逢敌必亮剑——如何有效地开展应急响应工作

开展信息安全工作其中一个主要目标就是防止安全事件的发生,但作为信息安全行业从业者的我们常常会发现,即使拥有强大预警机制、具备了完善的防护手段,很多企业还是会有安全事件发生。

这样来看,当安全事件发生后,企业能开展有效的应急响应工作去限制或遏制事件,最大程度的减小事件影响范围则显得尤为重要。在具体探讨应该如何开展应急响应工作之前,我们先来了解一些概念:

  1. 信息安全事件:由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。
  2. 信息安全事件分类:信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
  3. 信息安全事件分级:将信息安全事件划分为三个级别:紧急事件、严重事件和一般事件。

不同的文档会对把急响应的过程划分为不同的步骤,其实无论怎样划分,很多关键元素都是相似的,都是为了在短时间内能够更好地开展应急响应工作。本文的笔者将应急响应工作划分为以下几个步骤:检测→响应→缓解→报告→恢复→修复→经验总结,下面我们来逐一讨论每个步骤中的关键工作内容。

检测:检测网络环境中潜在风险或者事件的手段有很多,例如:安全防护设备的告警提示、日常巡检和日志审查时发现的异常行为、来源于用户的事件投诉、甚至有一些大型企业已经引入的威胁情报(包括热点安全事件、安全行业动态、最新的攻防研究成果、监管机构政策解读等)。相关安全人员需要分析判断这些事件,以确定是否是真实的安全事件。我们通常认定这些安全人员为安全事件的第一响应人,他们需要在短时间内区分典型IT问题和安全事件,类似于医疗急救人员,在事故现场提供医疗援助,必要时为患者提供医疗救助。众所周知,医疗急救人员有专项培训,以帮助他们在面对轻度和重大伤害时采取适当的援助手段。同样,专业安全人员也需要专门的培训,使他们在对面一个典型问题时可以进行果断处置,同时能够对安全事件进行分类、分级,启动适当的处置工作。如果确定是一个安全事件后,需要转向下一个步骤:响应。

响应:安全事件的响应程度取决于事件的严重程度,许多企业拥有指定的应急响应团队,他们可能来自于内部科技人员,也可能来自于专业的安全公司。团队成员将协助事件调查、评估危害、收集证据、报告事件和恢复,还会参与修复和经验教训总结,并进行安全事件根本原因分析。能够有效地响应一个安全事件,可以大幅度降低企业的各项损失,如果一个安全事件持续了几小时甚至几天仍然无法解决,那么后果将会不堪设想,例如,一个金融机构遭遇了大流量的DDOS攻击,所有对外的互联网业务将会中断;一个攻击者试图窃取客户数据库,在较长时间内没有进行有效控制,攻击者完全有可能获取到整个数据库的副本。

缓解:当安全事件已经不可避免的发生时,采取相应的技术手段缓解或控制事件的影响范围也是至关重要的一点。例如,对外提供的互联网业务的WEB服务器遭受了黑客的入侵,科技人员可以对受攻击的服务器进行单独的网络隔离,避免问题蔓延到其他网络区域,如果对业务连续性没有特殊要求时,甚至可以禁用网卡、断开网络。人们常说:不想当将军的士兵不是好士兵,在攻防领域也有这样一句话:不想拿到root的黑客不是好黑客。在笔者多次参与的应急响应工作中发现,许多攻击者在拿下一台服务器后不会就此满足,他们会把这台主机当作进行进入内网的“跳板”,进而继续挖掘更多更有价值的数据。

报告:报告是指向企业内部和企业外部报告安全事件,由于事件的危害程度与影响范围不同,内部的安全事件报告更偏重于安全事件的前因后果分析,安全事件的全过程细节、安全策略方面的缺陷、技术手段不足以及事件问责等。外部事件报告则是面向用户和官方机构的,包括简短的事件概述、影响范围及造成的直接或间接的损失。许多国家都制定了管理合规性法律来规范保存在信息系统中的敏感数据。我国《中华人民共和国网络安全法》将于2017年6月1日起施行,其中也对数据安全方面有了更加明确的要求。

恢复:在对一个安全事件收集到适当证据后,所面临的问题就是系统恢复,或者是恢复到一个正常的状态。对于小事件来说很简单,可能只需重启服务、重启系统,但是对于一个重大的安全事件就可能需要问题系统调整策略架构、重新部署,甚至完全新建一个系统,同时需要从最近的备份中恢复全部的数据。如果要进行系统重建,需要企业具备有效的配置管理和变更管理机制,包括必要的配置文档、合理的访问控制手段、关闭或删除不必要的服务和端口、安装最新的安全补丁以及修改系统账户和策略的默认配置等。

