对于计算机安全事件响应(CSIRT)团队来说,必须时刻准备好应对突发的网络安全事件。根据过去的处置经验,在严重安全事件后,把握好第一个小时的时间窗口无比重要。当事件发生后,快速制定应急方案,充分调动内外部团队资源,并让所有成员搞清楚自己的分工是一项艰巨但重要的任务。此刻,保持头脑冷静、行动周全对于成功处理安全事件至关重要,而如果陷入到焦虑不安的恐慌中,将会严重影响事件响应团队做出正确的决策。
通过对成功应急案例的分析,本文总结了把握安全事件响应黄金一小时的几个关键点,可以帮助企业提升安全事件响应的效果。
要点一:快速了解事件相关信息
在严重安全事件突然发生后,如果要充分利用好最关键的黄金一小时,不仅需要现场的预案与准确处置,更需要事先全面了解资产和潜在对手,提前设置好处置任务的优先级,这样才能在需要时迅速做出决策,并在必要时通过使用排除法来发现真相。
在开启突发安全事件处置流程之前,安全分析师要尽可能全面了解事件相关信息,这需要他们在日常工作中充分熟悉自身的角色和职责。快速变化的IT环境经常需要分析师实时同步更新自己的技能组合,比如了解云计算、大数据等。在安全事件实际发生后,分析师应迅速识别其负责的所有资产运行状态,并积极参与到漏洞管理和扫描发现过程。
所收集的安全事件信息质量决定了事件响应的结果,帮助分析师准确了解他们面临威胁的程度与可能后果。需要指出的是,由于很多攻击团伙在现在使用“攻击即服务”的Saas化商业模式,这些攻击技术并不复杂,CSIRT团队通过日常积累,就可以对可能面临的主要威胁提前进行准备。但是在一些比较敏感的场景(比如能源等关键基础设施部门受到攻击)中,安全分析师需要留意是否存在更多的非常规性攻击方法。
要点二:和时间赛跑,跳过卡住的问题
警铃响起,安全团队需要迅速冷静下来,准备回答第一个问题:“我在第一个小时应该做什么?”严重事件的第一个小时又叫危机阶段,其特点是混乱、恐慌、赶到现场和陷入僵局。但是训练有素的安全分析师会展开细致入微的调查工作。
另一方面,在许多情况下,分析师可能往往信息不全、无法在有限的时间内实施解决方案以及缺少相应的权限。在这种情况下,事件响应团队必须清楚地表述其专业知识,并推动工作开展下去。
在进行调查和根本原因分析时,事件响应团队常常陷入寻找遗失的线索这种困境。这又导致怀疑和犹豫。在严重事件后的第一个小时,时间很宝贵。就像参加时间限定的考试一样,先跳过卡住的问题。
如今,由于很多企业组织广泛采用了威胁检测和响应技术,事件响应遏制流程常常得到简化,这类技术或产品,甚至只需按一下按钮,即可快速实现网络遏制功能。然而,如果使用传统的网络遏制工具,其效果可能并不那么容易实现,此时安全人员需要尽快找到稳妥并可靠的实现办法。
要点三:找出真相,堵住缺口
也许一小时后,仍有很多问题没有被解决。现在应该花一些时间思考种种可能性,并列出一份清单。以笔者实际处理过的一起安全事件为例:攻击者在服务器上启动了反向shell。我们决定立即决定遏制这台服务器,并收集所有攻击证据。但是,我们无法弄清楚这台服务器是如何被闯入的,于是列出了所有可访问的服务,仔细检查了每个服务的相关日志。
我们起初以为一款IT操作工具是攻陷指标。但最终排除所有可能性,推翻了这种猜测,得出了Web服务存在固有的安全漏洞这一结论。
有时在事后分析期间,安全分析师在了解事件相互之间的关系时可能遇到挫折。但只要有足够的耐心和合理的心态,真相总会浮出水面。