火速救援之正确识别系统入侵事件
系统被入侵是一件非常严重的事情,要想在系统入侵后能够成功阻止攻击者进一步的入侵行为,以及能够尽快恢复系统到正常状态,这就要求我们能够及时正确地识别出系统入侵事件的发生。
为此,我们必需事先采取一些必要的措施,来帮助我们及时做出正确的判断。这些必要措施包括使用相应的工具和方法来发现和记录系统入侵行为,以及使用相应的工具或方法来及时识别系统入侵事件的真假,并对系统入侵事件的严重程度做出正确的判断。
一、完成有利于发现和记录系统入侵行为、加快系统恢复的安全设置
1、开启操作系统自有的审核功能
对于Windows 系统,我们可以通过在“开始”—“运行”框中输入“gpedit.msc”命令来启动组策略编辑器。在组策略编辑器中打开“计算机配置”—“windows设置”—“安全设置”—“本地策略”—“审核策略”,然后开启审核成功的登录事件、审核成功的对象访问、审核成功的特殊使用,还可以开启审核成功的帐户登录事件和成功的帐户管理事件。开启这些系统审核功能后,通过按时查看这些审核功能产生的日志,可以了解系统中是否存在非授权的帐户登录事件,以及这些帐户对系统中哪些对象进行了什么样的操作等信息,也就可以了解系统是否已经被入侵或发生了入侵行为。
2、在系统中安装防火墙
现在,一些主流的主机型防火墙能够防止大部分的网络攻击行为,同时会将攻击行为记录到相应的日志文件当中,并且,有些防火墙还会将每天的网络连接活动全部记录到相应的日志文件中。我们可以通过定期查看这些防火墙日志文件,来了解某个时期系统受到了什么样的网络攻击,以及查看某个时期的网络连接情况是否异常,来确定是否发生了系统入侵事件。
3、在系统中安装入侵检测系统(IDS)
基于主机的入侵检测系统(IDS),例如SNORT,能够对进入本机的所有网络流量进行检测,然后与自身的攻击特征库进行对比,当检测到恶意的网络流量或攻击活动时,就会按设定的方式发出警报,并将这些内容记录到相应的日志文件当中。我们在通过IDS的警报发现系统入侵事件的同时,还应当分析此警报产生的日志文件内容来确定这个警报是否是真实的系统入侵事件,以及入侵事件的严重程度。以减少IDS误报带来的错误事件响应,以及正确了解系统入侵事件的严重程度,为后续的系统恢复工作确定正确的恢复方法,以便能及时快速地恢复系统。
而且,通过分析IDS的日志文件,可以找到攻击者的入侵攻击途径,以及攻击者进行的攻击行为,由此可以让我们了解系统被入侵的主要原因是什么,以便能在恢复系统后及时修补这些带来系统入侵行为的漏洞,防止这类入侵事件的发生。
4、在系统中安装系统监控和网络监控软件
在系统中安装系统监控件,能够让我们实时了解到系统中正在运行的服务和进程的状况,以便能及时发现系统中的异常服务或系统进程,并确认是否是攻击者入侵系统后安装的后门程序。同样,在系统中安装网络监控软件,也就是用来了解与系统中实时的网络连接状况,以便能及时发现异常的网络连接和打开的端口。对于普通用户来说,雪源梅香认为使用360安全卫士“常用”页中的“系统全面诊断”可以了解到当前系统中运行的服务、进程和加载的模块,通过其“高级”页中的“网络连接状况”就可以完成监控当前网络连接状态的任务。
5、将所有日志文件保存到其它存储设备上
现在,大多数的攻击者在入侵系统之后,在离开系统时都会使用软件或命令修改系统、防火墙和IDS等日志文件中的内容,有的甚至会将这些日志文件全部删除,以防止有户发现他们的行踪。因此,为了保证我们能从这些日志文件中得到可靠的信息,就必需将它们同步保存到有硬件防火墙保护的专门的存储设备中。同时,要设置这些备份的日志文件只能以只读的方式打开,并且不能被复制、修改和删除。
另外,如果日志文件体积比较大,可以在同步备份的同时进行压缩。同样,由于日志文件的内容太多,通过手工的查找的方式很难找到必要的信息,因此,我们可以通过一些自动化日志分析软件,按设定的时间定期对日志文件进行分析,以便能及时发现系统入侵事件。
6、对系统和系统中的重要服务及数据进行备份
通常,中小企业由于成本控制的需要,不可能建立一套与现行系统相似的冗余系统,而系统和数据备份是恢复被入侵系统和数据到某个特定时期最佳、最快的方式,也是减少损失最好的方法。因此,我们必需对系统和系统中的重要数据建立相应的备份。
对于系统或系统中不经常改变状态或数据的内容,可以建立一个完全备份,对于每天都会更改的数据,在建立完全备份的同时,还应当进行每日的增量备份。如果完全备份的对象某个时候发现改变,例如安装了新软件,重新设置了系统安全选项,更新了系统或软件补丁包,就应当对这些内容重新做一次完全备份,新的完全备份应当与旧的完全备份分开存储。
