[.com原稿]《复仇者联盟 4》的争夺战已经打响,比抢春运火车票抢电影票还费力气的托尼,我这一刻一直在心里祈祷着……这次不要再像上次那样看电影了:灭霸打响指后,公司网站服务系统不小心被拒绝访问攻击,紧急电话打到手机上,催促他赶紧归队。当他跑出剧院时,一句“今天,我失去的比你知道的还多”竟引起了强烈的共鸣。出自《紫薯妖怪》。的确,所谓“事故无休假”。天真,你有没有想过,如果每次发生安全事故,都能有铁杆复仇者联盟出手相救,让你和你的团队能够继续放飞自我,尽情玩乐,该有多好?啊。好吧,如你所愿,让我们想象一下这些超级英雄将如何进行事件响应和处置。接下来,我们将从人员、流程、演练三个维度进行想象和讨论。人员结构如今,随着安全意识的增强,很多企业都在内部设立了专门的处理团队。这些团队被称为计算机事件响应团队(CIRT)或计算机安全事件响应团队(CSIRT)。那么在《复仇者联盟》中,我们先来看看反应小组的成员结构和职能:当处置过程没问题的时候,复仇者联盟的超级英雄们可以将斯塔克大厦作为应急反应指挥部(作战室)。他们不仅可以一起吃披萨、开个家庭聚会,还可以聚在一起讨论制定应急处置程序。就像灭霸梦寐以求的六颗无限宝石一样,他们所讨论的以下六个步骤对于安全事件的管控也是非常宝贵的。①力量宝石:前期准备阶段主要由策划人——绯红女巫担当。她需要参考企业和系统以往的事故报告,根据最大允许中断时间MTD定义事故等级(从一般事件到严重灾难)(要保证RTO+WRT参考行业的常规处置标准和方法),对不同类型的故障中断进行分类,并根据现有资源制定相应的应急预案。作为输出,该阶段的可交付成果包括:应急联系人列表、业务单元优先级列表、事故定义和分类参考表、严重度矩阵参考表,以及具体的应急预案和BCP等。这些结果应立即得到高级管理层的批准——尼克弗瑞和其他神盾局成员。大师,如PhilCoulson等,并分发给其他业务部门进行反馈。②空间宝石:探测识别阶段主要由值班班长-鹰眼侠担当。他可以通过以下两个渠道了解安全事件:企业内部服务台(Servicedesk)和外部热线(Hotline),这两个渠道都可以接收来自内部和外部用户的报告。故障,或服务中断事件信息。通过详细的问答,了解和收集事故的第一手信息,然后通过人工录入的方式导入到统一的管理平台,进行进一步的跟踪处理。自动化工具平台读取系统中各个服务模块和组件的日志,然后通过安全信息和事件管理系统(SIEM)中的用户和实体行为分析(UEBA)服务进行全面的数据分析。面对用户的主观反映和海量的平台信息,鹰眼哥需要进一步进行误报剔除和初步排序分级操作。其中,他可以参考的分类标准包括:网络和云服务中断、系统漏洞攻击、主机和网站恶意代码注入、程序缺陷和终止、信息篡改、泄露和删除、硬件设备故障、大规模灾难等。作为输出,此阶段的可交付成果包括:安全事件的原始记录,以及有关事件性质和严重程度的报告等。这些结果应及时传递给响应团队执行经理,美国队长.当然,如果情况严重,他也应该赶紧通知高层——尼克弗瑞。③现实宝石:调查取证阶段主要由安全调查专家——黑寡妇担当。她可以从主机系统、网络数据、软件应用、存储介质四个逻辑层面,以及现场物品的物理层面进行调查取证。为保证各类电子证据和物证的“三性”原则,寡姐要通过设置只读、生成消息摘要等方式巧妙地抓取和保护证据链,以满足电子取证等合规要求。当然,在进一步分析的过程中,如果遇到疑难或法律问题,她可以寻求法律代表——洛基的帮助。话虽如此,我们不能保证洛基是否还在为与寡妇的相互审讯耿耿于怀(见《复联1》)。在搜集证据的同时,作为损害判定和追踪专家的蚁人开始深入调查原因,并确定系统受损程度。具体来说,他主要从数量和程度两个维度分析丢失、损坏或暴露的数据和实物资产。当然,他的工作也会涉及到一些滞后和间接影响的评估。作为输出,该阶段的可交付成果包括:寡姐诚邀蚁人共同向管理层和美队提交取证、调查和评估结果。④灵魂宝石:如果不让钢铁侠出现在报道和公关上,他估计要爆炸了。作为公关传播角色,虽然他不涉及使用特定技术来处理安全事故带来的危害,但他是整个处置过程中不可或缺的润滑剂。