阅读笔记 | 为不可避免的事件做准备（二） - 新鲜讯息

《Incident Response & Computer Forensics, Third Edition》阅读笔记系列——为不可避免的事件做准备（二）。

4. 准备事件响应团队

核心事件响应团队由几个学科组成：IT、事件调查员、法证审查员，甚至是外部顾问。每个人都可能以不同的技能和期望来到团队。您将希望确保您的团队由认真负责的工作人员组成，他们注重细节，保持耐心并记录他们正在做的事情。

本节将讨论准备事件响应团队时，定义任务、沟通、可交付成果以及提供团队所需的资源相关内容。

4.1 定义任务

定义您的事件响应团队的使命将有助于让团队保持专注，并与组织的其他成员一起设定期望。团队使命的所有要素都必须得到高层管理人员的充分认可和支持；否则，事件响应团队将无法在组织内产生影响。

团队的任务可能包括以下全部或部分内容：

使用有组织的正式调查流程对所有安全事件或可疑事件做出响应。
进行全面公正的调查。
快速确认是否发生了入侵或安全事件。
评估事件的影响范围。
控制和遏制事件。
收集并记录与事件相关的所有证据。
在需要时选择额外的支持。
遵守法律或公司政策规定的隐私权。
适当的与执法和法律当局的联络。
对事件保持机密性。
提供专家证词。
向管理层提供有充分事实依据的建议。

4.2 沟通协作

在事件发生期间，您将有多个团队同时工作：您的核心调查团队、辅助团队、法律团队和系统管理员，他们不仅响应核心团队的任务，而且经常自行执行相关操作。良好的沟通至关重要，在事件开始之前定义沟通方式至关重要。本节讨论战术和临时通信。

内部沟通

在最近的大量调查中，攻击者直奔电子邮件服务器。在多台服务器上，我们发现了攻击者获取了 C 级员工和高级 IT 管理员的电子邮件的证据。此后不久，攻击者返回并在整个邮件服务器中搜索与调查相关的字符串。

在准备事件响应时，请牢记以下通信安全问题：

加密电子邮件。
正确标记所有文件和通信。诸如“特权和机密”、“律师工作成果”和“按照法律顾问的指示准备”之类的短语可能是必需的。
监控电话会议的参与。确保您的电话会议系统允许您监控谁来电或谁正在观看屏幕录像。密切关注参与者列表并断开未经验证的各方。
使用案例编号或项目名称来引用调查。使用项目名称有助于将细节排除在走廊对话、会议邀请和外部各方的发票之外。这不太适用于攻击者可能的拦截，因为它是为了最大限度地减少拥有事件调查的人员详细信息的数量。

外部沟通

在确定任何通知的内容和时间时要考虑的几个问题：

事件何时达到报告阈值？立即检测？也许在事件得到证实之后？
如何将通知传递给第三方？采用何种合同语言来保护机密性？
如果事件需要公开披露，谁对通信的内容和时间负责？披露如何发生？
披露后对您的组织处以何种处罚或罚款？考虑通知的时间是否会影响这个因素
披露后预计会有哪些调查限制？是否需要第三方参与调查？
披露如何影响补救

4.3 可交付成果

因为我们为一家咨询公司工作，所以可交付成果是我们为客户提供服务的重要组成部分。

我们认为，对于任何团队来说，了解他们在服务交付方面所做的工作并定义他们将生产的标准项目都很重要。事件响应团队最重要的可交付成果是调查报告。报告的范围可以从简单的一页状态更新到详细的取证调查报告，每份报告长达 30 页。您的事件调查团队应明确定义其主要可交付成果，包括适当的目标完成时间范围。此外，您应该为每个可交付成果创建模板和说明，以确保一致性。事件响应团队的可交付成果示例列表如下：

4.4 为事件响应团队提供所需资源

与任何团队一样，您的事件响应团队需要资源才能取得成功。除了提供培训和创建文档等标准组织要素外，IR 团队还有独特的硬件和软件要求。

4.4.1 培训事件响应团队

良好培训的重要性非常重要。许多课程提供事件响应实践培训。这些课程通常物有所值。

目前提供最好课程的大学是：

卡内基梅隆软件工程学院 (www.sei.cmu.edu)
普渡大学技术学院 (tech.purdue.edu)
约翰霍普金斯大学信息安全研究所 (isi.jhu.edu)

