15、计算机安全事件响应全解析

计算机安全事件响应全解析

1. 引言

计算机安全事件响应团队（CSIRT）就如同接到911报警后部署的应急响应服务。当事件发生时，往往需要多个小组协同响应，且在响应前对事件的了解有限。因此，始终遵循“合理规划防止糟糕表现”这一原则至关重要。同时，我们还会探讨第一响应者的程序，包括相关准则、电子证据的定义、证据保管链以及证据处理和运输等问题。

2. 预防事件

无论事件响应团队多么出色，在事件发生前做好准备总是更明智的。可以通过使用各种控制措施来进行防御，这些措施既可以像防火墙和入侵预防系统（IPS）那样复杂，也可以像记录对关键系统的所有访问那样简单。

2.1 防火墙

防火墙通常是防止事件发生的第一道防线，甚至在某些情况下是唯一的防线。主要有三种类型的防火墙：
- 包过滤防火墙 ：提供有限的保护，但通常是最快且最便宜的防火墙类型。常与路由器、无线接入点（WAP）和网络交换机等其他网络设备集成。对出站数据包的保护优于入站数据包。由于包过滤防火墙响应的必要配置，所有高端口（TCP端口1025 - 65535）必须开放以允许响应进入，这使得攻击者可以利用这些开放端口作为潜在的攻击向量。
- 状态检测防火墙 ：基于包过滤技术，具有一个关键优势，即使用动态规则允许响应数据包返回组织内部。这意味着无需静态配置规则来打开所有TCP高端口，响应规则会在短时间内动态打开，为入站数据包提供保护。通常具有增强的日志记录功能，有助于确定事件的来源。速度与包过滤防火墙相当，且往往是专用设备，而非其他网络设备的一部分，但成本通常高于包过滤设备。
-