應急響應處理流程

應急響應研究領域目前最被廣為接受的流程是PDCERF方法學，該方法學將應急響應整個流程劃分為準備（Preparing）、檢測（Detection）、抑制（Control）、根除（Eradicate）、恢復（Restore）和跟進（Follow）六個階段。在實際應急響應過程中，也不一定嚴格存在這六個階段，也不一定嚴格按照這六個階段的順序進行，但是PDCERF是目前適應性較強的應急響應的通用方法學。下面結合一個實際案例，對這六個階段分別予以介紹。

案例背景

圖1 公司內部網絡架構圖

某公司自有數據中心擁有近百臺服務器，服務器上部署有各類業務系統提供給用戶使用，其中部分服務器與Internet隔離，僅僅為內部用戶提供服務，而另外一部分服務器則利用NAT端口映射技術開放給外部用戶使用。為保障Internet接入的穩定性，公司引入了聯通和電信兩條Internet線路，其中聯通線路帶寬為100Mbps，屬于主用線路；電信線路帶寬為20Mbps，屬于備用線路。公司對于信息安全十分重視，不僅在Internet出口網關處部署了防火墻（Juniper ISG2000）、IPS（啟明星辰NIPS-3060）等安全設備，以防范來自Internet的網絡安全威脅，而且對于內網的管控也相當嚴格，員工電腦都安裝了企業級殺毒軟件，而且在全網范圍內部署了準入控制相關產品，不符合安全策略的主機將無法接入網絡。同時，員工辦公電腦的USB接口、光驅等都被禁止使用，以防U盤、光盤等外來介質給內網帶來病毒感染的威脅。整個公司內部網絡架構是典型的“核心—匯聚—接入”三層架構，如下圖1所示。

為了保障業務連續性，提升信息安全應急響應能力，公司內部參照PDCERF流程建立了較為完善的信息安全應急響應機制，范圍包含服務器、網絡、業務系統等多個方面。本文以“服務器遭受DDoS拒絕服務攻擊”事件為例，來介紹該公司的應急響應流程。

準備階段

準備階段是信息安全事件響應的第一個階段，即在事件真正發生前為事件響應做好準備。這一階段極為重要，因為事件發生時很可能需要在短時間內處理較多的事務，如果沒有做好足夠的準備工作，那么將很難及時地完成響應工作。該公司在攻擊事件發生前，做了相應的準備工作，主要有如下幾點。

1.為防止病毒的侵害，該服務器安裝了卡巴斯基企業版殺毒軟件，并定時自動升級病毒庫。

2.為防止業務數據的丟失，每天晚上都會通過自動備份軟件，將服務器上的數據備份到異地的備份服務器上。

3.由于該服務器發布 在 Internet上，為 防止來自Internet的網絡攻 擊，在 Internet出 口網關處部署了防火墻和IPS，配置了相對嚴格的Untrust -> Trust區域的訪問控制策略，同時保證IPS設備的特征庫定時更新，以抵御更多種類的網絡攻擊。

4.建立了針對服務器遭受攻擊時的應急響應預案，每半年組織相關人員開展一次應急演練活動。

5.建立支持安全事件響應活動的管理體系，為應急響應提供足夠的資源和人員。公司成立了信息安全應急響應處理小組，由IT部門負責人出任組長，負責協調人員和資源。其他組員則各司其職，根據平時所維護的范圍，承擔對應設備和系統的應急響應工作。

檢測階段

圖2 Zabbix網絡監控平臺示意圖

圖3 IPS設備日志

圖4 Windows服務器日志檢查

檢測是指以適當的方法確認在系統或者網絡中是否出現了惡意代碼、文件和目錄是否被篡改等異?，F象。如果可能的話，同時確定它的影響范圍和問題原因。

從操作角度來講，事件響應過程中的后續階段都依賴于檢測，如果沒有檢測，就不會存在真正意義上的事件響應。檢測階段同時也是事件響應的觸發條件。該公司日常采取的檢測手段如下。

