當(dāng)前位置：安全 → 企業(yè)動(dòng)態(tài) → 正文

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的新常態(tài)

責(zé)任編輯：editor004 作者：趙糧 |來(lái)源：企業(yè)網(wǎng)D1Net 2015-06-24 11:31:41 本文摘自：CCTIME飛象網(wǎng)

摘要：

新一代威脅不僅傳播速度更快，其所利用的攻擊面也越來(lái)越寬廣，可以覆蓋移動(dòng)、桌面、網(wǎng)絡(luò)、Web和各種應(yīng)用、社交網(wǎng)絡(luò)等。這樣，一方面留給應(yīng)急響應(yīng)的時(shí)間窗口越來(lái)越小，另一方面應(yīng)急響應(yīng)所需的威脅知識(shí)、專業(yè)技能、技術(shù)手段等卻不斷增加。專業(yè)化、系統(tǒng)化、自動(dòng)化等越來(lái)越關(guān)鍵，大規(guī)模的安全情報(bào)系統(tǒng)和專家社會(huì)網(wǎng)絡(luò)系統(tǒng)相互融合，“天地人機(jī)”協(xié)同作戰(zhàn)將會(huì)成為網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的新常態(tài)。

1應(yīng)急因?yàn)橛?ldquo;急”

近年以來(lái)，高等級(jí)的安全應(yīng)急響應(yīng)活動(dòng)越來(lái)越頻繁，下圖是2014年發(fā)生的心臟滴血、破殼、沙蟲(chóng)、Poodle等幾次重要應(yīng)急響應(yīng)事件的時(shí)序圖。一方面因?yàn)閷?duì)快速響應(yīng)市場(chǎng)需求的追求，開(kāi)源和商業(yè)組件獲得更大規(guī)模的應(yīng)用，導(dǎo)致任何一個(gè)底層組件出現(xiàn)重大安全漏洞都會(huì)影響數(shù)千萬(wàn)甚至數(shù)億設(shè)備和用戶；另一方面國(guó)家網(wǎng)際空間安全能力的爭(zhēng)奪導(dǎo)致漏洞挖掘和利用能力的研究不斷深入，更新的挖掘和利用方法被發(fā)掘出來(lái)。相信這個(gè)趨勢(shì)在可預(yù)測(cè)的時(shí)間內(nèi)還將繼續(xù)發(fā)展。

當(dāng)一個(gè)嚴(yán)重漏洞，尤其是某種新的利用工具（POC）被披露后，通過(guò)各種社交網(wǎng)絡(luò)和網(wǎng)絡(luò)媒體，在小時(shí)級(jí)的時(shí)間尺度上將會(huì)獲得迅速傳播，響應(yīng)的攻擊行為迅速增加。圖2是在心臟滴血漏洞利用披露后IBM監(jiān)視到的網(wǎng)絡(luò)攻擊行為。可以看到4.7披露，4.10日開(kāi)始有大規(guī)模攻擊，然后高位持續(xù)了10天左右時(shí)間。換句話說(shuō)，72小時(shí)更像是安全應(yīng)急響應(yīng)的“黃金時(shí)間窗口”，在這個(gè)時(shí)間內(nèi)成功完成響應(yīng)活動(dòng)，將會(huì)有更大的概率避免被“攻陷”。

但是，令人遺憾的是，當(dāng)前從整個(gè)網(wǎng)絡(luò)角度看，安全應(yīng)急響應(yīng)的時(shí)效性（也直接影響了有效性）很不理想。圖3顯示在心臟滴血漏洞披露72小時(shí)時(shí)，國(guó)內(nèi)網(wǎng)站修復(fù)比例只有18%左右，換句話說(shuō)，有72%的網(wǎng)站依然處于“脆弱性”狀態(tài)，暴露在已經(jīng)非常活躍的網(wǎng)絡(luò)攻擊之下。

這給了我們啟發(fā)和思考。大規(guī)模的安全應(yīng)急響應(yīng)活動(dòng)是一個(gè)系統(tǒng)工程，對(duì)于國(guó)家整體、或某個(gè)地區(qū)、某個(gè)行業(yè)而言，其成功與否，或整體的安全性，并不只取決于少數(shù)安全專家“高精尖”的技術(shù)研究活動(dòng)；及時(shí)有效地大規(guī)模實(shí)施一系列“響應(yīng)”活動(dòng)、從而獲得（或者恢復(fù)保持）整體安全性的戰(zhàn)略動(dòng)員和自動(dòng)化部署能力，可能更為關(guān)鍵。

