九维团队-青队（处置）| 《事件响应和计算机取证》之为不可避免的事件做好准备（一）

自本书的第二版出版以来，网络犯罪的世界已经迅速发展。攻击者的方法和工具不仅发生了变化，而且被攻陷的系统和应用程序的类型也发生了变化。除了网络犯罪的演变之外，我们用于执行事件响应的工具、方法和学科也发生了变化。

然而，一些组织对网络犯罪采取了一种懒散、甚至鲁莽的立场。有些人选择忽视这些问题，接受风险或将网络犯罪归为业务成本。其他人则选择花费大量的钱在他们认为会解决问题的解决方案上，对细节关注甚少。最后，有些人指责政府没有保护他们。但是，正如已故的科学传播者卡尔·萨根所说：“......我们越可能认为解决方案来自外部，我们就越不可能自己解决问题。” 本书是我们尝试帮助您成为解决方案的一部分。

为了使本书有用，您需要了解什么构成事件，什么是事件响应，我们现在身处何处以及为什么您应该关注。在本章中，我们讨论这些主题，接着是两个案例研究，帮助将这些问题与真实世界的事件联系起来。

国家标准与技术研究院（NIST）计算机安全资源中心（CSRC）在《计算机安全事故处理指南》（Special Publication 800-61）中定义了事件和事故。一个事件被简单地描述为“系统或网络中的任何可观察发生”，而事故被定义为“违反或威胁违反计算机安全政策、可接受使用政策或标准安全实践”。

GO GET IT ON THE WEBcsrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf

*左右滑动查看更多

大量的政府机构、合作伙伴组织、承包商和支持企业都有IT安全部门，他们依靠NIST指南制定内部政策。虽然有必要注意这些定义的存在，但无论它们是否适用于您的组织，对于我们的目的来说，它们都没有描述潜在事件的各种技术方面。

在本书的第二版中，我们将计算机安全事故定义为“涉及计算机系统或计算机网络的任何非法、未经授权或不可接受的行为”。然后，我们提供了一些示例，例如窃取商业机密、电子邮件垃圾邮件、未经授权或非法侵入计算机系统以及侵吞公款。这仍然是一个很好的定义。

但是，行业已经发生了变化，"事故"的定义也需要随之变化。我们希望将这个定义扩展到“涉及计算机系统、手机、平板电脑和任何其他具有操作系统或在计算机网络上运行的电子设备的任何非法、未经授权或不可接受的行为。”由于我们的世界的互联互通性质，这个扩展的定义是必要的。汽车、电视、Xbox，甚至冰箱和烤面包机现在都有连接到互联网的能力。这意味着这些设备现在都是网络犯罪分子的潜在目标。

重要的是要理解不同的组织可能会有自己的“事件”定义。不同级别的事件会有不同的响应，取决于级别。定义事件和预期响应是成熟安全组织的一部分。作为定义的一部分，我们还建议您查阅定义计算机犯罪的当地法律。在美国，美国法典第18章第1030节定义了联邦计算机犯罪。另一个好的参考资料是美国司法部的手册，标题为“起诉计算机犯罪”。

在网络上获取：

www.law.cornell.edu/uscode/text/18/1030www.justice.gov/criminal/cybercrime/docs/ccmanual.pdf

*左右滑动查看更多

Incident Response 是一种协调和有结构的方法，从事件检测到解决。Incident Response 可能包括以下活动：

•确认是否发生了事件

•提供快速检测和控制

•确定和记录事件的范围

•防止不协调、非协同的响应

•确定和促进事实和实际信息

•最小化对业务和网络运营的干扰

•将对受影响的组织的损害降到最低

•恢复正常运营

•管理事件的公众印象

•允许对肇事者采取刑事或民事诉讼

•教育高级管理人员

•加强受影响实体在未来发生的事件中的安全姿态

事件响应的活动和团队成员将根据事件响应的目标而不同。事件响应的目标可能因事件的严重性、受害者的需求、受害者的事件响应方法、事件的时间、攻击组的意图（如果已知）、所影响的行业或客户以及高管支持事件响应而有所不同。

一般来说，事件响应包括一个确定发生了什么并进行损害评估的调查团队、一个将攻击者从环境中移除并增强受害者的安全姿态的治理团队以及某种形式的公共关系（针对高级管理人员、内部员工、业务伙伴或公众）。

计算机入侵比以往任何时候都要复杂。正如本章后面提供的两个案例研究所示，企业环境的妥协不再仅限于少量系统。计算机安全事件现在可能涉及到分布在世界各地的数百个被攻击系统，其中一些可能与被攻击机构无关，例如攻击者经常通过这些跳跃点连接以掩盖其实际位置。精明的攻击者不仅利用网络配置的错误在受害公司中造成混乱；他们还获取网络设备的访问权限并修改访问控制列表（ACL），以便为自己提供对受限区域的访问权限。

