《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 把握安全事件響應(yīng)的黃金一小時(shí)

把握安全事件響應(yīng)的黃金一小時(shí)

2022-03-21
來源:安全牛
關(guān)鍵詞: 安全事件響應(yīng)

  對于計(jì)算機(jī)安全事件響應(yīng)(CSIRT)團(tuán)隊(duì)來說,必須時(shí)刻準(zhǔn)備好應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件。根據(jù)過去的處置經(jīng)驗(yàn),在嚴(yán)重安全事件后,把握好第一個(gè)小時(shí)的時(shí)間窗口無比重要。當(dāng)事件發(fā)生后,快速制定應(yīng)急方案,充分調(diào)動(dòng)內(nèi)外部團(tuán)隊(duì)資源,并讓所有成員搞清楚自己的分工是一項(xiàng)艱巨但重要的任務(wù)。此刻,保持頭腦冷靜、行動(dòng)周全對于成功處理安全事件至關(guān)重要,而如果陷入到焦慮不安的恐慌中,將會嚴(yán)重影響事件響應(yīng)團(tuán)隊(duì)做出正確的決策。

  通過對成功應(yīng)急案例的分析,本文總結(jié)了把握安全事件響應(yīng)黃金一小時(shí)的幾個(gè)關(guān)鍵點(diǎn),可以幫助企業(yè)提升安全事件響應(yīng)的效果。

  要點(diǎn)一:快速了解事件相關(guān)信息

  在嚴(yán)重安全事件突然發(fā)生后,如果要充分利用好最關(guān)鍵的黃金一小時(shí),不僅需要現(xiàn)場的預(yù)案與準(zhǔn)確處置,更需要事先全面了解資產(chǎn)和潛在對手,提前設(shè)置好處置任務(wù)的優(yōu)先級,這樣才能在需要時(shí)迅速做出決策,并在必要時(shí)通過使用排除法來發(fā)現(xiàn)真相。

  在開啟突發(fā)安全事件處置流程之前,安全分析師要盡可能全面了解事件相關(guān)信息,這需要他們在日常工作中充分熟悉自身的角色和職責(zé)。快速變化的IT環(huán)境經(jīng)常需要分析師實(shí)時(shí)同步更新自己的技能組合,比如了解云計(jì)算、大數(shù)據(jù)等。在安全事件實(shí)際發(fā)生后,分析師應(yīng)迅速識別其負(fù)責(zé)的所有資產(chǎn)運(yùn)行狀態(tài),并積極參與到漏洞管理和掃描發(fā)現(xiàn)過程。

  所收集的安全事件信息質(zhì)量決定了事件響應(yīng)的結(jié)果,幫助分析師準(zhǔn)確了解他們面臨威脅的程度與可能后果。需要指出的是,由于很多攻擊團(tuán)伙在現(xiàn)在使用“攻擊即服務(wù)”的Saas化商業(yè)模式,這些攻擊技術(shù)并不復(fù)雜,CSIRT團(tuán)隊(duì)通過日常積累,就可以對可能面臨的主要威脅提前進(jìn)行準(zhǔn)備。但是在一些比較敏感的場景(比如能源等關(guān)鍵基礎(chǔ)設(shè)施部門受到攻擊)中,安全分析師需要留意是否存在更多的非常規(guī)性攻擊方法。

  要點(diǎn)二:和時(shí)間賽跑,跳過卡住的問題

  警鈴響起,安全團(tuán)隊(duì)需要迅速冷靜下來,準(zhǔn)備回答第一個(gè)問題:“我在第一個(gè)小時(shí)應(yīng)該做什么?”嚴(yán)重事件的第一個(gè)小時(shí)又叫危機(jī)階段,其特點(diǎn)是混亂、恐慌、趕到現(xiàn)場和陷入僵局。但是訓(xùn)練有素的安全分析師會展開細(xì)致入微的調(diào)查工作。

  另一方面,在許多情況下,分析師可能往往信息不全、無法在有限的時(shí)間內(nèi)實(shí)施解決方案以及缺少相應(yīng)的權(quán)限。在這種情況下,事件響應(yīng)團(tuán)隊(duì)必須清楚地表述其專業(yè)知識,并推動(dòng)工作開展下去。

  在進(jìn)行調(diào)查和根本原因分析時(shí),事件響應(yīng)團(tuán)隊(duì)常常陷入尋找遺失的線索這種困境。這又導(dǎo)致懷疑和猶豫。在嚴(yán)重事件后的第一個(gè)小時(shí),時(shí)間很寶貴。就像參加時(shí)間限定的考試一樣,先跳過卡住的問題。

  如今,由于很多企業(yè)組織廣泛采用了威脅檢測和響應(yīng)技術(shù),事件響應(yīng)遏制流程常常得到簡化,這類技術(shù)或產(chǎn)品,甚至只需按一下按鈕,即可快速實(shí)現(xiàn)網(wǎng)絡(luò)遏制功能。然而,如果使用傳統(tǒng)的網(wǎng)絡(luò)遏制工具,其效果可能并不那么容易實(shí)現(xiàn),此時(shí)安全人員需要盡快找到穩(wěn)妥并可靠的實(shí)現(xiàn)辦法。

  要點(diǎn)三:找出真相,堵住缺口

  也許一小時(shí)后,仍有很多問題沒有被解決?,F(xiàn)在應(yīng)該花一些時(shí)間思考種種可能性,并列出一份清單。以筆者實(shí)際處理過的一起安全事件為例:攻擊者在服務(wù)器上啟動(dòng)了反向shell。我們決定立即決定遏制這臺服務(wù)器,并收集所有攻擊證據(jù)。但是,我們無法弄清楚這臺服務(wù)器是如何被闖入的,于是列出了所有可訪問的服務(wù),仔細(xì)檢查了每個(gè)服務(wù)的相關(guān)日志。

  我們起初以為一款I(lǐng)T操作工具是攻陷指標(biāo)。但最終排除所有可能性,推翻了這種猜測,得出了Web服務(wù)存在固有的安全漏洞這一結(jié)論。

  有時(shí)在事后分析期間,安全分析師在了解事件相互之間的關(guān)系時(shí)可能遇到挫折。但只要有足夠的耐心和合理的心態(tài),真相總會浮出水面。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。