|
案例研究:遭受攻擊
引言
一個很大的虛構(gòu)銀行企業(yè)分了好多個部門�����,其中兩個分別為外部銀行業(yè)務(wù)部門和內(nèi)部支持部門。所有本地辦公室都屬于外部銀行業(yè)務(wù)部門���。所有的支持活動(例如市場、銷售和 IT)都屬于內(nèi)部支持部門��。為了使該企業(yè)贏利��,這兩個部門需要在工作中緊密合作。
不久前,IT 部門與某個 ASP 達成了一項協(xié)議���,幫助它們引進新的銀行解決方案。除了取錢和存錢外���,客戶應(yīng)該可通過 Internet 執(zhí)行所有的銀行交易。而實際建立的解決方案甚至更加完善��。因為要執(zhí)行第一個解決方案���,就必須訪問所有客戶帳戶��,同時將本地辦公室連接到 ASP 以便對涉及客戶帳戶的信息進行檢索和修改���,似乎也是合乎邏輯的��。
最后的網(wǎng)絡(luò)設(shè)置如下所示�����。
如果您的瀏覽器不支持內(nèi)嵌框,請單擊此處在單獨的頁中查看���。
在 ASP 和銀行企業(yè)之間有一個未來一年的服務(wù)級別協(xié)議 (SLA)。該 SLA 中包括所涉及的“服務(wù)管理”問題(事件管理�����、更改管理��、容量管理��、可用性管理、應(yīng)急規(guī)劃和安全管理)��。針對所有這些問題都規(guī)定了服務(wù)級別��、報告時間以及 ASP 和銀行雙方的義務(wù)。
SLA 中的安全部分
在 SLA 的安全部分���,銀行和 ASP 就安全策略是什么以及在識別出安全事件時需要采取什么步驟,達成了一致的協(xié)議��。并一起確定了一個溝通規(guī)劃�����,以確保將以正確的方式通知所涉及到的每一個人���。關(guān)于用什么工具來保護銀行安全�����,還規(guī)定了一些技術(shù)問題。
攻擊
某個星期一的早晨,本地辦公室的一名職工發(fā)現(xiàn)獲取帳戶信息需要很長時間�����。因為知道星期一早晨總是出現(xiàn)與 IT 相關(guān)的問題�����,所以該職工沒有太注意���。他繼續(xù)做其它的工作���。過了一些時候��,他聽到同事們說他們在檢索信息中也遇到了同樣的問題���。他們請教辦公室里的 IT 高手��,希望找到解決的辦法��。當 IT 高手報告說他的所有嘗試都已失敗時,已經(jīng)到中午了���。此時,與幫助臺取得了聯(lián)系��。幫助臺詢問了一些必要的問題并記錄下這個電話�����。雙方都一致認為該事件的影響似乎很���。ㄒ驗檫可以檢索到帳戶信息)���,因此該事件只是被確定為低優(yōu)先級���。這就是說沒人會馬上著手開始解決該事件���。
一個小時后��,從任何本地辦公室都無法檢索帳戶信息�����。測試還表明,客戶無法通過 Internet 訪問其帳戶。到銀行客戶的界面實際上是被關(guān)閉了���。由于在本地辦公室中沒有處理這種情況的緊急步驟���,因此這意味著無法對客戶提供服務(wù)��。
銀行馬上與 ASP 取得聯(lián)系��,每個銀行和 ASP 專家都投入到解決系統(tǒng)中斷的工作中。一個小時之內(nèi)���,專家們找到了中斷的原因:一種病毒進入了內(nèi)部的 ASP 應(yīng)用程序。該病毒生成了很多的數(shù)據(jù)包�����,充斥了整個網(wǎng)絡(luò)���,從而導(dǎo)致性能的下降���。最后���,ASP 的網(wǎng)絡(luò)由于溢出而癱瘓��。ASP 花了兩個多小時來恢復(fù)帳戶系統(tǒng)并使它重新運行���。該銀行由于這次事故損失了數(shù)百萬美元���。
錯在哪里���?
