作者丨陈军计划丨孙淑娟不知道大家有没有注意到,就在我们举国欢庆春节和冬奥会开幕的时候,远在德国却传来了消息欧洲大陆。其主要储油公司Oiltanking,以及矿物油贸易公司Mabanaft的IT系统,不断遭到黑客组织的网络攻击。由于他们的油罐装卸过程完全依赖离线的计算机系统,因此无法从自动化退回到人工操作。预计中断将对整个供应链产生严重影响。回想2021年5月,DarkSide黑客组织还使用勒索软件攻击美国最大的燃油管道公司ColonialPipeline,导致油气管道的计量系统无法运行,从而中断服务。面对这些屡屡发生的恶意安全事件,我不由得利用这个春节假期,重新思考事件响应和事件管理的相关问题。事件响应和事件管理的区别?面对各种突发的网络安全事件,我们通常会考虑如何在最短的时间内消除事件的影响,甚至被抓到就医。然而,实际上,事件响应(IncidentResponse,IR)和事件管理(IncidentManagement,IM)是两种完全不同的处置方式。厘清它们之间的区别,将有助于我们从根本上更好地管控安全事件。从定义上看:事件响应主要包括事件的检测与分类、深度分析、控制的实施、影响的降低、关键数据、资产和系统的保护、技术恢复等具体行动要素。事件管理主要关注安全事件响应团队在解决的各个阶段采用的不同流程,并不局限于技术流程。它包括各种通信交换、升级转发和事件报告。可以说,它起到了将整个响应环节串联起来,形成一个有机整体的作用。从人员角度看:事件响应是技术人员的主要职责。事件管理需要与更广泛的利益相关者(例如:法律部门、公共关系团队、合规人员和后勤支持等)进行沟通和协作。从目标来看:事件响应要求各职能角色各司其职,通过对损害的快速检测和修复,达到预定的技术要求。事件管理的重点是最大限度地减少安全事件对整个业务的影响,最大限度地减少损害并防止组织因违规而受到的处罚。事件威胁建模?众所周知,事件响应离不开响应团队成员和他们所使用的工具。俗话说:“知己知彼,百战不殆。“一个清晰全面的威胁模型可以用来详细定义不同类型的安全威胁,概述组织将采取的略有不同的响应措施,以及涉及的角色和职责。面对可预测的网络,系统STRIDE威胁建模是业界常用来识别潜在漏洞并建立响应机制,该模型包括六种不同的威胁类别:欺骗身份(Spoofingidentity),主要针对系统身份认证机制。攻击者伪造的身份可以是合法用户本身,或合法的技术调用或过程。例如,典型的中间人攻击(MIM)、网站木马、电子邮件伪造等都属于此类威胁。一旦获得对易受攻击系统的访问权,攻击者可以拦截敏感信息,然后进行深度攻击,篡改数据主要是针对数据的完整性。kers通过未经授权篡改数据,可以通过更改系统或应用程序的配置文件来获得控制权,插入恶意代码,甚至删除日志。比如数据包传输过程中的注入攻击,执行错误的代码导致数据完全损坏等,都属于此类威胁。对此,我们可以使用文件完整性监控(FIM),根据创建的基线判断和识别关键日志、配置和存储文件是否被篡改。抵赖,主要体现在攻击者进行非法操作后隐藏行踪,达到抵赖的效果。对此,我们可以通过审计用户登录和执行,以及使用签名和哈希来增强识别和跟踪恶意活动的能力。.信息泄露主要体现在应用程序或网站向未经授权的用户泄露敏感数据。例如,在易受攻击的系统中调用可能会遇到缓冲区溢出攻击。同时,中间人对传输数据的拦截也属于此类威胁。值得注意的是,它不同于上述的“欺骗身份”威胁。攻击者直接获取不应公开的信息,没有冒充或欺骗合法用户。拒绝服务(DenialofService,DoS),主要体现在攻击者强制目标系统的资源(如:处理或存储能力等)不可访问、无法使用,或完全无法访问接受正常的服务请求。比如各种SYNflood攻击,TCP重置攻击,缓冲区溢出等等都是这样的威胁。