<< Back to shouce.jb51.net

10.3. 实施事件响应计划

一旦制定了行动计划,它必须被严格遵守并积极实施。在积极实施过程中,不管是计划在哪一方面出现疑问都会在破坏事件发生的时候导致不佳响应时间和停运时期。这时候就体现出了实际经验的价值。如果在计划付诸于行动之前没有人对其质疑,计划的方方面面就应该被相关的人员和部门严格遵守并执行。

如果检测到了安全破坏,CERT 就可以采取多种行动来对这个安全破坏做出快速的反应。 CERT 组可以决定禁用网络连接;断开所有受到影响的系统;给漏洞打补丁;然后在事态进一步复杂化之前迅速地重新连接。该行动组还可以观察入侵者并跟踪他们的行动。他们甚至还能够把入侵者重导向到一个蜜罐(honeypot) — 一个包含故意存放的错误数据的系统或网络的一个组成部分 — 中,以便安全地跟踪入侵者的行动而不干扰正常的生产资源。

对事件的响应还应该尽可能地包含信息收集。运行进程、网络连接、文件、目录、诸如此类,都应该在实时内被积极地审核。对生产资源定期检查比较有助于跟踪恶作剧服务或进程。CERT 成员和在职专家是跟踪系统上此类异常现象的优秀资源。在运行 topps 命令的时候,系统管理员知道哪些进程应该出现,哪些进程不应该出现。网络管理员在运行 Snort 或 tcpdump 的时候,对正常的网络交通应该是什么样子也会了如指掌。这些小组成员应该了解他们的系统,而且应该能够比对体系不熟悉的人更快地觉察到异常现象。