28、PKI安全事件管理与治理全解析

PKI安全事件管理与治理全解析

1. 事件根除与原因确定

当发生安全事件时，若要根除该事件，组织应咨询内部资源（如信息安全人员）和外部资源（如美国计算机应急响应小组[US - CERT]、其他计算机安全事件响应团队、具备事件响应专业知识的承包商）。准确确定每个事件的原因至关重要，这样才能完全控制事件，并缓解被利用的漏洞，防止类似事件再次发生。

2. 事件的详细发现

2.1 PKI应用监控

PKI应用监控会提供系统日志，通常能提供足够的操作数据，使各种监控和报告系统能够显示趋势、标记异常并生成警报。在剔除误报数据后，PKI工作人员可以跟进这些信息和警报。

2.2 日志检查

PKI事件调查具有挑战性的一个因素是事件检测前的时间。可能需要检查数天、数周甚至数月的日志，以确定之前是否遗漏了安全漏洞。安全入侵检测系统（IDS）、入侵防御系统（IPS）和安全信息与事件管理（SIEM）工具可用于深入分析疑似安全漏洞发生前后的时间段。这在攻击的初始目标是破坏一个可发起进一步内部攻击的系统时尤为重要。

2.3 网络数据包捕获

结合现有的安全监控工具和网络数据包捕获工具，有助于识别可能被攻击的系统。如果PKI系统被攻击，网络捕获数据对于法医诊断是不可或缺的补充。网络数据有以下重要作用：
- 证书颁发机构（CA）组件和服务层之间传递的数据数据包是可靠的数据来源，能准确显示PKI服务各组件之间发生的情况。
- 网络流量数据显示服务层之间的通信情况，以及哪些通信未发生。例如，如果证书吊销列表（CRL）未更新，这种信息缺失有助于理解攻击的根本原因或被攻击抑制的操作。