系统管理、审计、网络和安全 (SANS) 研究所目前是商业 IR 和计算机取证培训市场的领导者。他们有大量的优质课程。

4.4.2 为事件响应准备硬件

现代硬件解决方案，使得事件响应团队更容易执行数字取证和事件响应任务。来自主要计算机供应商的高端系统与一些专门的取证硬件相结合，可能会满足您的事件响应团队的需求。在我们工作的公司，我们在两个高级地点进行调查工作：现场和远程办公室。我们将介绍在这些设置中对我们有用的解决方案。

数据保护

在事件发生期间，您将处理和分析敏感数据。无论是在现场、您的办公室还是在运输过程中，您都必须采取适当的步骤来确保未经授权的各方无法访问数据。最有效的方法是使用加密数据的解决方案。敏感数据可能存在两个高级类别：

永久性内部媒介：这包括硬盘驱动器或计算机系统的永久部分。最常见的解决方案是使用基于软件的全盘加密 (FDE) 产品，例如 Truecrypt 或 McAfee端点加密。另一种选择，虽然通常有点贵，是使用基于硬件的 FDE，有时称为自加密驱动器 (SED)。
外部媒介：通常是便携式的，包括USB 驱动器和外部机箱中的常规硬盘驱动器。有多种此类别的解决方案，包括软件和硬件。一个普通的软件解决方案是 Truecrypt。硬件解决方案包括直插式 USB 和 SATA。

现场取证

许多事件要求我们在客户的站点上进行取证工作。我们在这种情况下使用的主要平台是来自主要供应商的设备齐全的笔记本电脑。我们选择一台与我们在即将到来的共享设备部分讨论的专用取证硬件正确连接的笔记本电脑。在构建系统时，我们还要牢记一些额外的注意事项：

内存：通常指定为等于或接近平台支持的最大容量。
CPU
I/O 总线：包括eSATA、Firewire 800、USB 3.0 和其他用于外部硬盘驱动器的高速接口。
屏幕尺寸和分辨率：物理尺寸大且分辨率高。在 14 英寸的显示器上完成工作是很困难的。
便携性：重量和尺寸很重要。
保修服务：如果设备出现故障，供应商应该能够立即派出更换人员或技术人员。
内部存储：大而快是要牢记的形容词。此外，如果您能够找到您的 BIOS 支持的自加密驱动器，那么额外的费用是值得的。

远程取证

在某些事件中，我们会在我们的办公室进行取证工作。我们的客户或我们公司的其他员工可能会将硬盘驱动器、磁盘映像或其他相关数据运送到我们的办公室进行分析。在这两个海岸，我们都有专门的实验室，带有写入程序的系统已准备好创建证据的工作副本。然后根据书面证据处理政策将原始材料存储在受控区域。我们的分析师使用虚拟环境对工作副本进行分析。我们维护使用常用取证工具预先配置的标准检查环境模板，并且我们为每个检查员、每个案例生成一个新的、干净的虚拟机。分析完成后，虚拟机将被销毁。此操作模型允许每个分析从已知状态开始，并有助于防止混乱和资源竞争。

共享取证设备

在前面提到的两个运营地点，一个事件响应团队或一组分析师除了分配的工作站外，还使用一组共享资源。首先，我们需要专门的取证相关硬件设备。团队应该可以使用几个完整的工具包。在第 8 章中，我们将更详细地讨论这些类别的专业取证硬件设备：

独立的磁盘和镜像
移动设备采集系统
各种电缆和适配器

除了专门的取证硬件外，我们还需要以下设备：

用于证据存储和管理数据副本的大型外部硬盘驱动器
用于记录证据的数码相机
空白 CD 和 DVD
网络交换机和布线
电源板和电缆
I/O 总线电缆——Firewire、eSATA、USB
计算机维护工具，例如螺丝刀、Torx 钻头、撬棒和其他专门的开箱工具。