对此,我们可以通过采用安全协议、改进配置、增加检测等方式进行防范。特权提升(ElevationofPrivilege)主要体现在攻击者在系统管理员不知情的情况下,通过普通用户获取特殊的访问权限,进而破坏目标系统。例如,用户代码覆盖缓冲区以执行具有更高权限的敏感操作。或者由于缺少或不正确的访问检查,攻击者可以在未经授权的情况下运行可执行文件等。虽然STRIDE是目前最流行和最有效的威胁建模和安全设计框架,但如果你觉得它有点老,可以参考最新的零信任网络(ZTN)安全模型。它秉承“永不信任,始终验证”的理念,即在任何用户、资源或资产不可信的前提下,通过消除隐含的信任关系,并在每个阶段不断验证交互过程,来保护目标组织和应用系统。无论是部署在云端还是本地,零信任网络都是持续评估和验证的关键过程组件,在检测期间为响应团队提供有关可疑访问请求和事件本身的详细信息。我们可以通过以下几个方面及时应对各种网络攻击,将损失降到最低。假设违规。由于没有什么是可信的,我们可以更多地关注从网络中已经存在的攻击者的角度来阻止漏洞。完整的可见性。我们可以通过管理各种凭证、访问、操作、端点环境和基础设施来监控与用户请求对应的身份、设备、应用程序和数据。这四个要素的详细信息。在验证过程中,一旦发现任何异常访问尝试,响应团队可以将其与特定实体、应用程序和数据准确关联。自动响应。由于它处于零信任状态,因此将有更多节点需要检查。我们经常需要实施自动化检测和缓解方法,利用事件关联消除误报,自动更改网络访问规则,从而构建比手动响应更有效的响应机制。当然,没有一个完整的模型可以完美地“消除”所有威胁,或者“治愈所有疾病”。我们应该根据实际情况选择、调整或定制某一类用例,或混合使用各种安全模型,通过缩小信任区范围制定更快速、更有效的响应方案。事件严重级别?仅靠定性识别模型显然是不够的。在实践中,我们还需要一个量化的指标层级来过滤掉“噪音”,定义和分析事件。从表面上看,严重性高的事件通常需要快速响应,但现实并非总是如此。因为在事件响应过程中,我们往往提倡“速效”。因此,对于一些低严重性的事件,如果需要的资源较少,能够立竿见影,迅速遏制事件的范围和程度,那么我们可以将其作为高优先级处置目标,速战速决。可见,事件的严重程度并不能完全决定事件的优先级。我们需要从业务的角度考虑多个方面。当然,最安全的方法应该是根据事件对业务的影响来定义严重级别。无论是服务水平目标(ServiceLevelObject,SLO)还是服务水平协议(ServiceLevelAgreement,SLA),它们都直接影响到我们如何确定安全事件的严重性和优先级,并且会影响到如何部署人员和资源,以及是否根据需要升级响应级别。在这里,我以一个APP的页面平均加载时间为例,向大家展示严重性和响应之间的关系:严重性状态客户影响涉及利益相关者1页面无法加载客户无法使用应用服务违反SLA响应团队执行应急响应计划,各部门排查,告知管理层2页面加载速度慢200%,服务响应极慢,客户失去使用意愿应急响应团队配合运维团队排查,出具给客户的警告3页面加载速度慢50%,服务响应慢客户投诉运维排查4.页面加载速度慢1%-10%。范围和范围的层次关系矩阵。运维人员和应急响应人员可以将采集到的指标参数映射到事先明确定义的取值范围内,然后通过客观公式化的组合(相乘或相加)判断其严重性。性别。事件管理团队?如前所述,事件管理比事件响应更“高级”,是一套切实可行的流程和解决方案。它不仅要求组织能够管理安全事件的发展趋势,还要满足其环境中日益严格的数据合规性要求。此外,它还允许各个利益相关者通过标准化流程来避免类似事件的再次发生。俗话说:“事在人为,事在人为”。事件管理不能局促。要打造一支“叫来就来,来了就打”的队伍。