【51CTO.com原创稿件】常言道:屋漏偏逢连夜雨,我同学所供职的公司最近真是祸不单行。月头遭遇了与合作商讨论对接的网站被莫名灌入了海量的垃圾帖子和信息之后;月中某位好奇害死猫的销售部员工点开了不明邮件的链接,导致了存有重要销售数据的文件被勒索软件锁定且高度加密;而月底则又有某位员工在离职之时批量导出项目文件和邮件,其高流量致使内网一度瘫痪、业务全部中断的恶果。他和所在的团队被迫持续地既充当“救火队员”又当“炊(bei)事(le)班(hei)长(guo)”,风风火火地经历了数个不眠之夜,可到头来还是被公司管理层责备。
怎么说呢?我觉得此事既在情理之中,又在意料之外。多年来,我们信息安全应急响应团队身处于整个管控环节的末端,只有在安全事件发生之后才能被告知到。因此长期以来我们所形成的固定思维便是:唯有精湛的技术和第一时间到达现场的热情才能体现我们的价值。可是现如今,无论是技术水平还是企业生存环境都已经发生了翻天覆地变化,我们光靠那种传统的“猛虎式”的快速响应显然只会给本来“干燥氛围”带去“火星”,而往往产生所谓的“次生事件效应”。但是,如果我们能够在注重沟通与报告的基础上,有计划、分步骤地以“蚁群式”协作推进,则会在带去“湿润空气”的同时,收获到让各方都能满意的效果。
下面我从新的角度,提出实现安全事件管控能力的五步走流程(见下图)。在每一步里,我都罗列了阶段目标、目标时间和关键行动。不过要提醒大家注意的是:所谓每个阶段的目标时间都并非是固定的,它们将完全取决于安全事件的性质、严重程度和团队的完成进度。而关键行动,也并非需要强制性地去逐条执行。
第一阶段:识别和分类(兄弟们,有人要搞事情,撸起袖子,加油冲过去吧!)
阶段目标:
识别潜在或正在发生的信息安全事件,初步确定波及范围和严重程度,进行事件的初始分类,保全第一手证据,激活事件反应小组,并按需引入相关领域的专家。
目标时间:
发现安全事件后立即进入该阶段,并以24 - 48小时内完成为目标。
参考文档:
1. 紧急联系人列表
2. 严重性矩阵参考表
3. 第一阶段动作分解检查表
4. 预设安全事件报告模板
关键行动:
1. 当事员工应当立即向直属领导报告任何可疑的安全事件,直属领导参考《紧急联系人列表》的内容将事件升级到安全团队。
2. 安全团队应采取措施保护证据,具体内容包括:指导员工在不关闭电源的情况下断开被感染的系统连接,保存的截屏图像、日志文件、以及其他潜在的有用信息。
3. 安全团队应进行初步的技术分析,根据《严重性矩阵参考表》评估事故的严重性。
4. 安全团队应为该安全事件创建或分配一个唯一的案件号,以便后期跟踪。
5. 安全团队应根据《预设安全事件处置流程》或临时对策采取必要、合理的措施来初步抑制事件的持续。团队应注意减少所影响到的个人和系统的损失,并最大限度保全证据或信息。其中,预设安全事件处置流程至少应涵括如下安全事件类型:
·端点及移动计算设备的恶意软件感染
·移动计算设备的遗失或被盗
·DDoS攻击
·网站被篡改与渗透
·鱼叉式网络钓鱼或捕鲸
·目标性社会工程学
更详尽的分类请见下图:
6. 安全团队应记录事件和相应所采取的措施,并保留技术措施的日常记录,直至事件被解决。
7. 安全团队按需激活和组建事件响应小组,分配职责,并让组员明确安全事件的状态、严重性,且明确沟通渠道与方式。
8. 响应小组回顾并填写《第一阶段动作分解检查表》。
第二阶段:调查和取证(木已成舟,匆忙恢复的话,不但可能事倍功半,甚至可能造成忙中出错。像柯南那样think twice,利用调查来对事件进行深入分析,磨刀不误砍柴工。)
阶段目标:
通过进行调查与取证,识别根本原因并着手恢复。
目标时间:
开始于发现信息安全事件的24小时之内。根据事件的性质,该阶段可能在几小时或几天内完成,或可能持续几个月(一般不超过3个月)。根据复杂程度,响应小组可能需要多轮复查。
关键行动:
1. 响应小组应与取证专家交流,确保控制策略不会在无意中删除证据或对彻底的调查与修复过程造成阻碍。
2. 使用预设的和经测试的流程进行调查取证,主要包括:
a. 在网络逻辑上阻断进出可疑设备的网络流量,必要时更改启动或登录密码等。
b. 在物理上更换锁芯,检查或更新门禁卡设置等。
3. 妥善保存收集到的证据,主要包括:
a. 保留所有相关日志、电子和实物文档。所有的文档都应该清楚、真实且有时间特征。
b. 日志和记录应遵循适当的证据链的实时监护程序。
4. 响应小组通过开始初步的调查工作,并与业务或资产所有人的沟通,评估如下方面:
a. 定位根本原因:如是否是外部黑客攻破了系统;哪些登录名/密码被黑掉了;丢失的具体设备或被破坏的基础设施;恶意软件是病毒、蠕虫还是木马;网络攻击是DDoS、扫描还是嗅探;物理盗窃的具体位置;恶意员工或承包商是谁;社会工程(如钓鱼)的具体手段。
