事件响应方法-蠕虫感染

来源：https://github.com/certsocietegenerale/IRM

一、准备

■为每个实体定义将参与危机单元的参与者。这些角色应该记录在一个联系人列表中，并永久保持最新。

■确保一个分析工具已经启动，功能正常(杀毒软件，IDS，日志分析器)，没有被破坏，并且是最新的。

■确保拥有你的网络架构图。

■确保有最新的资产清单。

■持续进行安全观察，并向负责安全的人员通报威胁趋势。

二、识别

2.1 检测感染

应该收集和分析来自几个来源的信息:

■杀毒日志,

■入侵检测系统，

■服务器上的可疑连接尝试，

■大量被锁账户，

■可疑的网络流量，

■防火墙中的可疑连接尝试，

■支持电话大量增加，

■高负荷或系统冻结，

■发送了大量电子邮件

如果发现了这些症状中的一个或几个，在“准备”步骤中定义的参与者将进行联系，并在必要时创建一个危机单元。

2.2识别感染

分析症状，识别蠕虫、传播媒介和对策。

可以从以下方面找到线索:

■cert的公告;

■外部支持联系人(防病毒公司等);

■安全网站(Secunia、SecurityFocus等)

通知首席信息安全官。

如有需要，请与您的CERT联系。

2.3 评估感染的范围

定义感染的边界(例如::全球性感染，局限于附属机构等)。

如果可能，确定感染的业务影响。

三、遏制

应该执行以下操作和监控的危机管理单元:

1. 断开感染区域与Internet的连接。

2. 隔离感染区域。从任何网络断开连接。

3. 对业务至关重要的流量不能断开，在确保它不能成为感染媒介或找到经过验证的规避技术后允许断开。

4. 中和传播载体。传播矢量可以是任何东西，从网络流量到软件缺陷。必须采取相应对策(补丁、流量阻塞、去功能化设备等)

例如，可以使用以下技术:

——补丁部署工具(WSUS)

——windows GPO,

——防火墙规则,

——运营过程。

5. 在感染区域的每个子区域重复步骤2到4，直到蠕虫停止扩散。如果可能，使用分析工具(防病毒控制台、服务器日志、支持调用)监控感染。

必须监控蠕虫的传播。

确保笔记本电脑、掌上电脑或移动存储器不能被蠕虫用作传播载体。如果可能的话，阻止他们所有的连接。

要求终端用户准确地遵守指令。

在这一步的最后，感染应该得到控制。

四、修复

1、识别

确定工具和补救方法。

应考虑下列资源:

-供应商修复(微软、甲骨文等)

-防病毒签名数据库-外部支持联系人-安全网站

-定义消毒过程。该流程必须通过外部结构进行验证，例如您的CERT。

2、测试

测试消毒过程，确保它能正常工作，不会破坏任何服务。

3、部署

部署消毒工具。几个选项可以使用:

-Windows WSUS -GPO

-防病毒签名部署

-手动配置

警告:一些蠕虫可以阻止一些补救部署方法。如果是这样，就必须找到一个变通办法。

补救进度应由危机单元进行监控。

五、恢复

确认前面的步骤都已正确完成，并得到管理部门的批准，然后再进行下一步操作。

1. 重新打开蠕虫用作传播方法的网络流量。

2. 重新连接子区域

3. 将移动笔记本电脑重新连接到该区域

4. 重新连接该区域到您的本地网络

5. 重新连接该区域到互联网

所有这些步骤都应循序渐进，并由危机小组进行技术监督。

六、之后

报告

应编写一份危机报告，并向危机管理单元的所有参与者提供。

应说明下列主题:

-感染的最初原因

-每个重要事件的行动和时间表

-什么做对了

-出了什么问题?

-事故成本

利用

应确定改进蠕虫感染管理过程的行动，以利用这一经验。