一.什么是应急响应?
Emergency Response/Incident Response :安全人员在遇到 突发事件 后所采取的措施和行动
突发事件:影响一个系统的正常工作的情况,此处的系统包括主机以及网络范围内的问题,这种”情况“包括常见的黑客入侵、信息窃取,DDOS拒绝攻击、网络流量异常等。
二.网络安全应急响应的启发
1988 Moris - 第一个计算机应急响应组织出现
1988年11月,罗伯特·塔潘·莫里斯(Robert Tappan Morris,著名密码学家Robert Morris Sr.的儿子)当时还是康奈尔大学20多岁的研究生,
某天,他想知道互联网有多大——也就是连接了多少台设备。
于是他编写了一个程序,可以在计算机间传播,并要求每台机器将信号发送回控制服务器,以进行计数,非常简洁的方案。1988年11月2日该程序被从麻省理工学院(MIT)施放到互联网上(不知是否是要掩盖自己在康奈尔)。
程序运行的效果非常好,其实是太好了以致莫里斯自己很快无法控制,出现了恐慌。
短短12小时内,超过6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪,其中涉及NASA、各主要大学以及未被披露的美国军事基地,不计其数的数据和资料毁于这一夜之间。
最后由普渡和伯克利大学的研究人员花了72个小时来解决制止这种蠕虫。在莫里斯蠕虫病毒数周之后,卡内基梅隆大学建立了世界上第一个网络应急响应小组。1990年,国际网络安全合作组织FIRST(Forum of Incident Response and Security Teams)正式成立。
2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系
2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生
红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 。它会攻击运行微软IIS Web服务器的计算机。
eEye Digital Security员工Marc Maiffret和Ryan Permeh首先发现和研究了红色代码蠕虫,蠕虫利用了Riley Hassell发现的漏洞。他们将其命名为“Code Red”,因为Code Red Mountain Dew是他们当时正在喝的饮料
尽管蠕虫在7月13日开始散布,2001年7月19日就感染了数量最多的计算机。在这一天,受感染的主机数量达到了359,000台。
三.应急响应在安全保障整体工作中的作用
问题:怎么样才算是“安全的”?
如果你有100万两黄金,有两个人地方你可以去放,一个是在沙哈拉沙漠,一个是在人民广场的箱子里,你会选择放在哪里呢?有的人肯定想我要放在沙哈拉沙漠,因为那个地方是一个很少人接触的地方,有的人肯定想,我要放在人民广场的箱子里,因为那个地方的人多,出现了问题可以随时响应,事实证明,空有安全防护,未有安全响应体系的防护安全是没有意义的。
结论:响应时间和抗攻击时间的关系
安全取决于响应时间和抗攻击时间的关系 Rt ≤ ∑Pt (及时响应是安全保障的关键)
推论:
安全保障的各个环节不应该是相互孤立的
安全是相对的,具体要求各不相同
投资多、设备好不一定安全级别高
四.应急响应事件处理的一般阶段
俗话说,道高一尺,魔高一丈,不管我们做了多少的安全方面的工作,攻击者还是有可能在一个夜黑风高的晚上偷偷的潜入到我们的系统,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。以下为应急响应事件处理的一般阶段
第一阶段:准备——严阵以待(策略、防御、程序、人员、工具、基础设施、资金)
第二阶段:确认 ——对情况综合判断 (检测、调查、评价、报告、决策)
第三阶段:*——制止事态的扩大 (安全域(地理/层次/人机/业务)、边界控制)
第四阶段:根除——彻底的补救措施 (定位、对症下药、副作用)
第五阶段:恢复——备份,顶上去! (数据恢复、状态恢复、行为恢复、环境恢复)
第六阶段:跟踪 ——还有会第二次吗? (追究责任、改进)
五.安全应急响应的展望
复杂性大幅上升:相互交织越来越深入和密切,单点应急效果有限
更加依赖于大数据:基于大数据建立精准应对能力,没有数据就没有
需要知识积累与应用:知识与威胁情报是关键,否则无法科学响应
需要大范围协同:多领域、大范围、多国家的协同,需要配套的机制和能力
安全需求升级:新基础设施的安全、数据安全壁垒必须解决
“黄金时间”是关键:提前预警,从ER到IR,缩短响应速度、延长时间窗,等等
专业人员:需要足够多的专业人员
媒体管理理:新媒体和自媒体时代,发挥其优势,减少其副作用
素质教育:全民科学和安全素养的提升,需持续进行