器安裝了卡巴斯基企業(yè)版殺毒軟件，并定時(shí)自動(dòng)升級(jí)病毒庫。

2.為防止業(yè)務(wù)數(shù)據(jù)的丟失，每天晚上都會(huì)通過自動(dòng)備份軟件，將服務(wù)器上的數(shù)據(jù)備份到異地的備份服務(wù)器上。

3.由于該服務(wù)器發(fā)布 在 Internet上，為 防止來自Internet的網(wǎng)絡(luò)攻 擊，在 Internet出 口網(wǎng)關(guān)處部署了防火墻和IPS，配置了相對(duì)嚴(yán)格的Untrust -> Trust區(qū)域的訪問控制策略，同時(shí)保證IPS設(shè)備的特征庫定時(shí)更新，以抵御更多種類的網(wǎng)絡(luò)攻擊。

4.建立了針對(duì)服務(wù)器遭受攻擊時(shí)的應(yīng)急響應(yīng)預(yù)案，每半年組織相關(guān)人員開展一次應(yīng)急演練活動(dòng)。

5.建立支持安全事件響應(yīng)活動(dòng)的管理體系，為應(yīng)急響應(yīng)提供足夠的資源和人員。公司成立了信息安全應(yīng)急響應(yīng)處理小組，由IT部門負(fù)責(zé)人出任組長，負(fù)責(zé)協(xié)調(diào)人員和資源。其他組員則各司其職，根據(jù)平時(shí)所維護(hù)的范圍，承擔(dān)對(duì)應(yīng)設(shè)備和系統(tǒng)的應(yīng)急響應(yīng)工作。

檢測階段

圖2 Zabbix網(wǎng)絡(luò)監(jiān)控平臺(tái)示意圖

圖3 IPS設(shè)備日志

圖4 Windows服務(wù)器日志檢查

檢測是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)或者網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異?，F(xiàn)象。如果可能的話，同時(shí)確定它的影響范圍和問題原因。

從操作角度來講，事件響應(yīng)過程中的后續(xù)階段都依賴于檢測，如果沒有檢測，就不會(huì)存在真正意義上的事件響應(yīng)。檢測階段同時(shí)也是事件響應(yīng)的觸發(fā)條件。該公司日常采取的檢測手段如下。

1.利用Zabbix網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)設(shè)備及服務(wù)器進(jìn)行自動(dòng)實(shí)時(shí)狀態(tài)監(jiān)控，如果目標(biāo)出現(xiàn)狀態(tài)異常，如CPU利用率過高、網(wǎng)絡(luò)服務(wù)中斷等，則會(huì)以郵件和短信的方式向管理員報(bào)警（如圖2）。

2.每周管理員會(huì)提取防火墻和IPS設(shè)備上的日志，對(duì)整體運(yùn)行情況進(jìn)行匯總分析，及時(shí)發(fā)現(xiàn)安全隱患點(diǎn)并及時(shí)整改（如圖3）。

3.服務(wù)器日志檢查。管理員每天登錄服務(wù)器，檢查事件查看器中的系統(tǒng)和安全日志信息，如安全日志中異常登錄時(shí)間、未知用戶登錄等，同時(shí)檢查%WinDir%System32LogFiles目錄下的相關(guān)日志，分析是否有異常行為發(fā)生（如圖4）。

4.進(jìn)程檢查。管理員每天登錄服務(wù)器，檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)正在運(yùn)行。可以通過服務(wù)器上的Windows任務(wù)管理器檢查當(dāng)前運(yùn)行的進(jìn)程（如圖 5）。

5.網(wǎng)絡(luò)連接檢查。如果在應(yīng)用和服務(wù)的層面上無法檢測出問題，則需要對(duì)網(wǎng)絡(luò)層面進(jìn)行檢查，可以利用netstat -an命令檢查網(wǎng)絡(luò)連接以及端口開放情況（如圖 6）。

某天，網(wǎng)絡(luò)管理人員突然收到Zabbix報(bào)警短信，提示某業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)丟包嚴(yán)重，丟包率高達(dá)40%，業(yè)務(wù)人員也反映系統(tǒng)查詢、更新等操作特別緩慢。公司立即啟用應(yīng)急響應(yīng)預(yù)案，協(xié)調(diào)相關(guān)人員處理該問題。通過查看Zabbix監(jiān)控系統(tǒng)，該服務(wù)器除了丟包率高以外，其他性能指標(biāo)均正常。登錄服務(wù)器查看其服務(wù)狀態(tài)，也都沒有問題，這說明問題出現(xiàn)在網(wǎng)絡(luò)層。網(wǎng)絡(luò)管理人員查看Windows任務(wù)管理器里的網(wǎng)絡(luò)利用率，發(fā)現(xiàn)利用率高達(dá)80%以上，很顯然，丟包率高正是由于網(wǎng)絡(luò)鏈路阻塞所導(dǎo)致的。

