| 出版日期:2002-12-09 总期号:541 本年期号:46 |
|
 |
让网络入侵者无处遁迹
Enterasys 公司网络安全设计师 Dick Bussiere 上一期我们详细介绍了电脑辨析学这个新形势下的网络安全新理论,把用户保护企业网络安全的认识提到了崭新境界。但是,面对越来越多的网络犯罪的现实,如果真正发生了网络攻击我们又将如何应对?本期将谈一谈如何应用辨析程序对付网络犯罪。 过去7年来,美国计算机安全协会(CSI)与联邦调查局(FBI)合作,进行电脑犯罪调查,把它作为一项公众服务,促进美国对电脑安全的认识。这些调查的结果显示: 各组织都处在来自其内部和外部的虚拟攻击之下; 抵御这些攻击不仅仅需要信息安全技术; 虚拟攻击可导致严重的财政损失。 根据CSI/FBI的2002年安全调查报告显示,各种攻击造成的资金损失数额巨大:信息盗窃、金融诈骗、内部网滥用、病毒、拒绝服务、蓄意破坏、系统渗透、笔记本盗窃、电信诈骗、未经授权的内部人员接入等电脑犯罪所造成的损失总计 4.555亿美元,同2000年相比上升58%。高科技犯罪对经济产生了严重影响,电脑犯罪造成的平均损失为50万美元,而银行抢劫所造成的平均损失为2,500美元。 辨析学对于起诉至关重要,在今天,采用适当的辨析程序是必要的,也是组织机构最优方法程序的实用组成部分。在攻击事件中,如果没有证据证明所发生的情况及所造成破坏的细节,公司在选择通过法律途径起诉攻击者的时候就没有足够的法律追索权。 电脑辨析三步曲 当发生了网络攻击时,我们应该用电脑辨析学来保护自己的企业。其中最为关键的三步是:收集证据、使用辨析软件以及保存证据。 收集证据 那么针对网络攻击事件,应收集哪些方面的证据?这些证据包括:系统登录文件、应用登录文件、AAA(Authentication, Authorization, Accounting认证、授权、计费)登录文件,比如RADIUS(Remote Authentication Dial-In User Service) 登录,网络单元登录(Network Element Logs)、防火墙登录、HIDS(Host-base IDS,基于主机的入侵检测系统) 事件、NIDS(网络入侵检测系统)事件、磁盘驱动器、自由空间(Free space)、松弛空间(Slack space)、隐含文件、文件备份、电话记录等等。 在对付网络攻击的时候,采用入侵检测系统对网络攻击进行监测是必要的。入侵检测系统可以告诉您攻击事件已经发生,能够协助确认犯罪者。在发生了网络攻击时,如有可能,不要急于把攻击者赶出系统,而应该立即诉诸法律解决。入侵检测系统有基于主机的检测系统(HIDS)和基于网络的检测系统(NIDS)两部分,可以探测各种攻击,具有几乎是实时或即时的警报;也可以分布式收集各种证据,进行集中分析。Enterasys公司的 Dragon 、ISS 公司的RealSecure和思科的 Secure IDS (NetRanger)等都是典型的入侵检测系统,可以进行在线防御战的二级渐进式分析(Secondary Heuristic Analysis),就像飞机上的黑匣子一样,是网络飞行的记录器(Network Flight Recorder)。 使用辨析软件 依靠电脑辨析学对付网络犯罪时,进行证据存储极为重要,因为电脑证据非常脆弱,很容易被修改。现在有一些非常好的辨析程序,使取证过程更容易。同时,对整个调查中的每一个步骤进行归档记录极其重要,不管其看起来如何琐碎。犯罪证据有可能被隐藏、删除或伪装起来,技术调查人员应当具备各种存储媒介的牢固知识,也要熟悉使用各种辨析软件。 现在典型的辨析软件有Guidance Software 公司的 Encase Professional(围剿专家)、Sydex Corporation公司的 Safeback(安全后盾)、新技术公司(New Technologies Inc. )的系列工具,这些工具配备磁带驱动器(Tape drive)、Zip或jaz驱动器、CD ROM驱动器、各种卡、电缆和转换器、视频或数码相机。 辨析软件发展出了各种技术,这些技术可分析媒介上用于签名的自由空间,它可能表明数据的出现、分析数字“签名”媒介、检查文件闲散区域中的隐含数据或被删除的数据,也可以分析 Windows 操作系统中的交换文件或查找被删除文件的位置等。 应用电脑辨析学对网络攻击进行调查时,应该透彻考虑各种因素,尤其要注意保护证据。首先,在开始进行调查之前,要确保得到批准再开始调查。然后应尽快通报适当的人员 (例如HR及法律方面的人员) 以法律途经解决;不要对调查登广告;在移动或拆卸任何设备之前都要拍照;在调查中要遵循两人法则,也就是说,在信息收集中要至少有两个人,以防止篡改信息;应记录所采取的所有步骤以及对配置设置的任何改变,要把这些记录保存在您可以找到的安全地方;在必要时要关闭电脑,因为有些黑客会对系统进行装配,如果您试图进行软关机,文件就会被改变或删除,这时,拔掉插销是最好的关机方法,虽然这样做可能会导致损失一些内存,但这种方法对 PC机最有效。这种办法在大型企业系统中要谨慎采用,因为已运行一段时间的RAID(廉价磁盘冗余阵列)驱动器可能无法恢复。电脑关闭之后,应该把它搬到一个限制进入的安全地方,同时应搜寻证据。电脑应该用 DOS磁盘启动,别使用可疑的硬驱动器启动。 使用辨析软件可使调查过程更快更容易。辨析软件可以获取可疑驱动器的比特流备份;可运行可疑硬盘的无用信息,备份磁盘以协助证明数据的可靠性;可记录系统日期和时间,使用关键字检索来搜寻可疑数据;也可搜索被删除文件的自由空间和松弛空间并确定这些空间的位置。 保存证据 对于所搜集到的证据,应进行有效可靠地保存。建议在开始时制作两个备份,一个用于评估证据,另一个用于法律验证。同时应该把证据进行密封,保存在一个限制人员进入的地方。 接触存储媒介的人越少越好。在进行网络攻击事件调查时,最终用户可以发挥应有作用,他们可报告可疑行为。如果电脑犯罪已经发生,请不要重启计算机、删除文件或试图自己进行调查,应该立即打电话找网络辨析专家。 柳暗花明又一程 总之, 电脑辨析学就是从计算机存储媒介中提取信息并保证其精确性和可靠性的程序,调查过程中采取的步骤会对起诉产生影响,因此应该把电脑看作一个犯罪现场。由于电脑证据非常脆弱,极易被修改,应该建立由技术专家、执法官员和律师三方面专家组成的小组,进行取证和起诉。在调查中,技术人员的作用非常关键,他们在电脑事件中采取的各个步骤会对起诉产生影响,在调查初期采用的技术及采取的步骤可以决定组织能否成功地确认和起诉攻击者,而预先实施和维护安全程序的组织更有把握抓住攻击者,抑制潜在损失。 各公司的目标应该是建立各机构彼此之间相互制衡的程序,包括对各种业务活动和接入控制程序进行有力评估、加强对攻击威胁的响应。他指出:在因特网开放哲学和动力学的特定前提下,网络安全和信息安全管理不仅需要更深地依靠前沿技术,而且也要更深地依靠对这些技术的充分利用和管理。电脑辨析学地实施与发展,将充分发挥社会和法律的强大力量,利用先进的技术武器,从根本上铲除网络犯罪赖以生根的土壤,维护企业网络的长远安全。 |
||||||||||||||||||||||