网络监控平台

我们使用两个主要平台进行网络监控。对于临时监控，我们使用了笔记本电脑系统，其规格与用于现场取证工作的规格非常相似。主要优点是该平台是便携式的并且具有内置的UPS。然而，对于大多数安装，我们使用 1U 机架式系统，配备高端 CPU、可观的内存量（出版时为 12-16GB）以及速度和容量足以容纳传入数据的存储我们正在监控的连接线速率为 80% 的合理时间段。这些监控平台通常配备多端口网络接口卡，允许保留一个用于管理接口，其余端口用于监控。在一些调查中，我们还包括用于监控光纤和多千兆铜缆链路的接口。

4.4.3 为事件响应准备软件

在本节中，我们将介绍您的事件响应团队执行其工作所需的基本软件的一般类别和功能。有关使用特定工具的其他详细信息，请参见数据分析第 11 章至第 16 章。

我们在调查期间使用的软件通常分为八类。您的事件响应团队应清点每个领域的内容，并根据我们在此讨论的一些标准研究是否需要其他工具：

启动盘：此类别包括“实时”媒体（CD 或 USB），您可以启动并执行有用的事件响应或取证任务。例如，Backtrack、CAINE 和 Helix 项目都提供了可用于事件响应或取证任务的可引导环境。
操作系统：事件响应团队应熟悉其组织内使用的每个操作系统。我们建议为每个操作系统获取安装介质，并创建具有可以还原到的快照的虚拟机。
磁盘映像工具：维护您的团队授权的映像工具列表。要了解应该和不应该列出哪些内容，请查看 NIST 计算机取证工具测试网站 www.cftt.nist.gov。磁盘映像将在第 8 章中详细讨论。确保事件响应人员和第一线的其他人员熟悉您的工具和程序。
内存分析工具：与磁盘映像类似，您应该拥有许多可靠且经过测试的内存dump工具。请记住您环境中的不同操作系统，并为每个操作系统测试解决方案。内存分析将在第 12 章到第 14 章中详细讨论。
实时数据包捕获和分析工具：您应该为组织内使用的每个操作系统测试数据包捕获和分析工具包。
IOC搜索实用程序：在整个调查过程中，您将需要一些工具来帮助您创建和搜索 IOC。
数字调查取证套件：数字调查取证套件在一个软件包中提供了一套全面的功能。通常专注于磁盘图像的分析，这些套件提供解释数据格式的能力，并允许调查人员执行相关信息的搜索。在本书中，我们不涉及任何特定套件的使用。相反，我们讨论所需的基础知识和方法。
日志分析工具：在大多数调查中，团队都面临着检查大量日志文件的问题。常见的日志格式是分隔的纯文本文件。在这些情况下，我们使用任何可以对纯文本进行操作的工具进行分析。但是，有时格式是专有的，我们需要一个工具来读取或转换数据。通常，日志数据量是巨大的。如果您的组织中遇到同样的情况，明智的做法是准备好可以处理这种“大数据”的日志工具。

4.4.4 为事件响应准备文档

在本节中，术语文档是指事件响应团队内的政策、程序、知识管理或工作流程。我们在本节中介绍的领域是我们认为所有事件响应团队都应该解决的两个最重要的问题。

证据处理：证据是任何调查结果的来源，必须妥善处理。在证据处理方面，必须注意细节并严格遵守。如果证据的完整性受到质疑，调查结果可能不再为组织提供价值。为防止这种情况发生，我们建议实施适当的证据处理政策和程序。通常，它们将包括证据收集、记录、存储和传输。可以在以下网站阅读有关证据规则和美国司法部证据收集指南的更多信息：http://www.justice.gov/criminal/cybercrime/docs/ssmanual2009.pdf、http://www.law.cornell.edu/rules/fre
内部知识库：当您的事件响应团队进行调查并与组织中的其他部门互动时，信息可能与整个组织相关，应记录在事件响应团队维护的知识库中。知识库应有逻辑组织和可搜索性，以便团队可以有效地找到相关信息。