為了找出網(wǎng)絡(luò)鏈路阻塞的“元兇”，網(wǎng)絡(luò)管理人員使用netstat -an命令查看服務(wù)器的TCP連接情況，發(fā)現(xiàn)有不少外網(wǎng)IP與本服務(wù)器建立了TCP連接，但是該服務(wù)器本來就發(fā)布在外網(wǎng)，供外網(wǎng)用戶使用，這種情況也屬正常。但是從目的端口分布來看，有大量外網(wǎng)IP與服務(wù)器的22222和23456端口通信，這種現(xiàn)象就不太正常了，因?yàn)樵摲?wù)器提供Web服務(wù)和SQL Server數(shù)據(jù)庫服務(wù)，正常用戶訪問應(yīng)用系統(tǒng)，應(yīng)該只與80和1433端口進(jìn)行通信，如果有外網(wǎng)IP與服務(wù)器其他端口持續(xù)通信，那么很可能是木馬程序造成的。

圖5 Windows服務(wù)器進(jìn)程檢查

圖6 Windows服務(wù)器網(wǎng)絡(luò)連接檢查

通過查詢相關(guān)資料，22222和23456這兩個(gè)端口是Prosiak和Evil FTP兩種木馬常用的端口，至此，通過檢測已經(jīng)可以確定，該服務(wù)器感染了木馬，外部的攻擊主機(jī)正是利用木馬程序持續(xù)對(duì)服務(wù)器發(fā)起DDoS攻擊，耗盡服務(wù)器帶寬資源，造成業(yè)務(wù)系統(tǒng)處于癱瘓狀態(tài)，用戶也就無法正常使用系統(tǒng)。

抑制階段

該階段是安全事件響應(yīng)的第三個(gè)階段，是一種過渡或者暫時(shí)性的措施，它的目的是限制攻擊行為所波及的范圍，同時(shí)也為了限制潛在的損失。所有的抑制活動(dòng)都是建立在能正確檢測事件的基礎(chǔ)上。抑制活動(dòng)必須結(jié)合檢測階段所發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。本案例在檢測階段已經(jīng)確定了引發(fā)安全事件的原因，現(xiàn)在就必須抑制這次DDoS攻擊。

由于IPS并未有效阻止這次攻擊，說明這次攻擊行為的特征并不在IPS設(shè)備的特征庫內(nèi)，所以IPS設(shè)備無法抑制此次DDoS攻擊。但是此次攻擊的目標(biāo)端口（22222和23456）固定，可以在防火墻上針對(duì)該服務(wù)器的TCP端口做封禁策略，把從Untrust -> Trust的訪問22222和23456端口的數(shù)據(jù)包全部封禁，這樣就能阻斷服務(wù)器上木馬程序與外界攻擊主機(jī)的通信。

通過采取抑制措施，服務(wù)器帶寬利用率恢復(fù)正常，業(yè)務(wù)應(yīng)用也恢復(fù)了正常。

根除階段

在對(duì)安全事件進(jìn)行抑制后，就需要找出事件的根源并徹底消除，以避免攻擊者再次使用相同的手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中，需要利用準(zhǔn)備階段產(chǎn)生的結(jié)果。常采取的措施包括分析原因、加強(qiáng)防范、消除根源、修改安全政策等。

本案例雖然通過防火墻端口封禁策略暫時(shí)抑制了DDoS攻擊，但是木馬程序仍然存在于服務(wù)器中，服務(wù)器仍然有被攻擊的風(fēng)險(xiǎn)，必須徹底根除隱患。

1.聯(lián)系卡巴斯基廠家，讓其提供木馬專殺工具進(jìn)行全盤木馬查殺，成功查殺若干木馬程序，徹底根除此次DDoS攻擊的根源。

2.進(jìn)行服務(wù)器操作系統(tǒng)更新，打上最新發(fā)布的補(bǔ)丁，減少操作系統(tǒng)漏洞，降低系統(tǒng)被攻擊的可能性。

3.將此次攻擊情況反饋給IPS設(shè)備廠家，督促其盡快制定出防止該類DDoS攻擊的特征庫，以便從應(yīng)用層面自動(dòng)封堵該類攻擊。

4.調(diào)整防火墻安全策略，根據(jù)“最低訪問權(quán)限”的原則實(shí)施訪問控制策略。針對(duì)該服務(wù)器的Untrust ->Trust策略，設(shè)置僅僅允許目的端口為80和1433的數(shù)據(jù)包通過，其他數(shù)據(jù)包一律封禁，這樣就能保證只有業(yè)務(wù)數(shù)據(jù)包能夠進(jìn)入內(nèi)網(wǎng)。同時(shí)，由于該服務(wù)器并不需要訪問Internet，所以將 Trust ->Untrust方向的數(shù)據(jù)包徹底封禁，防止因?yàn)樵L問惡意網(wǎng)站或者下載文件導(dǎo)致服務(wù)器感染病毒或木馬。