1.利用Zabbix網絡監控系統對設備及服務器進行自動實時狀態監控，如果目標出現狀態異常，如CPU利用率過高、網絡服務中斷等，則會以郵件和短信的方式向管理員報警（如圖2）。

2.每周管理員會提取防火墻和IPS設備上的日志，對整體運行情況進行匯總分析，及時發現安全隱患點并及時整改（如圖3）。

3.服務器日志檢查。管理員每天登錄服務器，檢查事件查看器中的系統和安全日志信息，如安全日志中異常登錄時間、未知用戶登錄等，同時檢查%WinDir%System32LogFiles目錄下的相關日志，分析是否有異常行為發生（如圖4）。

4.進程檢查。管理員每天登錄服務器，檢查是否存在未被授權的應用程序或服務正在運行。可以通過服務器上的Windows任務管理器檢查當前運行的進程（如圖 5）。

5.網絡連接檢查。如果在應用和服務的層面上無法檢測出問題，則需要對網絡層面進行檢查，可以利用netstat -an命令檢查網絡連接以及端口開放情況（如圖 6）。

某天，網絡管理人員突然收到Zabbix報警短信，提示某業務服務器網絡丟包嚴重，丟包率高達40%，業務人員也反映系統查詢、更新等操作特別緩慢。公司立即啟用應急響應預案，協調相關人員處理該問題。通過查看Zabbix監控系統，該服務器除了丟包率高以外，其他性能指標均正常。登錄服務器查看其服務狀態，也都沒有問題，這說明問題出現在網絡層。網絡管理人員查看Windows任務管理器里的網絡利用率，發現利用率高達80%以上，很顯然，丟包率高正是由于網絡鏈路阻塞所導致的。

為了找出網絡鏈路阻塞的“元兇”，網絡管理人員使用netstat -an命令查看服務器的TCP連接情況，發現有不少外網IP與本服務器建立了TCP連接，但是該服務器本來就發布在外網，供外網用戶使用，這種情況也屬正常。但是從目的端口分布來看，有大量外網IP與服務器的22222和23456端口通信，這種現象就不太正常了，因為該服務器提供Web服務和SQL Server數據庫服務，正常用戶訪問應用系統，應該只與80和1433端口進行通信，如果有外網IP與服務器其他端口持續通信，那么很可能是木馬程序造成的。

圖5 Windows服務器進程檢查

圖6 Windows服務器網絡連接檢查

通過查詢相關資料，22222和23456這兩個端口是Prosiak和Evil FTP兩種木馬常用的端口，至此，通過檢測已經可以確定，該服務器感染了木馬，外部的攻擊主機正是利用木馬程序持續對服務器發起DDoS攻擊，耗盡服務器帶寬資源，造成業務系統處于癱瘓狀態，用戶也就無法正常使用系統。

抑制階段

該階段是安全事件響應的第三個階段，是一種過渡或者暫時性的措施，它的目的是限制攻擊行為所波及的范圍，同時也為了限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上。抑制活動必須結合檢測階段所發現的安全事件的現象、性質、范圍等屬性，制定并實施正確的抑制策略。本案例在檢測階段已經確定了引發安全事件的原因，現在就必須抑制這次DDoS攻擊。

由于IPS并未有效阻止這次攻擊，說明這次攻擊行為的特征并不在IPS設備的特征庫內，所以IPS設備無法抑制此次DDoS攻擊。但是此次攻擊的目標端口（22222和23456）固定，可以在防火墻上針對該服務器的TCP端口做封禁策略，把從Untrust -> Trust的訪問22222和23456端口的數據包全部封禁，這樣就能阻斷服務器上木馬程序與外界攻擊主機的通信。

通過采取抑制措施，服務器帶寬利用率恢復正常，業務應用也恢復了正常。

根除階段

在對安全事件進行抑制后，就需要找出事件的根源并徹底消除，以避免攻擊者再次使用相同的手段攻擊系統，引發安全事件。在根除階段中，需要利用準備階段產生的結果。常采取的措施包括分析原因、加強防范、消除根源、修改安全政策等。

