对于计算机安全事件响应(CSIRT)团队来说,他们必须时刻准备应对突发的网络安全事件。根据以往的处置经验,把握重大安全事件发生后第一个小时的时间窗口极为重要。当事件发生时,迅速制定应急预案,充分调动团队内外部资源,让所有成员明确分工,是一项艰巨而重要的任务。此时,保持冷静的头脑和深思熟虑的行动对于成功处理安全事件至关重要,而陷入焦急的恐慌会严重阻碍事件响应团队做出正确的决策。本文通过对成功应急案例的分析,总结出把握安全事件响应黄金时段的几个要点,可以帮助企业提高安全事件响应的有效性。要点一:快速了解事件相关信息。突发严重安全事件后,要想充分利用最关键的黄金时段,不仅需要现场预案、精准处置,还需要提前充分了解资产和潜在对手,并进行设置提前。确定任务的优先级,以便在需要时可以快速做出决策,并在必要时使用排除法来揭示真相。在开始紧急安全事件处理流程之前,安全分析师应尽可能全面地了解事件相关信息,这要求他们在日常工作中充分熟悉自己的角色和职责。瞬息万变的IT环境往往需要分析师实时同步更新技能,比如了解云计算、大数据等。在安全事件实际发生后,分析师应该快速识别他们负责的所有资产的运行状态并积极参与漏洞管理和扫描发现过程。所收集的安全事件信息的质量决定了事件响应的结果,帮助分析人员准确了解他们面临的威胁的程度和可能的后果。需要指出的是,由于现在很多攻击团伙都在使用“攻击即服务”的SaaS业务模型,这些攻击手法并不复杂,CSIRT团队可以通过日常积累,针对可能面临的重大威胁提前做好准备。但是,在一些敏感场景中(比如针对能源等关键基础设施领域的攻击),安全分析师需要关注是否有更多的非常规攻击手段。要点#2:与时间赛跑,跳过卡住的问题警钟响起,安全团队需要迅速冷静下来并准备好回答第一个问题:“第一个小时我应该做什么?”严重事件的第一个小时也称为危机阶段,其特点是混乱、恐慌、仓促赶到现场和陷入僵局。但是训练有素的安全分析师会进行细致的调查工作。另一方面,在很多情况下,分析师可能往往信息不足,实施解决方案的时间有限,并且缺乏适当的权限。在这种情况下,事件响应团队必须阐明其专业知识并推动工作向前发展。在进行调查和根本原因分析时,事件响应团队常常陷入寻找遗漏线索的困境。这再次导致怀疑和犹豫。在严重事件发生后的第一个小时内,时间非常宝贵。就像做限时考试一样,先跳过卡住的题。如今,由于许多企业组织广泛采用威胁检测和响应技术,事件响应遏制流程往往得到简化,只需按一下按钮即可快速实现网络遏制功能。但是,如果使用传统的网络遏制工具,效果可能就没那么容易达到了。这时候,安保人员就需要尽快找到安全可靠的实施方式。第3点:查清真相,堵住缝隙也许一个小时过去了,还有很多问题没有解决。现在是时候花一些时间思考各种可能性并列一个清单了。以笔者实际处理的一个安全事件为例:攻击者在服务器上启动了反向shell。我们立即决定收容此服务器并收集攻击的所有证据。但是,我们无法弄清楚这台服务器是如何被攻破的,所以我们列出了所有可以访问的服务,并仔细查看了每个服务的相关日志。我们最初认为IT运营工具是妥协的指标。但最终排除了所有可能,推翻了这个猜测,得出了Web服务存在先天安全漏洞的结论。有时在事后分析期间,安全分析师可能会在理解事件之间的相互关系时感到沮丧。但只要有足够的耐心和理性的心态,真相总会浮出水面。