精明的攻击者使用旨在破坏标准安全防御的恶意软件。恶意代码不能再被视为特定于操作系统；相反，编写在统一语言（例如Java）中的恶意代码可以在部署适当的特定于操作系统的恶意软件之前识别底层操作系统。恶意软件作者花费更多的时间研究反取证技术，特别是在执行仅在内存中和虚拟环境检测时，来阻挠取证和恶意软件分析技术。最后，精明的攻击者了解我们用来调查其恶意活动的许多技术，因此他们转变策略，以融入合法的系统和网络活动。这使我们的工作更加困难，也增加了执行全面事件响应的成本和时间。

用于执行事件响应的工具、方法和学科已经发生了变化，就像正在调查的事件类型一样发生了变化。事件响应团队现在必须比以往更快地完成其活动，并跨更多种类和数量的系统进行操作，因此在调查工具中，可扩展性、自动化和OS支持的多样性变得越来越重要。

调查行业正在朝向允许调查人员“描述”他们正在寻找的恶意活动类型，并在环境中的所有系统上搜索该活动的工具，而不是一次仅在一个系统上搜索。这些相同的工具实现了自动化，例如对内存中加载的文件进行哈希、验证数字证书以及收集有关恶意软件使用的许多常见持久性机制的数据等其他有用的自动化。现代计算环境打破了地理障碍，这意味着调查工具必须能够执行其分析，而不考虑地理位置。这也意味着大部分调查活动必须能够在远程执行，并且必须能够处理缓慢和不可靠的网络连接。

调查工具需要允许自动化。现代计算环境打破了地理障碍，这意味着调查工具必须能够执行其分析，而不考虑地理位置。这也意味着大部分调查活动必须能够在远程执行，并且必须能够处理缓慢和不可靠的网络连接。最后，调查工具需要允许分析人员进行快速而深入的远程检查。我们通常将这种类型的分析称为现场响应。现场响应在概念上与取证分析相同，但是在现场响应中，分析是在现场系统上而不是在取证映像上执行的。

执行事件响应所使用的工具、方法和学科已经发生了变化的另一个原因是被调查的系统和应用程序的类型发生了变化。系统的存储容量比以往任何时候都要多，因此在大型事件中捕获可疑被攻击系统的位到位取证映像是费时且困难的。组织记录的数据比以往任何时候都要多，事件响应人员现在需要了解如何规范化、解析和理解大量的数据。应用程序变得更加复杂，要求事件响应人员与主题专家（SME）进行交互，以确保不会忽略恶意活动。最后，事件响应不仅仅需要IT和安全社区；有效地处理事件需要许多商业学科，包括法律、公共关系、财务、市场营销和人力资源。

实际上，由于法律和公共关系（PR）因素进入事件响应方程式，我们在我们的领域中看到了另一个不断增长的挑战。许多组织发现自己紧密地绑定在“机密性、完整性和可用性”（CIA）的概念上，希望保持其服务的运行和可访问性，并最小化进一步妥协的风险。

随着法律和公共关系部门努力将法律责任和“品牌”损害最小化，我们看到越来越多的倾向于快速断开被怀疑受到攻击或感染的计算机与网络的连接，并快速重建或擦除它们。尽管这样的行动是可以理解的，并且有时是必要的，但这成为了响应者的教育问题。在维护CIA的最佳行动方案是什么，同时保留可能是识别罪犯甚至其他受害者的唯一途径的证据和线索？这就是及时响应和有效、高效的工具对于保存易失性数据至关重要的地方。

本书中我们所谈论的许多概念可能与传统方法相矛盾。但请考虑，一些科学和技术的最新进展与传统智慧相违背。例如，最近在心脏病发作后冷却一个人的身体的做法。奇怪的是，希波克拉底在2000多年前就发现了这种技术。尽管这听起来不可靠和危险，但科学和现实结果表明，这种方法比传统方法更有效地挽救生命。同样，本书中我们讨论的方法起初可能听起来不明智，但我们的经验表明它们是有效的。

👉 许多组织发现自己紧密地绑定在“机密性、完整性和可用性”（CIA）的概念上，希望保持其服务的运行和可访问性，并最小化进一步妥协的风险。随着法律和公共关系部门努力将法律责任和“品牌”损害最小化，我们看到越来越多的倾向于快速断开被怀疑受到攻击或感染的计算机与网络的连接，并快速重建或擦除它们。尽管这样的行动是可以理解的，并且有时是必要的，但这成为了响应者的教育问题。