本案例雖然通過防火墻端口封禁策略暫時抑制了DDoS攻擊，但是木馬程序仍然存在于服務器中，服務器仍然有被攻擊的風險，必須徹底根除隱患。

1.聯系卡巴斯基廠家，讓其提供木馬專殺工具進行全盤木馬查殺，成功查殺若干木馬程序，徹底根除此次DDoS攻擊的根源。

2.進行服務器操作系統更新，打上最新發布的補丁，減少操作系統漏洞，降低系統被攻擊的可能性。

3.將此次攻擊情況反饋給IPS設備廠家，督促其盡快制定出防止該類DDoS攻擊的特征庫，以便從應用層面自動封堵該類攻擊。

4.調整防火墻安全策略，根據“最低訪問權限”的原則實施訪問控制策略。針對該服務器的Untrust ->Trust策略，設置僅僅允許目的端口為80和1433的數據包通過，其他數據包一律封禁，這樣就能保證只有業務數據包能夠進入內網。同時，由于該服務器并不需要訪問Internet，所以將 Trust ->Untrust方向的數據包徹底封禁，防止因為訪問惡意網站或者下載文件導致服務器感染病毒或木馬。

5.完善網絡管理人員操作準則，禁止上傳或者下載與工作無關和來源不明的軟件到服務器，嚴禁使用服務器上網進行與工作無關的事情等。

恢復階段

將安全事件的根源清除后，就進入到恢復階段?；謴碗A段的目標是把所有被攻破的系統或者網絡設備還原到它們正常的任務狀態，適當的時候解除前面的封鎖措施。

在本案例中，恢復階段的工作相對簡單，由于業務系統已經恢復正常，為避免后臺數據遭受木馬的篡改和破壞，需要采用SQL Server中的數據回滾技術將數據恢復到故障前最近的一個時間點。前面抑制和根除階段所采取的措施是為了加固系統安全，不影響業務，所以并不需要解除。

跟進階段

這是應急響應六階段方法論的最后一個階段，其目標是回顧并整合發生事件的相關信息。該階段是最容易被忽視的階段，但是非常重要，有助于應急響應參與者從安全事件中吸取經驗教訓、提高技能，也有助于評判應急響應組織的事件響應能力。就本次DDoS攻擊案例來說，所做工作如下。

1.對本次DDoS攻擊事件的應急響應工作做出評估。本次DDoS攻擊發生后，應急響應小組及時啟用應急預案，10分鐘之內即遏制了安全事件的進一步發展，使業務系統恢復正常運行，保障了系統數據的完整性。同時，在較短時間以內利用多種技術手段完成了對安全威脅源頭的徹底根除，保證了業務系統的正常運轉。

總之，此次應急響應小組成員反應迅速，嚴格履行了公司的信息安全應急響應流程，采取措施有效得當，及時化解了此次安全威脅，未給公司和用戶帶來實質性的損失，應急響應機制充分發揮了作用。

2.討論遭受攻擊的原因，總結經驗教訓。此次遭受攻擊的原因包括多種，如IPS設備未能檢測出此次攻擊、防火墻的Untrust區域和Trust區域的雙向安全策略過于寬松等，但是歸根結底，還是網絡管理人員的信息安全意識沒有到位，制定的安全策略不夠細化。

3.完善公司信息安全防護體系，補齊安全短板。一方面從人的角度下功夫，加強對網絡管理人員的信息安全意識和能力進行考核，提高相關人員的信息安全意識和應急響應能力；另一方面考慮引入新的基于云安全、大數據分析技術的信息安全產品，這樣可以大幅提高防火墻、IPS等設備的攔截能力。同時可以考慮與專業的信息安全應急響應機構合作，優化公司應急響應體系，出現重大信息安全事件時，與專業機構合作處理，提高公司應急響應的水平。