b. 人员与部门的受影响程度,
c. 丢失、破坏或暴露的数据与资产的数量与程度。
d. 对人员、数据和资产的残留威胁的严重程度。
e. 如果安全事件发生在第三方服务提供者处,应及时联系以获取初步报告,并请求定时地更新进展。
5. 向管理层报告取证、调查和评估的结果。
第三阶段:抑制、根除和恢复(要用“深耕”的态度去刨根问底,不要犯那种“你以为的就是你以为的”错误。只有在确认抑制策略成功后方可实施根除与恢复。)
阶段目标:
全面制定执行抑制策略与步骤,采取措施来根除风险,使信息、资产和基础设施恢复正常运转。
目标时间:
开始于发现信息安全事件的24- 48小时之内,可与调查阶段同时进行。不过根据事件的性质不同,如出现了APT攻击的话,则全面抑制、根除和恢复可能需要数小时或数天的时间。
关键行动:
1. 实施和验证抑制。
a. 回顾取证环节的发现和确认安全事件已被充分调查和评估。
b. 根据发现,以点对点的方式,制定具有“时间点”和“里程碑”的抑制策略。
c. 协调相关人员在避免次生破坏的情况下实施抑制。
d. 监控和评估抑制的有效性,验证是否成功。
e. 如果需要改进抑制策略,则可反复迭代,直至最终确认成功。
2. 实施和验证根除与恢复。
a. 根据抑制报告,逐条列出安全漏洞与弱点,并以点对点的方式制定根除策略。
b. 策略制定过程应具有前瞻性,要充分考虑到类似事件的再次发生、其他攻击方式的应对、根除对将来业务运行的影响等方面。
c. 根除与恢复的内容包括:卸载恶意软件、删除被感染且确认不再可用的文件和文件夹、阻止某个或某段IP地址、禁止对某个URL地址的访问、永久禁用或删除某个帐户、修复/重建/更新操作系统或软件。
d. 监控和评估根除的有效性,验证是否成功。
e. 记录执行的整个过程,并形成报告。
第四阶段:通知和公关/外部通信(这不是你一个人的战场,本阶段是很多技术人员的短板,多数情况下会匆忙应对。记住,作家波西格曾说:仓促本身就是最要不得的态度。当你做某件事的时候,一旦想要求快,就表示你再也不关心它,而想去做别的事。)
阶段目的:
将事件全部过程通知到管理层;从公司形象角度配合公关和外部通信。
目标时间:
从上述的第一到三阶段都可以开始,但要尽早。
关键行动:
1. 识别需要通知到的人群,例如:当事人、受影响的客户或雇员、商业银行、信用卡中心和媒体等。
2. 响应小组与PR或市场部门协作,准备一个完备的计划来减轻事件对客户关系的影响。在事件波及一个以上客户或合作方的时候,注意通信的关联性和次序。
3. 响应小组委派专门人员负责对客户、合作方以及外部调查部门提供技术细节解答和支持。
4. 响应小组根据安全事件,对既定合同中涉及的责任条款予以技术核实,并提供必要的解释。
5. 起草在外部网站上和/或呼叫中心热线电话里发布的官方内容,并为各方提供持续的更新,常见问题解答,进一步沟通方式等。
6. 定期监控呼叫中心收到的电话数量和问题类型,提供必要的改进。
7. 如果安全事件发生在第三方服务提供者处,应从技术层面审查相关合同的责任条款,评估赔偿或其他索赔的权利。
第五阶段:事后工作(乔布斯曾说过:Keep looking. Don't settle. 此阶段就像是砌墙,你堆好了砖头、填进了水泥,但总要再给点时间让水泥风干,以及必要的后期修补,墙才能够结实)
阶段目标:
将安全事件和恢复过程进行最终文档化,在放置复发的同时,以供监管部门的检查和必要的诉讼。
目标时间:
第三阶段完成后,可常规化。
关键行动:
1. 评审上述四个阶段的响应和执行效果,分析与原定计划的偏离部分及其原因,并提出改进方案。
2. 安全团队根据事件所涉及的既定服务级别,标注出需要调整和改进之处。
3. 引导内部相关职能部门开展信息安全方面的自查工作,防止类似事件的复发。
4. 安全团队总结经验教训报告,增强日常的监控、改善事件响应演练、有针对性的对其他部门开展培训和意识增强等工作。
总结
通过对上述五个阶段的详解,您应该能看出,我在此所提出的安全事件响应的新思路主要体现在:
1. 增加 “通知和公关/外部通信”阶段,体现沟通与尽责。
2. 每个阶段设定目标时间,有利于团队在进度上的张弛掌控。
3. 各个阶段都通过审查和验证来确认工作的成效。
4. 通过各种报告来实现雁过留痕。
可见,随着各个行业的国际化和规范化,许多企业的日常运营都会受到监管和披露的要求,所以加强沟通与报告显得尤为重要。我们不要做那头只会低头拉车不会抬头看路的老黄牛。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】