在实践中,一些组织会片面地认为安全事件处理只与那些熟悉日常运维的技术专家有关。但实际上,要真正做好事件管理,安全、基础设施和运营(I&O)、管理部署和有效沟通缺一不可。赛事管理指标?现在是大数据时代,我们担心的不再是得不到必要的数据指标,而是来到我们身边的数据是否有用,是否能辅助我们进行赛事管理。以下是一些常用的指标类别,随着事件响应的逐步推进,帮助各方更好地掌控安全事件的整体情况:各种告警数量:我们可以衡量事件告警的不同类型、级别和级别。数量,直接从宏观上了解当前的任务积压情况。平均检测时间(MTTD):我们可以通过它来了解监控工具的事件触发效率以及运维人员对事件威胁的敏感程度。MeanTimetoAcknowledgement(MTTA):我们可以用它来判断事件分类的合理性,了解响应团队消除误报的专业性。平均解决时间(MTTR):指从事件响应开始到业务服务完全恢复所需的平均时间。它直接反映了组织的事件管理能力。预算消费率。这反映了团队在提前制定应对计划和申请资源分配方面的规划能力。为了避免出现“预算还没过一半就花完了”的情况,团队要根据这个指标实时灵活调整事件处理策略。活动管理工具?俗话说:工欲善其事,必先利其器。优秀的工具往往可以辅助我们对事件进行跟踪、记录、处理以及最终的绩效评估。在管理事件时,我们通常使用以下两类工具:即时通讯工具。在实践中,许多组织使用此类工具来促进团队以协作和协商的方式实时分析事件。各种图文并茂的沟通记录,不仅为事件响应和决策过程提供了丰富的第一手资料,也便于事后回顾响应过程。事件管理工具。除了团队之间的人员沟通,我们也离不开从事件产生时的捕获,到原始信息的转储,再到任务分配的自动化流程。在实践中,我们常用的此类工具有:ServiceNow、OnPage等,响应团队不仅可以在PC端使用,还可以通过智能手持设备接收推送通知,随时随地参与事件的协同处理通过友好的界面。活动回顾与总结?我们常说,没有总结就没有进步。事后分析是事件管理的最终组成部分。团队成员可以回顾过去的处置记录,回顾本应实施但由于某种原因没有实施或延误的任务,以及由此产生的整个响应过程中的错误。相应地,我们可以在以下方面提高组织的事件响应能力:以“左移”的方式提高事件预防能力减少或消除因服务中断而导致的停机时间改进MTTD、MTTA和MTTR等指标改进相关信息的保存和使??用数据通过频繁和广泛的内部和外部沟通为客户提供知情能力的能力。同时,通过撰写事后分析报告,关键利益相关者不仅可以回顾和了解安全事件的根源,还可以了解相关部门和团队下一步将如何进行。通过梳理,可以防止此类事件再次发生,督促响应团队不断完善事件响应流程,优化事件管理效果,将这些“增量”知识变成“存量”技能。总结?综上所述,无论是事件响应规划、威胁建模、严重程度分级、团队处理能力,还是指标和工具的使用,都将是一个动态更新的过程,需要不断的检查和填充。无论你是事件响应小组的成员,还是事件管理的相关方,都应该践行“不怕事、不避事、妥善处理”的心态,不要把事当回事。安全事件是一次挫折,更是一次经历的机会。作者简介?JulianChen,社区编辑,拥有十余年IT项目实施经验,善于把控内外部资源和风险,专注传播网络与信息安全方面的知识和经验;持续使用博文、话题和翻译等多种形式分享前沿技术和新知识;经常在线上和线下开展信息安全培训和讲座。编辑招募?如果你是一个有独到见解、乐于分享的技术人,有时间、精力和激情去改变和提升自己,我们诚邀你加入社区编辑团队,成为社区编辑。请发送邮件至editor@51cto.com,并附上自我介绍,包括但不限于贵公司、职位、关注的技术领域、建立的微信公众号/博客/网站等,之前撰写或翻译的文章或书籍,个人Github链接等。