5.完善網(wǎng)絡(luò)管理人員操作準(zhǔn)則，禁止上傳或者下載與工作無關(guān)和來源不明的軟件到服務(wù)器，嚴(yán)禁使用服務(wù)器上網(wǎng)進(jìn)行與工作無關(guān)的事情等。

恢復(fù)階段

將安全事件的根源清除后，就進(jìn)入到恢復(fù)階段?；謴?fù)階段的目標(biāo)是把所有被攻破的系統(tǒng)或者網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài)，適當(dāng)?shù)臅r(shí)候解除前面的封鎖措施。

在本案例中，恢復(fù)階段的工作相對(duì)簡單，由于業(yè)務(wù)系統(tǒng)已經(jīng)恢復(fù)正常，為避免后臺(tái)數(shù)據(jù)遭受木馬的篡改和破壞，需要采用SQL Server中的數(shù)據(jù)回滾技術(shù)將數(shù)據(jù)恢復(fù)到故障前最近的一個(gè)時(shí)間點(diǎn)。前面抑制和根除階段所采取的措施是為了加固系統(tǒng)安全，不影響業(yè)務(wù)，所以并不需要解除。

跟進(jìn)階段

這是應(yīng)急響應(yīng)六階段方法論的最后一個(gè)階段，其目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息。該階段是最容易被忽視的階段，但是非常重要，有助于應(yīng)急響應(yīng)參與者從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)、提高技能，也有助于評(píng)判應(yīng)急響應(yīng)組織的事件響應(yīng)能力。就本次DDoS攻擊案例來說，所做工作如下。

1.對(duì)本次DDoS攻擊事件的應(yīng)急響應(yīng)工作做出評(píng)估。本次DDoS攻擊發(fā)生后，應(yīng)急響應(yīng)小組及時(shí)啟用應(yīng)急預(yù)案，10分鐘之內(nèi)即遏制了安全事件的進(jìn)一步發(fā)展，使業(yè)務(wù)系統(tǒng)恢復(fù)正常運(yùn)行，保障了系統(tǒng)數(shù)據(jù)的完整性。同時(shí)，在較短時(shí)間以內(nèi)利用多種技術(shù)手段完成了對(duì)安全威脅源頭的徹底根除，保證了業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

總之，此次應(yīng)急響應(yīng)小組成員反應(yīng)迅速，嚴(yán)格履行了公司的信息安全應(yīng)急響應(yīng)流程，采取措施有效得當(dāng)，及時(shí)化解了此次安全威脅，未給公司和用戶帶來實(shí)質(zhì)性的損失，應(yīng)急響應(yīng)機(jī)制充分發(fā)揮了作用。

2.討論遭受攻擊的原因，總結(jié)經(jīng)驗(yàn)教訓(xùn)。此次遭受攻擊的原因包括多種，如IPS設(shè)備未能檢測出此次攻擊、防火墻的Untrust區(qū)域和Trust區(qū)域的雙向安全策略過于寬松等，但是歸根結(jié)底，還是網(wǎng)絡(luò)管理人員的信息安全意識(shí)沒有到位，制定的安全策略不夠細(xì)化。

3.完善公司信息安全防護(hù)體系，補(bǔ)齊安全短板。一方面從人的角度下功夫，加強(qiáng)對(duì)網(wǎng)絡(luò)管理人員的信息安全意識(shí)和能力進(jìn)行考核，提高相關(guān)人員的信息安全意識(shí)和應(yīng)急響應(yīng)能力；另一方面考慮引入新的基于云安全、大數(shù)據(jù)分析技術(shù)的信息安全產(chǎn)品，這樣可以大幅提高防火墻、IPS等設(shè)備的攔截能力。同時(shí)可以考慮與專業(yè)的信息安全應(yīng)急響應(yīng)機(jī)構(gòu)合作，優(yōu)化公司應(yīng)急響應(yīng)體系，出現(xiàn)重大信息安全事件時(shí)，與專業(yè)機(jī)構(gòu)合作處理，提高公司應(yīng)急響應(yīng)的水平。