2有效應(yīng)急響應(yīng)的成功要素

圖4是筆者嘗試對(duì)大規(guī)模應(yīng)急響應(yīng)活動(dòng)建立的一個(gè)工程模型，用以識(shí)別其中的關(guān)鍵成功要素，從而能夠?qū)?guó)家、地區(qū)、行業(yè)、大型企業(yè)組織等層面的應(yīng)急響應(yīng)活動(dòng)提供一些參考。

2.1洞悉敵情

從近年的安全實(shí)踐來(lái)看，威脅情報(bào)（TI）或網(wǎng)際威脅情報(bào)（CTI）的重要性無(wú)論怎么強(qiáng)調(diào)都不過(guò)分。洞悉敵情，也即在第一時(shí)間了解自身信息資產(chǎn)所面臨的新漏洞（老漏洞新攻擊方法）、新攻擊工具和方法、威脅環(huán)境變化等，這是安全活動(dòng)和決策的重要依據(jù)。

在“敵情”發(fā)現(xiàn)后，安全專家就其原理、影響進(jìn)行分析復(fù)現(xiàn)，研究其檢測(cè)和防御方法，判定是否需要啟動(dòng)緊急“響應(yīng)”，推薦適當(dāng)?shù)?ldquo;防御”活動(dòng)。因?yàn)樗械?ldquo;防御”活動(dòng)都意味著成本，“時(shí)效性”要求本身也意味著額外的成本。“不惜一切代價(jià)”、“消除所有漏洞和威脅”、“確保萬(wàn)無(wú)一失”是口號(hào)，而不是真正的戰(zhàn)斗。

2.2武器到位

掌握威脅情報(bào)并及時(shí)研究出有效的防御方法只是“長(zhǎng)征”的第一步。將相應(yīng)的“防御”方法及時(shí)有效地部署并使之產(chǎn)生最終的“防御”效果是個(gè)更大的挑戰(zhàn)。這個(gè)過(guò)程就是“武器化”的過(guò)程。這里的武器包括用以溝通動(dòng)員的各種分析報(bào)告、通告、微博、微信、短信等，用以升級(jí)安全系統(tǒng)的各種補(bǔ)丁、插件、規(guī)則、快速App等，用以指導(dǎo)系統(tǒng)管理員進(jìn)行手工操作的快速判斷方法、檢測(cè)方法、修復(fù)和規(guī)避方法等。

2.3大規(guī)模服務(wù)能力

在小時(shí)時(shí)間尺度內(nèi)，對(duì)成千上萬(wàn)的設(shè)備系統(tǒng)等進(jìn)行安全升級(jí)和修復(fù)，并不是一件容易的事情。應(yīng)急響應(yīng)可能需要業(yè)務(wù)中斷、額外的資源投入（例如加班）、以及相關(guān)聯(lián)的其它業(yè)務(wù)延遲等。因此，大規(guī)模的安全應(yīng)急響應(yīng)首先應(yīng)該取得管理層、業(yè)務(wù)等部門的理解和支持，需要將“急”和“后果”講清楚，需要有良好的可視化和溝通能力。

戰(zhàn)略動(dòng)員能力是指整個(gè)組織范圍內(nèi)調(diào)動(dòng)各種資源（人、物、財(cái)、信息等）、在非常有限的時(shí)間內(nèi)達(dá)成應(yīng)急響應(yīng)目標(biāo)的能力。安全團(tuán)隊(duì)需要通過(guò)溝通提高管理層對(duì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)活動(dòng)的重視、以及網(wǎng)安團(tuán)隊(duì)自身在組織內(nèi)的影響力、部署能力等。

形成決策后，有必要系統(tǒng)地使用社交網(wǎng)絡(luò)技術(shù)以提高溝通效率、組織動(dòng)員“應(yīng)急響應(yīng)”團(tuán)隊(duì)、發(fā)布指令、同步各種響應(yīng)活動(dòng)的信息等。

通過(guò)不同形式的“軟件定義”架構(gòu)，逐步建設(shè)大規(guī)模的自動(dòng)化部署能力，例如規(guī)模化地升級(jí)系統(tǒng)配置、對(duì)系統(tǒng)服務(wù)進(jìn)行重新編排。

此外，線上線下（O2O）安全專家的互動(dòng)在安全應(yīng)急響應(yīng)活動(dòng)中也非常重要。“線上”或“云中”掌握最新的威脅情報(bào)和全局動(dòng)態(tài)，“線下”擁有第一手的數(shù)據(jù)和實(shí)際操作能力，例如實(shí)際業(yè)務(wù)影響判斷、現(xiàn)場(chǎng)取證分析等。將線上線下能力“集成”起來(lái)、相互補(bǔ)充才是最有力的戰(zhàn)斗。

2.4監(jiān)視和閉環(huán)

監(jiān)視和閉環(huán)是指監(jiān)視“急”和“應(yīng)急”活動(dòng)的最新進(jìn)展，并對(duì)“應(yīng)急”活動(dòng)的效果進(jìn)行評(píng)價(jià)，以便針對(duì)性的相應(yīng)調(diào)整。監(jiān)視和閉環(huán)需要大范圍的數(shù)據(jù)獲取能力和處理分析能力。

3應(yīng)急響應(yīng)的能力建設(shè)

從上面的要素中可以看到，能夠成功的實(shí)施應(yīng)急響應(yīng)，都關(guān)乎到應(yīng)急響應(yīng)的能力建設(shè)。2014年，工信部發(fā)布了《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見(jiàn)》，意見(jiàn)明確指出，需要提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力，制定和完善各單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案，健全大規(guī)模拒絕服務(wù)攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶信息泄露等突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急協(xié)同配合機(jī)制。

其中無(wú)論是洞悉敵情、武器到位，還是大規(guī)模服務(wù)能力及監(jiān)視閉環(huán)，都需要一個(gè)多方參與的生態(tài)鏈才能共同打造完成，這里面需要用戶單位、主管單位、行業(yè)機(jī)構(gòu)、安全服務(wù)商、產(chǎn)品供應(yīng)商等多種角色進(jìn)行協(xié)作。綠盟科技作為安全服務(wù)商及產(chǎn)品供應(yīng)商，長(zhǎng)年關(guān)注威脅情報(bào)TI獲取，并著力完善應(yīng)急響應(yīng)體系建設(shè)及能力提升。

綠盟科技威脅情報(bào)服務(wù)體系包含了威脅監(jiān)測(cè)及響應(yīng)、數(shù)據(jù)分析及整理、業(yè)務(wù)情報(bào)及交付、風(fēng)險(xiǎn)評(píng)估及咨詢、安全托管及應(yīng)用等各個(gè)方面，涉及研究、產(chǎn)品、服務(wù)、運(yùn)營(yíng)及營(yíng)銷的各個(gè)環(huán)節(jié)，覆蓋了有效應(yīng)急響應(yīng)的各個(gè)要素，這些要素讓綠盟科技得以不斷提升應(yīng)急響應(yīng)的能力。其中，

全球客服中心（Service）:結(jié)合在全球設(shè)立的多個(gè)分支機(jī)構(gòu)，覆蓋美國(guó)、日本、英國(guó)、荷蘭、新加坡、澳大利亞、馬來(lái)西亞、韓國(guó)、阿聯(lián)酋、中國(guó)香港等多個(gè)國(guó)家與地區(qū)，能夠在客戶面臨緊急安全事件的時(shí)候，及時(shí)響應(yīng)客戶的請(qǐng)求；

威脅響應(yīng)中心（Response）:實(shí)時(shí)監(jiān)控互聯(lián)網(wǎng)安全威脅，并形成閉環(huán)跟蹤，用戶可以在第一時(shí)間通過(guò)各服務(wù)通道獲知并接收到這些威脅情報(bào)；

云安全運(yùn)營(yíng)中心（Operation）及云端客戶自助系統(tǒng)（portal）:讓用戶在安全事件發(fā)生時(shí)，盡快在線進(jìn)行安全威脅檢查，從而獲得及時(shí)的安全威脅應(yīng)對(duì)方法；

互聯(lián)網(wǎng)廣譜平臺(tái)（BroadSpectrum）:收集、分析及可視化呈現(xiàn)各類互聯(lián)網(wǎng)安全威脅數(shù)據(jù)，通過(guò)這些可視化的數(shù)據(jù)，可以更為直觀的描述當(dāng)前事件發(fā)展態(tài)勢(shì)；

產(chǎn)品在線升級(jí)系統(tǒng)（update）:用戶可以緊急事件發(fā)生后的1天內(nèi)獲得產(chǎn)品升級(jí)包；

攻防研究團(tuán)隊(duì)（Research）:與各行業(yè)各領(lǐng)域的組織充分協(xié)作，深入分析各類安全事件，并長(zhǎng)年跟蹤研究威脅發(fā)展態(tài)勢(shì)，用戶及社會(huì)各界可以通過(guò)研究報(bào)告，為提升自身的應(yīng)急響應(yīng)能力獲取理論及數(shù)據(jù)支撐。

無(wú)獨(dú)有偶，在今年RSA2015的三大主題中也提到了威脅情報(bào)（ThreatIntelligence），正是基于這個(gè)“知道”的前提，才能實(shí)現(xiàn)有效的應(yīng)急響應(yīng)，才有可能讓安全實(shí)現(xiàn)智能（SecurityIntelligence），進(jìn)而有能力應(yīng)對(duì)高級(jí)威脅（如APT），未知攻焉知防？這里也充分體現(xiàn)了一個(gè)快速響應(yīng)能力的建設(shè)問(wèn)題。另一方面，在與歷屆RSA與會(huì)者的交流中可以感受到，越來(lái)越多的用戶從關(guān)注已知威脅過(guò)渡到針對(duì)未知威脅的預(yù)警及防御，而這一能力也需要基于威脅情報(bào)的不斷積累，并結(jié)合大數(shù)據(jù)分析、多組織協(xié)作等方式方法，進(jìn)而將之變得穩(wěn)定可用，才有可能從已知向未知的跨越。

所以，在如今安全事件日益趨向0day，日益趨向高級(jí)的大環(huán)境下，應(yīng)急這個(gè)“急”顯得尤為重要，那么確定應(yīng)急響應(yīng)中的成功要素，不斷建設(shè)及提升應(yīng)急響應(yīng)的能力，應(yīng)該成為各單位及組織安全工作的新常態(tài)。每一次的“應(yīng)急響應(yīng)”活動(dòng)都是對(duì)安全組織的一次考試。獲取敵情、武器到位、大規(guī)模“服務(wù)”、監(jiān)視和閉環(huán)等要素活動(dòng)，也將不斷對(duì)安全組織的應(yīng)急能力提出挑戰(zhàn)。

4新常態(tài)

如前所述，成功的安全應(yīng)急響應(yīng)要求多種不同職責(zé)、技能的團(tuán)隊(duì)依托多種系統(tǒng)和情報(bào)密切協(xié)同，如圖5所示，“云地人機(jī)”代表著四大類基本資源要素，類似于安全應(yīng)急響應(yīng)的“風(fēng)林火山”。

“云”代表著線上、集中遠(yuǎn)程提供服務(wù)、彈性密集計(jì)算、大數(shù)據(jù)能力等；“地”意味著分布、線下或線上的遠(yuǎn)端；“人”代表著專家、專業(yè)領(lǐng)域知識(shí)等；“機(jī)”意味著系統(tǒng)、設(shè)備、代碼、自動(dòng)化等。“云”中有“人”、有“機(jī)”，“地”同樣也有“人”、有“機(jī)”。“云地”配合意味著線上線下、集中與分布的協(xié)同；“人機(jī)”配合意味著“機(jī)”需要面向安全決策、安全專家DrillDown、取證、根源分析來(lái)設(shè)計(jì)建設(shè)、安全專家需要有能力掌握有效使用各種安全系統(tǒng)等。“云”專家和“地”專家需要閉環(huán)，“云”設(shè)備和“地”設(shè)備也需要閉環(huán)，機(jī)—機(jī)結(jié)構(gòu)化信息交換、人機(jī)信息交換和可視化、人—人之間的信息同步等是“閉環(huán)”的重要基礎(chǔ)機(jī)制。這兩年來(lái)，以STIX為代表的機(jī)器可讀威脅情報(bào)交換技術(shù)在美國(guó)獲得了迅速發(fā)展，表征著美國(guó)政府和工業(yè)界在大規(guī)模安全應(yīng)急響應(yīng)能力方面的快速提升。

筆者希望本文提出的四階段應(yīng)急活動(dòng)、四類應(yīng)急協(xié)同資源等可以為不斷出現(xiàn)的大規(guī)模安全應(yīng)急響應(yīng)活動(dòng)提供一個(gè)簡(jiǎn)單的參考模型，得到同行專家和各位讀者的討論和批評(píng)指正。

關(guān)鍵字：應(yīng)急響應(yīng)STIX 響應(yīng)能力