對于計算機安全事件響應(CSIRT)團隊來說,必須時刻準備好應對突發的網絡安全事件。根據過去的處置經驗,在嚴重安全事件后,把握好第一個小時的時間窗口無比重要。當事件發生后,快速制定應急方案,充分調動內外部團隊資源,并讓所有成員搞清楚自己的分工是一項艱巨但重要的任務。此刻,保持頭腦冷靜、行動周全對于成功處理安全事件至關重要,而如果陷入到焦慮不安的恐慌中,將會嚴重影響事件響應團隊做出正確的決策。
通過對成功應急案例的分析,本文總結了把握安全事件響應黃金一小時的幾個關鍵點,可以幫助企業提升安全事件響應的效果。
要點一:快速了解事件相關信息
在嚴重安全事件突然發生后,如果要充分利用好最關鍵的黃金一小時,不僅需要現場的預案與準確處置,更需要事先全面了解資產和潛在對手,提前設置好處置任務的優先級,這樣才能在需要時迅速做出決策,并在必要時通過使用排除法來發現真相。
在開啟突發安全事件處置流程之前,安全分析師要盡可能全面了解事件相關信息,這需要他們在日常工作中充分熟悉自身的角色和職責。快速變化的IT環境經常需要分析師實時同步更新自己的技能組合,比如了解云計算、大數據等。在安全事件實際發生后,分析師應迅速識別其負責的所有資產運行狀態,并積極參與到漏洞管理和掃描發現過程。
所收集的安全事件信息質量決定了事件響應的結果,幫助分析師準確了解他們面臨威脅的程度與可能后果。需要指出的是,由于很多攻擊團伙在現在使用“攻擊即服務”的Saas化商業模式,這些攻擊技術并不復雜,CSIRT團隊通過日常積累,就可以對可能面臨的主要威脅提前進行準備。但是在一些比較敏感的場景(比如能源等關鍵基礎設施部門受到攻擊)中,安全分析師需要留意是否存在更多的非常規性攻擊方法。
要點二:和時間賽跑,跳過卡住的問題
警鈴響起,安全團隊需要迅速冷靜下來,準備回答第一個問題:“我在第一個小時應該做什么?”嚴重事件的第一個小時又叫危機階段,其特點是混亂、恐慌、趕到現場和陷入僵局。但是訓練有素的安全分析師會展開細致入微的調查工作。
另一方面,在許多情況下,分析師可能往往信息不全、無法在有限的時間內實施解決方案以及缺少相應的權限。在這種情況下,事件響應團隊必須清楚地表述其專業知識,并推動工作開展下去。
在進行調查和根本原因分析時,事件響應團隊常常陷入尋找遺失的線索這種困境。這又導致懷疑和猶豫。在嚴重事件后的第一個小時,時間很寶貴。就像參加時間限定的考試一樣,先跳過卡住的問題。
如今,由于很多企業組織廣泛采用了威脅檢測和響應技術,事件響應遏制流程常常得到簡化,這類技術或產品,甚至只需按一下按鈕,即可快速實現網絡遏制功能。然而,如果使用傳統的網絡遏制工具,其效果可能并不那么容易實現,此時安全人員需要盡快找到穩妥并可靠的實現辦法。
要點三:找出真相,堵住缺口
也許一小時后,仍有很多問題沒有被解決。現在應該花一些時間思考種種可能性,并列出一份清單。以筆者實際處理過的一起安全事件為例:攻擊者在服務器上啟動了反向shell。我們決定立即決定遏制這臺服務器,并收集所有攻擊證據。但是,我們無法弄清楚這臺服務器是如何被闖入的,于是列出了所有可訪問的服務,仔細檢查了每個服務的相關日志。
我們起初以為一款IT操作工具是攻陷指標。但最終排除所有可能性,推翻了這種猜測,得出了Web服務存在固有的安全漏洞這一結論。
有時在事后分析期間,安全分析師在了解事件相互之間的關系時可能遇到挫折。但只要有足夠的耐心和合理的心態,真相總會浮出水面。
