正確識別系統入侵事件

系統被入侵是一件非常嚴重的事情,要想在系統入侵後能夠成功阻止攻擊者進一步的入侵行為,以及能夠儘快恢復系統到正常狀態,這就要求我們能夠及時正確地識別出系統入侵事件的發生。

為此,我們必需事先採取一些必要的措施,來幫助我們及時做出正確的判斷。這些必要措施包括使用相應的工具和方法來發現和記錄系統入侵行為,以及使用相應的工具或方法來及時識別系統入侵事件的真假,並對系統入侵事件的嚴重程度做出正確的判斷。

一、完成有利於發現和記錄系統入侵行為、加快系統恢復的安全設置

1、開啟作業系統自有的審核功能
對於Windows 系統,我們可以通過在「開始」—「運行」框中輸入「gpedit.msc」命令來啟動群組原則編輯器。在群組原則編輯器中打開「電腦配置」—「windows設置」—「安全設置」—「本地策略」—「稽核原則」,然後開啟審核成功的登錄事件、審核成功的物件訪問、審核成功的特殊使用,還可以開啟審核成功的帳戶登錄事件和成功的帳戶管理事件。開啟這些系統審核功能後,通過按時查看這些審核功能產生的日誌,可以瞭解系統中是否存在非授權的帳戶登錄事件,以及這些帳戶對系統中哪些物件進行了什麼樣的操作等信息,也就可以瞭解系統是否已經被入侵或發生了入侵行為。

2、在系統中安裝防火牆
現在,一些主流的主機型防火牆能夠防止大部分的網路攻擊行為,同時會將攻擊行為記錄到相應的日誌檔當中,並且,有些防火牆還會將每天的網路連接活動全部記錄到相應的日誌檔中。我們可以通過定期查看這些防火牆日誌檔,來瞭解某個時期系統受到了什麼樣的網路攻擊,以及查看某個時期的網路連接情況是否異常,來確定是否發生了系統入侵事件。

3、在系統中安裝入侵偵測系統(IDS)
基於主機的入侵偵測系統(IDS),例如SNORT,能夠對進入本機的所有網路流量進行檢測,然後與自身的攻擊特徵庫進行對比,當檢測到惡意的網路流量或攻擊活動時,就會按設定的方式發出警報,並將這些內容記錄到相應的日誌檔當中。我們在通過IDS的警報發現系統入侵事件的同時,還應當分析此警報產生的日誌檔內容來確定這個警報是否是真實的系統入侵事件,以及入侵事件的嚴重程度。以減少IDS誤報帶來的錯誤事件回應,以及正確瞭解系統入侵事件的嚴重程度,為後續的系統恢復工作確定正確的恢復方法,以便能及時快速地恢復系統。 而且,通過分析IDS的日誌檔,可以找到攻擊者的入侵攻擊途徑,以及攻擊者進行的攻擊行為,由此可以讓我們瞭解系統被入侵的主要原因是什麼,以便能在恢復系統後及時修補這些帶來系統入侵行為的漏洞,防止這類入侵事件的發生。

4、在系統中安裝系統監控和網路監控軟體
在系統中安裝系統監控件,能夠讓我們即時瞭解到系統中正在運行的服務和進程的狀況,以便能及時發現系統中的異常服務或系統進程,並確認是否是攻擊者入侵系統後安裝的後門程式。同樣,在系統中安裝網路監控軟體,也就是用來瞭解與系統中即時的網路連接狀況,以便能及時發現異常的網路連接和打開的埠。對於普通用戶來說,雪源梅香認為使用360安全衛士「常用」頁中的「系統全面診斷」可以瞭解到當前系統中運行的服務、進程和載入的模組,通過其「高級」頁中的「網路連接狀況」就可以完成監控當前網路連接狀態的任務。

5、將所有日誌檔保存到其它存放裝置上
現在,大多數的攻擊者在入侵系統之後,在離開系統時都會使用軟體或命令修改系統、防火牆和IDS等日誌檔中的內容,有的甚至會將這些日誌檔全部刪除,以防止有戶發現他們的行蹤。因此,為了保證我們能從這些日誌檔中得到可靠的資訊,就必需將它們同步保存到有硬體防火牆保護的專門的存放裝置中。同時,要設置這些備份的日誌檔只能以唯讀的方式打開,並且不能被複製、修改和刪除。 另外,如果日誌檔體積比較大,可以在同步備份的同時進行壓縮。同樣,由於日誌檔的內容太多,通過手工的查找的方式很難找到必要的資訊,因此,我們可以通過一些自動化日誌分析軟體,按設定的時間定期對日誌檔進行分析,以便能及時發現系統入侵事件。

6、對系統和系統中的重要服務及資料進行備份
通常,中小企業由於成本控制的需要,不可能建立一套與現行系統相似的冗餘系統,而系統和資料備份是恢復被入侵系統和資料到某個特定時期最佳、最快的方式,也是減少損失最好的方法。因此,我們必需對系統和系統中的重要資料建立相應的備份。
對於系統或系統中不經常改變狀態或資料的內容,可以建立一個完全備份,對於每天都會更改的資料,在建立完全備份的同時,還應當進行每日的增量備份。如果完全備份的物件某個時候發現改變,例如安裝了新軟體,重新設置了系統安全選項,更新了系統或軟體補丁包,就應當對這些內容重新做一次完全備份,新的完全備份應當與舊的完全備份分開存儲。
至於備份存儲的媒介,可以是同一網路中的處於防火牆保護下的網路存放裝置,也可以將固定不變的完全備份燒錄到光碟中和磁帶中,將增量備份記錄到磁帶或其它品質可靠的移存儲媒介中,還可以對最重要的資料進行異地備份,或將磁帶和光碟保存到另一個地方,以防止自然災害和人為的丟失和損壞備份。無論備份保存在什麼媒介上,存放在什麼位置,都應當按日期和內容進行編號分開存儲,並且,還應當定期對備份進行檢查,以確保在需要時保證這些備份是可用的。
但是,如果當我們發現系統被入侵時,系統已經被駭客控制了相當長的一段時間,那麼,在這段時間內產生的系統或資料的全盤備份,就有可能包括了攻擊者對系統和資料做的修改,也就不能再被信任。這樣系統或資料就不可能恢復到最近的時期,勢必就會帶來相應的損失,這也就是為什麼要及時發現系統被入侵的主要原因之一。

7、準備一些必要的工具
在對電腦進行系統入侵阻止和恢復的過程中,為了提高事件處理的速度和效率,還可能會使用到其它的協力廠商軟體,例如檔完整性檢測軟體,弱點檢測軟體等等,我們應當根據自身的實際需求,來準備這些軟體,並將它們保存到移動存放裝置上妥善保管,以便在發現系統入侵事件後能夠立即使用。

二、及時識別系統入侵事件及其真假,並迅速判斷入侵事件的嚴重程度

要想成功阻止系統入侵行為,有效恢復系統到正常運行狀態,最大限度地減少入侵損失,有兩個重要的因素非常關鍵:其一就是能及時識別系統發生了入侵事件,以及能正確分辨出入侵事件的真假,確定入侵事件發生的具體時間。其二就是能迅速判斷系統入侵事件影響的範圍,造成損失的嚴重程度,以及能對入侵事件按損失的嚴重程度進行分類。

假如我們沒有對系統入侵事件做好準備工作,而且也沒有即時監控系統的運行和網路連接狀態,那麼,就不可能及時發現系統入侵事件。

因此,在系統正常運行過程當中,我們必需不斷對系統的運行狀態進行即時的監控和分析:

  1. 查看系統中當前運行的系統服務和進程是否正常。
  2. 查看與系統建立的網路連接是否正常。
  3. 對系統檔和資料進行完整性檢測,前提是已經建立了檔的完整性檔案。
  4. 檢查系統帳戶狀態及許可權。
  5. 檢查系統資源利用狀況,以及手工或日誌即時監控軟體的方式來即時分析系統、防火牆、IDS等安全軟體的日誌檔等方法,來確定系統目前的運行狀況是否正常。

所有的這些方法都是及時發現系統是否已經被入侵的的方法,我們應當按時對系統做這樣的一次全面檢查,甚至可以通過弱點檢測軟體對系統進行全面的弱點檢測,以快速瞭解系統的安全狀況。

當系統入侵被正確確認後,接下來要做的就是通過手工分析的方式來確定入侵事件的真實性。這是由於我們得到系統被入侵的警報是通過安裝在系統上的防火牆或IDS/IPS來獲取的,由於這些軟體本身存在對入侵事件有誤報的可能。因此,為了減少由於誤報而產生的不必要的系統入侵事件處理,就必需在發現系統被入侵的同時,確認其真實性。

同樣,在確定系統確實被入侵了以後,就應當著手分析此次系統入侵事件發現的具體時間,確定受損的範圍和嚴重程度。明確了系統被入侵的具體時間,才有可能知道攻擊者是利用什麼漏洞入侵系統的,才有可能知道應當檢測系統哪些方面,才有可能知道應當將系統恢復到什麼時候,才能確定什麼時候的備份是有效的。只有確定了系統入侵受損的範圍,才有可能知道系統中的哪些資料被損壞,需要恢復什麼,才有可能知道應當立即隔離或備份什麼資料,才有可能確定系統入侵事件的嚴重程度。也只有對系統入侵事件的嚴重程度進行了分類,才知道按什麼方式向上級領導進行報告,才能讓企業領導做出正確的處理決定。只有確定了系統入侵事件受損的範圍和嚴重程度,我們在後面進行的系統入侵處理過程中,才知道用什麼方式去應對此次入侵事件是最快速、最經濟和最有效的。

通常,我們還應當按攻擊者入侵系統的目的,對系統入侵事件按下列方式分成四個大的類別,這樣,能讓我們在後面的入侵事件處理過程當中,知道需要以恢復什麼樣的內容為主要目的。

  1. 以控制系統為目的的入侵事件
  2. 以得到系統中機密資料為目的的入侵事件
  3. 以破壞系統中機密資料為目的的入侵事件
  4. 以破壞系統為目的的入侵事件

不管怎麼樣,上面所述的這兩個方面在系統入侵處理進行之前,都必需按要求完成的。我們不能等到系統入侵事件發生後,才想到應該怎麼去做。這樣,一切都已經晚了,而且,即使做得再好也不可能達到最好的恢復效果。

(此篇文章為網路轉載,如有冒犯,請來信告知,當即刻移除!)