修复:在修复阶段,需要追溯分析安全事件发生的根本原因,如果一个安全事件导致企业部分数据丢失,那么我们需要从攻击者完整的攻击链条上分析每一个可能存在缺陷的元素,进而找到事件的根本原因。可能是对外提供服务的WEB服务器没有进行漏洞补丁更新,允许恶意攻击远程执行系统命令,上传WEBSHELL获取高级权限;也可能是网站开发编码不规范,同时也没有完善的参数过滤机制,攻击者利用SQL注入点进行攻击;也可能是数据库没有进行合理的权限控制且内部存放的敏感数据内容未加密。针对安全事件的根本原因,开展全方面的修补和加固工作。

经验总结:在最后的经验总结阶段,需要应急响应团队以及事件涉及到的相关人员参与,必须时还需要高层管理人员的共同参与。需要对安全事件全过程进行回顾,团队负责人要对最终的处置结果以及事件造成的影响进行汇报。参与者可以针对此次应急响应工作过程中暴露出的问题提出意见和建议。例如,应急响应团队花费了很长时间才成功遏制安全事件,应确定为什么,可能是不具备完善的安全事件检测手段;可能是相关人员没有足够的知识技能进行有效应对;也可能是部门之间沟通不畅,缺乏协同工作的能力导致效率低下等。需要注意的是,这个阶段的输出产物可以运用到应急响应工作的各个阶段,甚至可以为今后的安全建设工作提供最为珍贵的经验教训。

从上述每个步骤的工作内容来看,应急响应是一项需要充分的准备并严密组织的工作。它必须避免不正确的和可能是灾难性的动作或忽略了关键步骤的情况发生。这就需要掌握足够的安全技能,并且具备一定的追踪侦查能力、沟通能力、心理学知识并且掌握必要法律知识的专业安全人士的参与。但是在很多情况下,企业并不具有具备以上知识的专业人员,因此应急响应团队的构建需要外部资源的协助。

在应急响应支持方面,绿盟科技多年来积累了丰富的经验。无论是收集信息的完整性,还是事件分析过程的科学性和准确性都在业内处于领先的位置。在经验与技术的完美结合之下,能够更加容易捕获信息中的蛛丝马迹,为事件分析去的突破性进展打下基础。

绿盟科技应急响应服务采用规范化管理,支持人员均严格按照设定的流程来进行各项工作。而绿盟科技的应急服务规范和流程均来自于多年的应急响应实践,完全符合应急响应事件处理的相关要求。在确保获得分析事件必需数据的同时,也防止了可能对事件目标产生的影响。

绿盟科技部分安全服务资质汇总

  • ISO9001质量管理体系国际国内双认证
  • ISO27001安全认证(国内安全公司首家)
  • 信息安全风险评估服务资质(一级)
  • 信息安全应急处理服务资质一级
  • 国家安全服务资质(安全工程类二级)
  • 国家安全服务资质(安全开发类一级)
  • 计算机信息系统集成二级资质
  • 国家网络与信息安全信息通报技术支持单位
  • 国家级安全应急服务支撑单位
  • 应用安全联盟单位成员
  • 中国国家信息安全漏洞库(CNVD)技术一级支撑单位

绿盟科技参与多项重大项目安全保障

  • 2016年二十国集团峰会(G20)
  • 2016年贵阳国际大数据产业博览会
  • 2015年世界互联网大会第二届(乌镇)
  • 2015年世界反法西斯战争胜利70周年安保技术支持单位
  • 2015年北京2015年世界田径锦标赛安保活动安保技术支持单位
  • 2014年 国家网络安全宣传周
  • 2014年世界互联网大会(乌镇)
  • 2014年 APEC峰会(北京)
  • 2013年全国政府网站专项检查工作支持
  • 2011年第14届国际泳联世界锦标赛
  • 2012年“十八大”期间重要部门安全保障
  • 2011年第26届世界大学生夏季运动会网络信息安全保障
  • 2010年第16届亚运会(广州)
  • 2010年世界博览会(上海)
  • 2009年国庆六十周年保障
  • 2009年第11届全运会(济南)
  • 2009年新华网温总理网络访谈技术保障
  • 2008年第二十九届奥运会安全值守
  • 2007年“十七大”期间重要部门保障
  • 2006年第100届广交会
  • 2005年中国-东盟博览会
  • 2004年春节联欢晚会
  • 2002年第66届国际电工委员会年会(IEC) 渠道合作

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment