10.5. 回存與復原資源
在事件處理正在進行時,CERT 小組應該要研討並且進行資料與系統的回復。 很不幸的, 在入侵事件發生之後,您必定要進行回復的動作。 因此在此時擁有備援或離線、冗餘的 系統是很重要的。
如要進行系統回復,事件處理小組必須將中斷離線的系統或應用程式重新上線,例如認證 伺服器資料庫伺服器以及任何其他的生產資源。
強烈建議您使用生產線的備份硬體,例如額外的硬碟、熱備援的伺服器等等,現成的系統應該已經載入所有的生產軟體,並且立即可以使用。 也許只需要匯入最新且切合的資料。 現成的系統應該與其他可能受到影響的網路保持分離,假如發生系統入侵,而備份系統卻為網路的一部分,那麼擁有這個備份系統的目的便失效了。
系統回復的過程可以是相當複雜的,在許多種狀況下,您可以選擇兩種行動方案。 系統管理員可以在復原所有的應用程式與資料後,執行一個作業系統的完整全新安裝。 或者,系統管理員可以修復討厭的系統缺失,然後再將受影響的系統放回生產環境中。
10.5.1. 重新安裝系統
執行一次完整的重新安裝可確保受影響的系統可以去除任何的木馬程式、後門程式或者是惡意的程序。 重新安裝也可確保任何資料(假如從一個信任的備份來源所回復)都不含任何的惡意的修改。 這麼做對整個系統回復的缺點就是重新建立系統所牽涉到的時間,然而假如有一部熱備援的系統可以使用(所需的動作只是傾印最新的資料),那麼系統的中斷時間將可大大地減少。
10.5.2. 修補系統程式
另一種回復系統的方法是修補受影響的系統,執行這種系統回復的方法是比較危險的, 而且必須要特別地小心執行。 藉由修補系統而不是重新安裝所潛在的危險在於您是否 完全地清除系統中的木馬程式、安全性漏洞以及毀損的資料。 假如使用一個模組化的核心,修補一部遭破壞的系統將是件更困難的事。 大部分 rootkits(怪客刻意留在系統中用來取得 root 存取系統權限的程式或套件)、木馬系統指令以及 shell 環境都是設計隱藏惡意行為以規避粗略的系統稽核。 假如採取系統修補的方法,您只能使用信任的二元程式(例如來自一個已掛載且僅能讀取的光碟片)。