为了实现有效的危机管理,他需要做到以下几点:参考绯红女巫编制的联系人名单,通过邮件、电话、微信,甚至广播的方式通知内部受安全事件影响的相关人员。按照“迅速反映事实,慎重报告原因”的原则,向客户、合作伙伴和外部调查部门提供事故原因说明和必要的技术问题。他应该真诚地邀请洛奇协助审查披露的时间和频率,以及可能涉及的当事人隐私。当然,心胸狭隘的洛奇也可能因为当年钢铁侠口中的“小鹿斑比”而直接眼睁睁地看着他“入坑”(见《复联 1》)。还需要与洛奇“携手”的是,共同梳理和核对相关合同协议,尤其是涉及责任赔偿条款。⑤时间宝石:整治与修复真实系统整治战于此阶段正式打响。“黑绿红蓝组合”就在这个时候出现了。他们是:黑豹,负责基础设施的保护和恢复;Hulk,负责系统和主机恢复;负责网络建设和恢复的蜘蛛侠;和软件应用程序恢复。调试工作的眼光不言而喻。在这个环节,他们会根据寡姐和蚁人的阶段性成果,进行打压、修复、铲除工作。其中,值得他们关注的方面包括以下四点:针对绯红女巫给出的事业单位优先名单,结合时间节点制定打压和补救策略。各路英雄在恢复过程中要注意沟通交流,避免在百忙之中犯错,造成衍生伤害,甚至“伤害”队友。达成里程碑后,请事业部负责人和美团负责人确认。遇到技术难关,Hold不住的时候,可以请外部技术专家——锤哥。让他利用自己的神族资源,另想办法解决问题。不过,这个过程最可怕的是,大家都以为自己是主人,可以掌控全局,所以美队需要配合。尤其是对于那些耗时耗力的恢复工作,大家更要有条不紊,通力协作。不然就像《复联 3》的结局一样,灭霸还没有被打败,联盟就已经损失了一大半,CP又跑向了东南。⑥灵魂宝石:总结与整改正如电影剧情安排的那样,消失了近30年的整改后领袖——惊奇队长虽然出现较晚,但她的实力可以起到一定的“掩盖底线”作用》(见《复联 3》)。等安全事件处理完毕,大家都准备“领盒饭”时,她“开门挂了”。让我们来看看这位女战士如何展示她超强的执行力:回顾并记录整个事故处理过程。回顾前几个阶段的响应速度和处理效果,着重分析在实战中偏离绯红女巫既定应急预案的部分。将问题根除的整改方案提交给NickFury等管理层。定期对现有系统进行风险评估(RA),指导相关团队进行有针对性的自查,防止类似事故再次发生。与猩红女巫合作,根据需要通过更改流程来更新应急响应步骤。向地球人分发满意度调查,或接受管理层对响应绩效的评估(见《美队 3:内战》)。众所周知,上述教科书式的处置过程最怕出现计划与实际脱节的情况。因此,为确保复仇者联盟英雄能在关键时候招兵买马、上阵打胜仗,需要定期、按需进行测试演练。测试演练的好处和内容包括以下几个方面:让每个团队成员能够明确、熟悉和掌握自己在应急响应中的角色和作用,进而弥补或提高手头的技能短板.通过模拟战斗,找出绯红女巫计划的不足之处和需要协调的地方。以PDCA的方式,创新现有的行动方案,让每一位成员树立成功处理安全事故的信心。应对事故时,检查各项人力、物力的调配情况。如果以上主要位置的超级英雄没有被淘汰(见《复联 3》),需要根据继任计划(Lineofsuccession)及时更换新的英雄。当然,如果全灭了,我们地球人不还有DC的正义联盟吗?甚至会有好朋友的内耗,甚至“内战”。但当面对共同的敌人——灭霸引发的系统安全事故时,大家应该能够摒弃之前的猜疑,看淡生死,不服则行。你知道吗?你知道吗?在实际工作中,复联不会真的飞来“接手”我司的安全事故。为了避免托尼在看电影时被紧急电话叫走的尴尬,也为了避免将事故仓促处理成“比悲伤更悲伤的故事”,我们需要从上述人员结构、处理流程入手和测试演练。该维度贯穿事件响应的整个生命周期。作者:陈军(JulianChen)拥有十余年IT项目、企业运维、风险管控经验,日常工作深入系统安全的方方面面。作为CISSP证书持有者,他在各种专业期刊上发表了《IT运维的“六脉神剑”》、《律师事务所IT服务管理》、《股票交易网络系统中的安全设计》的论文。他还持续分享和更新《廉环话》系列博文和各种外语的技术翻译。被(ISC)2评为第九届亚太信息安全成就表彰计划“信息安全从业者”、Future-SChinaIT2015治理与管理从业者。【原创稿件,合作网站转载请注明原作者和出处为.com】
