逢敌必亮剑——如何有效地开展应急响应工作

检测

检测网络环境中潜在风险或者事件的手段有很多，例如：安全防护设备的告警提示、日常巡检和日志审查时发现的异常行为、来源于用户的事件投诉、甚至有一些大型企业已经引入的威胁情报（包括热点安全事件、安全行业动态、最新的攻防研究成果、监管机构政策解读等）。相关安全人员需要分析判断这些事件，以确定是否是真实的安全事件。我们通常认定这些安全人员为安全事件的第一响应人，他们需要在短时间内区分典型IT问题和安全事件，类似于医疗急救人员，在事故现场提供医疗援助，必要时为患者提供医疗救助。众所周知，医疗急救人员有专项培训，以帮助他们在面对轻度和重大伤害时采取适当的援助手段。同样，专业安全人员也需要专门的培训，使他们在对面一个典型问题时可以进行果断处置，同时能够对安全事件进行分类、分级，启动适当的处置工作。如果确定是一个安全事件后，需要转向下一个步骤：响应。

响应

安全事件的响应程度取决于事件的严重程度，许多企业拥有指定的应急响应团队，他们可能来自于内部科技人员，也可能来自于专业的安全公司。团队成员将协助事件调查、评估危害、收集证据、报告事件和恢复，还会参与修复和经验教训总结，并进行安全事件根本原因分析。能够有效地响应一个安全事件，可以大幅度降低企业的各项损失，如果一个安全事件持续了几小时甚至几天仍然无法解决，那么后果将会不堪设想，例如，一个金融机构遭遇了大流量的DDOS攻击，所有对外的互联网业务将会中断；一个攻击者试图窃取客户数据库，在较长时间内没有进行有效控制，攻击者完全有可能获取到整个数据库的副本。

缓解

当安全事件已经不可避免的发生时，采取相应的技术手段缓解或控制事件的影响范围也是至关重要的一点。例如，对外提供的互联网业务的WEB服务器遭受了黑客的入侵，科技人员可以对受攻击的服务器进行单独的网络隔离，避免问题蔓延到其他网络区域，如果对业务连续性没有特殊要求时，甚至可以禁用网卡、断开网络。人们常说：不想当将军的士兵不是好士兵，在攻防领域也有这样一句话：不想拿到root的黑客不是好黑客。在笔者多次参与的应急响应工作中发现，许多攻击者在拿下一台服务器后不会就此满足，他们会把这台主机当作进行进入内网的“跳板”，进而继续挖掘更多更有价值的数据。

报告

报告是指向企业内部和企业外部报告安全事件，由于事件的危害程度与影响范围不同，内部的安全事件报告更偏重于安全事件的前因后果分析，安全事件的全过程细节、安全策略方面的缺陷、技术手段不足以及事件问责等。外部事件报告则是面向用户和官方机构的，包括简短的事件概述、影响范围及造成的直接或间接的损失。许多国家都制定了管理合规性法律来规范保存在信息系统中的敏感数据。我国《中华人民共和国网络安全法》将于2017年6月1日起施行，其中也对数据安全方面有了更加明确的要求。

恢复

在对一个安全事件收集到适当证据后，所面临的问题就是系统恢复，或者是恢复到一个正常的状态。对于小事件来说很简单，可能只需重启服务、重启系统，但是对于一个重大的安全事件就可能需要问题系统调整策略架构、重新部署，甚至完全新建一个系统，同时需要从最近的备份中恢复全部的数据。如果要进行系统重建，需要企业具备有效的配置管理和变更管理机制，包括必要的配置文档、合理的访问控制手段、关闭或删除不必要的服务和端口、安装最新的安全补丁以及修改系统账户和策略的默认配置等。

修复

在修复阶段，需要追溯分析安全事件发生的根本原因，如果一个安全事件导致企业部分数据丢失，那么我们需要从攻击者完整的攻击链条上分析每一个可能存在缺陷的元素，进而找到事件的根本原因。可能是对外提供服务的WEB服务器没有进行漏洞补丁更新，允许恶意攻击远程执行系统命令，上传WEBSHELL获取高级权限；也可能是网站开发编码不规范，同时也没有完善的参数过滤机制，攻击者利用SQL注入点进行攻击；也可能是数据库没有进行合理的权限控制且内部存放的敏感数据内容未加密。针对安全事件的根本原因，开展全方面的修补和加固工作。