应急响应简谈

=Start=

缘由:

之前在blog中记录过2篇和应急响应直接相关的内容「安全应急响应检查清单」&「安全事件应急响应处理指南」,现在网上和安全应急响应相关的文章也很多,内容、质量也都挺不错的;所以,在此我不准备详细描述应急响应的具体细节,有需要的可以参考本文最后的「参考链接」,这里我只简单谈一下我在一个较大的互联网企业中见到的相关流程和注意事项,以及我个人的一些想法,仅供参考。

正文:

参考解答:
0x01-为什么会有「应急响应」?

随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。

说得更简单一点就是:应急响应是一个完善的网络安全体系中不可或缺的一环。

在互联网企业中,安全的存在主要是为了保障业务的连续性(更高级一点的——安全可以作为业务的一个属性而存在),使业务不至于因为安全的问题而受到影响。因此,安全响应的功能有以下几点:

【核心】保障业务
【其次】还原攻击链路,明确攻击者意图,提供解决方案,查漏补缺,举一反三,避免再次受到同类攻击的影响
【可选】通过取证走司法途径
【不建议】对攻击者采取反制措施

0x02-互联网企业中常见的「应急响应」事件类型?

常见的有:

  • 被“黑了/拖库”
  • 被入侵
  • 客户信息泄露
  • 被蠕虫
  • 被钓鱼
  • 被劫持
  • 被DDOS
  • ……

基本上只要和「安全」沾边的可能都需要「应急响应」。即便有些时候这事和你没什么关系,但如果有机会的话多去了解了解、学习学习别人是怎么处理的,提高一下自己的姿势水平总没错。

0x03-「应急响应」的一些方法论?

最常见的可能就是——应急响应PDCERF模型了:

  • 准备(Preparation)
  • 检测(Detection)
  • 抑制(Containment)
  • 根除(Eradication)
  • 恢复(Recovery)
  • 跟踪(Follow-up)

这几个步骤相互关联最后形成一个环状。如果针对任何一个较为严重的事件响应无法形成一个闭环,那么这个应急响应就可以说是不合格或者未完成的!

0x04-「应急响应」的一些注意事项?

一个事件的大体生命周期如下:

  1. 事件发生(运维监控人员、客服审核人员、公司外部人员等的上报),发现问题,及时通报
  2. 事件确认:判断事件的真实性和严重性,评估出问题的严重等级,是否向上进行汇报等
  3. 事件响应:各部门通力合作,处理安全问题,具体解决阶段。
  4. 事件关闭:处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,追踪事件中暴露出来的问题是否得到了有效的整改,最后才是完成整个应急响应的过程。

①可以看到,「事件确认」是在「事件响应」之前的,很多时候,从其它地方报出来的问题,不一定是真问题,不一定都需要响应,需要先判断事件的真实性

②凡事预则立,不预则废!

事前:

  • 规范制度、相关联系名单、技术工具、安全统一平台、安全运营等要提前准备好。
  • 在有条件的情况下,可以考虑借助威胁情报的力量将对抗提前,尽量将问题消灭在襁褓中。

事中:

  • 止损第一!止损第一!止损第一!
  • 事件处理流程化、标准化,最好要有相对应的SOP来保证,尽量减少对处理人员经验的依赖。
  • 安全对外最好只有一个消息出口(内部可以提前讨论、准备好话术),好统一口径,避免给其他部门的人内部不团结、不专业的印象。
  • 不要私下讨论!安全问题,尤其是比较严重的安全问题,不是底下几个安全、运维、开发工程师私下沟通、达成协议就能处理得好的,一定要按照预先准备好的负责人、接口人名单拉群沟通处理,问题越严重、越紧急,需要周知到的相关人员的级别就越高!
  • IM联系不上,就打电话;本人联系不上,就找他leader,直到找到能处理问题的相关人员。
  • 在有高级别人员的群中,说话要注意方式、方法,避免因为处理安全问题而给老板留下不好的印象。
  • 作为一个安全问题处理人员,提出的解决方案要体现出自己的专业性,妥协的话不该是底层的人员说的,这话应该由相关方面的负责人,甚至是整体安全的负责人来说。

事后:

  • 借助5whys分析法进行根因分析,找出所有可能的问题原因。
  • 借助工具跟进、监控todo项,及时掌握问题处理进度,避免待办事项最后无疾而终。

最后想说的是,安全问题不是洪水猛兽,现实中再完备的安全保护也无法抵御所有危险;安全部门一方面可以借助安全问题推动业务方进行改进,另一方面也可以借此检视一下自身的安全防护手段是否生效、是否还存在需要改进的地方,不断完善提高。

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4603.html

《应急响应简谈》上有1条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注