對(duì)于計(jì)算機(jī)安全事件響應(yīng)(CSIRT)團(tuán)隊(duì)來說,必須時(shí)刻準(zhǔn)備好應(yīng)對(duì)突發(fā)的網(wǎng)絡(luò)安全事件。根據(jù)過去的處置經(jīng)驗(yàn),在嚴(yán)重安全事件后,把握好第一個(gè)小時(shí)的時(shí)間窗口無比重要。當(dāng)事件發(fā)生后,快速制定應(yīng)急方案,充分調(diào)動(dòng)內(nèi)外部團(tuán)隊(duì)資源,并讓所有成員搞清楚自己的分工是一項(xiàng)艱巨但重要的任務(wù)。此刻,保持頭腦冷靜、行動(dòng)周全對(duì)于成功處理安全事件至關(guān)重要,而如果陷入到焦慮不安的恐慌中,將會(huì)嚴(yán)重影響事件響應(yīng)團(tuán)隊(duì)做出正確的決策。
通過對(duì)成功應(yīng)急案例的分析,本文總結(jié)了把握安全事件響應(yīng)黃金一小時(shí)的幾個(gè)關(guān)鍵點(diǎn),可以幫助企業(yè)提升安全事件響應(yīng)的效果。
要點(diǎn)一:快速了解事件相關(guān)信息
在嚴(yán)重安全事件突然發(fā)生后,如果要充分利用好最關(guān)鍵的黃金一小時(shí),不僅需要現(xiàn)場(chǎng)的預(yù)案與準(zhǔn)確處置,更需要事先全面了解資產(chǎn)和潛在對(duì)手,提前設(shè)置好處置任務(wù)的優(yōu)先級(jí),這樣才能在需要時(shí)迅速做出決策,并在必要時(shí)通過使用排除法來發(fā)現(xiàn)真相。
在開啟突發(fā)安全事件處置流程之前,安全分析師要盡可能全面了解事件相關(guān)信息,這需要他們?cè)谌粘9ぷ髦谐浞质煜ぷ陨淼慕巧吐氊?zé)。快速變化的IT環(huán)境經(jīng)常需要分析師實(shí)時(shí)同步更新自己的技能組合,比如了解云計(jì)算、大數(shù)據(jù)等。在安全事件實(shí)際發(fā)生后,分析師應(yīng)迅速識(shí)別其負(fù)責(zé)的所有資產(chǎn)運(yùn)行狀態(tài),并積極參與到漏洞管理和掃描發(fā)現(xiàn)過程。
所收集的安全事件信息質(zhì)量決定了事件響應(yīng)的結(jié)果,幫助分析師準(zhǔn)確了解他們面臨威脅的程度與可能后果。需要指出的是,由于很多攻擊團(tuán)伙在現(xiàn)在使用“攻擊即服務(wù)”的Saas化商業(yè)模式,這些攻擊技術(shù)并不復(fù)雜,CSIRT團(tuán)隊(duì)通過日常積累,就可以對(duì)可能面臨的主要威脅提前進(jìn)行準(zhǔn)備。但是在一些比較敏感的場(chǎng)景(比如能源等關(guān)鍵基礎(chǔ)設(shè)施部門受到攻擊)中,安全分析師需要留意是否存在更多的非常規(guī)性攻擊方法。
要點(diǎn)二:和時(shí)間賽跑,跳過卡住的問題
警鈴響起,安全團(tuán)隊(duì)需要迅速冷靜下來,準(zhǔn)備回答第一個(gè)問題:“我在第一個(gè)小時(shí)應(yīng)該做什么?”嚴(yán)重事件的第一個(gè)小時(shí)又叫危機(jī)階段,其特點(diǎn)是混亂、恐慌、趕到現(xiàn)場(chǎng)和陷入僵局。但是訓(xùn)練有素的安全分析師會(huì)展開細(xì)致入微的調(diào)查工作。
另一方面,在許多情況下,分析師可能往往信息不全、無法在有限的時(shí)間內(nèi)實(shí)施解決方案以及缺少相應(yīng)的權(quán)限。在這種情況下,事件響應(yīng)團(tuán)隊(duì)必須清楚地表述其專業(yè)知識(shí),并推動(dòng)工作開展下去。
在進(jìn)行調(diào)查和根本原因分析時(shí),事件響應(yīng)團(tuán)隊(duì)常常陷入尋找遺失的線索這種困境。這又導(dǎo)致懷疑和猶豫。在嚴(yán)重事件后的第一個(gè)小時(shí),時(shí)間很寶貴。就像參加時(shí)間限定的考試一樣,先跳過卡住的問題。
如今,由于很多企業(yè)組織廣泛采用了威脅檢測(cè)和響應(yīng)技術(shù),事件響應(yīng)遏制流程常常得到簡(jiǎn)化,這類技術(shù)或產(chǎn)品,甚至只需按一下按鈕,即可快速實(shí)現(xiàn)網(wǎng)絡(luò)遏制功能。然而,如果使用傳統(tǒng)的網(wǎng)絡(luò)遏制工具,其效果可能并不那么容易實(shí)現(xiàn),此時(shí)安全人員需要盡快找到穩(wěn)妥并可靠的實(shí)現(xiàn)辦法。
要點(diǎn)三:找出真相,堵住缺口
也許一小時(shí)后,仍有很多問題沒有被解決。現(xiàn)在應(yīng)該花一些時(shí)間思考種種可能性,并列出一份清單。以筆者實(shí)際處理過的一起安全事件為例:攻擊者在服務(wù)器上啟動(dòng)了反向shell。我們決定立即決定遏制這臺(tái)服務(wù)器,并收集所有攻擊證據(jù)。但是,我們無法弄清楚這臺(tái)服務(wù)器是如何被闖入的,于是列出了所有可訪問的服務(wù),仔細(xì)檢查了每個(gè)服務(wù)的相關(guān)日志。
我們起初以為一款I(lǐng)T操作工具是攻陷指標(biāo)。但最終排除所有可能性,推翻了這種猜測(cè),得出了Web服務(wù)存在固有的安全漏洞這一結(jié)論。
有時(shí)在事后分析期間,安全分析師在了解事件相互之間的關(guān)系時(shí)可能遇到挫折。但只要有足夠的耐心和合理的心態(tài),真相總會(huì)浮出水面。