至于备份存储的媒介,可以是同一网络中的处于防火墙保护下的网络存储设备,也可以将固定不变的完全备份刻录到光盘中和磁带中,将增量备份记录到磁带或其它质量可靠的移存储媒介中,还可以对最重要的数据进行异地备份,或将磁带和光盘保存到另一个地方,以防止自然灾害和人为的丢失和损坏备份。无论备份保存在什么媒介上,存放在什么位置,都应当按日期和内容进行编号分开存储,并且,还应当定期对备份进行检查,以确保在需要时保证这些备份是可用的。
但是,如果当我们发现系统被入侵时,系统已经被黑客控制了相当长的一段时间,那么,在这段时间内产生的系统或数据的全盘备份,就有可能包括了攻击者对系统和数据做的修改,也就不能再被信任。这样系统或数据就不可能恢复到最近的时期,势必就会带来相应的损失,这也就是为什么要及时发现系统被入侵的主要原因之一。
7、准备一些必要的工具。
在对计算机进行系统入侵阻止和恢复的过程中,为了提高事件处理的速度和效率,还可能会使用到其它的第三方软件,例如文件完整性检测软件,弱点检测软件等等,我们应当根据自身的实际需求,来准备这些软件,并将它们保存到移动存储设备上妥善保管,以便在发现系统入侵事件后能够立即使用。
二、及时识别系统入侵事件及其真假,并迅速判断入侵事件的严重程度
要想成功阻止系统入侵行为,有效恢复系统到正常运行状态,最大限度地减少入侵损失,有两个重要的因素非常关键:其一就是能及时识别系统发生了入侵事件,以及能正确分辨出入侵事件的真假,确定入侵事件发生的具体时间。其二就是能迅速判断系统入侵事件影响的范围,造成损失的严重程度,以及能对入侵事件按损失的严重程度进行分类。
假如我们没有对系统入侵事件做好准备工作,而且也没有实时监控系统的运行和网络连接状态,那么,就不可能及时发现系统入侵事件。
因此,在系统正常运行过程当中,我们必需不断对系统的运行状态进行实时的监控和分析:
(1)查看系统中当前运行的系统服务和进程是否正常;
(2)查看与系统建立的网络连接是否正常;
(3)对系统文件和数据进行完整性检测,前提是已经建立了文件的完整性档案;
(4)检查系统帐户状态及权限;
(5)检查系统资源利用状况,以及手工或日志实时监控软件的方式来实时分析系统、防火墙、IDS等安全软件的日志文件等方法,来确定系统目前的运行状况是否正常。
所有的这些方法都是及时发现系统是否已经被入侵的的方法,我们应当按时对系统做这样的一次全面检查,甚至可以通过弱点检测软件对系统进行全面的弱点检测,以快速了解系统的安全状况。
当系统入侵被正确确认后,接下来要做的就是通过手工分析的方式来确定入侵事件的真实性。这是由于我们得到系统被入侵的警报是通过安装在系统上的防火墙或IDS/IPS来获取的,由于这些软件本身存在对入侵事件有误报的可能。因此,为了减少由于误报而产生的不必要的系统入侵事件处理,就必需在发现系统被入侵的同时,确认其真实性。
同样,在确定系统确实被入侵了以后,就应当着手分析此次系统入侵事件发现的具体时间,确定受损的范围和严重程度。明确了系统被入侵的具体时间,才有可能知道攻击者是利用什么漏洞入侵系统的,才有可能知道应当检测系统哪些方面,才有可能知道应当将系统恢复到什么时候,才能确定什么时候的备份是有效的。只有确定了系统入侵受损的范围,才有可能知道系统中的哪些数据被损坏,需要恢复什么,才有可能知道应当立即隔离或备份什么数据,才有可能确定系统入侵事件的严重程度。也只有对系统入侵事件的严重程度进行了分类,才知道按什么方式向上级领导进行报告,才能让企业领导做出正确的处理决定。只有确定了系统入侵事件受损的范围和严重程度,我们在后面进行的系统入侵处理过程中,才知道用什么方式去应对此次入侵事件是最快速、最经济和最有效的。
通常,我们还应当按攻击者入侵系统的目的,对系统入侵事件按下列方式分成四个大的类别,这样,能让我们在后面的入侵事件处理过程当中,知道需要以恢复什么样的内容为主要目的。
1、以控制系统为目的的入侵事件;
2、以得到系统中机密数据为目的的入侵事件;
3、以破坏系统中机密数据为目的的入侵事件;
4、以破坏系统为目的的入侵事件;
不管怎么样,上面所述的这两个方面在系统入侵处理进行之前,都必需按要求完成的。我们不能等到系统入侵事件发生后,才想到应该怎么去做。这样,一切都已经晚了,而且,即使做得再好也不可能达到最好的恢复效果。