盡管該銀行與 ASP 之間有一個 SLA��,但是攻擊者達到了讓 ASP 的網(wǎng)絡(luò)死機的目的,實際上使銀行的運營癱瘓��。
攻擊的檢測:由于星期一早晨發(fā)生了許多事件��,所有的 ASP 管理員都忙于解決“重要的”問題而沒有警惕警告系統(tǒng)。并且由于該銀行組織中的用戶習(xí)慣了這些現(xiàn)象�����,他們沒有報告該事件�����,也許認為其它人已經(jīng)報告��。所以,沒人意識到攻擊正在進行的事實。
事件管理:ASP 的事件員工和本地辦公室的職工都認為該事件的影響不大(還可以檢索帳戶信息)�����。記錄該事件時���,事件管理人員沒有從 CMDB 得到啟示��,意識到該事件涉及到 CI(配置項目)���,它是該銀行核心業(yè)務(wù)的一部分��。對該事件的分類不正確。
應(yīng)急規(guī)劃:ASP 和銀行受到系統(tǒng)中斷的影響���。也就是說兩個組織的正常運作都被破壞。但是,本地辦公室沒有處理這些情況的緊急步驟。ASP 也沒有執(zhí)行緊急解決方案。
服務(wù)級別管理:由于系統(tǒng)中斷,服務(wù)級別沒有達到��,這意味著是 ASP 要受到處罰���。起草 SLA 時,ASP 沒有考慮到可能的攻擊以及這對商定的服務(wù)級別有什么影響���。因為這種情況�����,該銀行轉(zhuǎn)向了另一個提供商���。
如何改進��?
ASP 需要改進他們向本地辦公室和 Internet 客戶提供的服務(wù)。由于星期一早晨經(jīng)常出現(xiàn)有關(guān) ASP 解決方案的事件,因此在這天中出現(xiàn)的任何事故都沒有得到認真的對待�����。
ASP 需要提早在檢測安全攻擊的工具中安裝更多的檢測工具���。對于網(wǎng)絡(luò)性能超出正常情況的下降��,必須立即進行分析�����。
銀行和 ASP 的職工需要意識到事件的重要性,因此他們要及時將每次 IT 服務(wù)的不正常情況通報給 ASP 的幫助臺。
ASP 的幫助臺需要最新的“配置管理數(shù)據(jù)庫”的支持,在該數(shù)據(jù)庫中每個 CI 都標有一個可能的安全分類���。這樣,當關(guān)于某個 CI 的電話打來時,幫助臺的員工將明白對該電話的處理必須遵照事件管理的安全步驟��。
與所有涉及到的各方(銀行�����、本地辦公室和 Internet 客戶)的溝通是幸免于這類攻擊的至關(guān)重要的因素��。從技術(shù)上解決攻擊是一方面,從公眾的觀念上來解決要難得多。公眾可能會記住該銀行是“由于某種病毒而停止服務(wù)的公司”。應(yīng)當建立良好的溝通規(guī)劃以抵御這種損失��。
需要采取安全措施來避免這樣的攻擊發(fā)生��,或者至少在服務(wù)級別還沒有陷于危險的早期階段截斷攻擊的發(fā)展���?梢赃x擇如下措施:
讓(職業(yè)的)黑客對安全措施進行測試,看它是否可以經(jīng)受住各種各樣的攻擊
使用入侵檢測盒
實施對性能的被動監(jiān)視
對傳入的數(shù)據(jù)包或郵件進行病毒或其它攻擊的測試
起草 SLA 時若不考慮被攻擊時應(yīng)采取的措施�����,表明對現(xiàn)實很不了解�����。Gartner Group 的 J. Pescatore 在 2000 年 2 月做出了以下策略規(guī)劃設(shè)想:“到 2003 年���,百分之三十的 ASP 客戶將經(jīng)歷 ASP 方面的安全事件�����,其結(jié)果是導(dǎo)致對敏感數(shù)據(jù)的損害(概率為 0.7)���! ASP 必須與客戶討論在這種情況下應(yīng)該如何去做。他們需要明白可以達到什么樣的服務(wù)級別�����,同時明白將會出現(xiàn)攻擊���。他們必須知道可采取什么對策使攻擊之后的損失更小��。這樣做的時候���,需要確定 ASP 和銀行在這種情況下的任務(wù)是什么。
|
溫馨提示:喜歡本站的話,請收藏一下本站�����!
