一.什麼是應急響應?
Emergency Response/Incident Response :安全人員在遇到 突發事件 後所採取的措施和行動
突發事件:影響一個系統的正常工作的情況,此處的系統包括主機以及網絡範圍內的問題,這種”情況“包括常見的黑客入侵、信息竊取,DDOS拒絕攻擊、網絡流量異常等。
二.網絡安全應急響應的啓發
-
1988 Moris - 第一個計算機應急響應組織出現
1988年11月,羅伯特·塔潘·莫里斯(Robert Tappan Morris,著名密碼學家Robert Morris Sr.的兒子)當時還是康奈爾大學20多歲的研究生,
某天,他想知道互聯網有多大——也就是連接了多少臺設備。
![在這裏插入圖片描述]()
於是他編寫了一個程序,可以在計算機間傳播,並要求每臺機器將信號發送回控制服務器,以進行計數,非常簡潔的方案。1988年11月2日該程序被從麻省理工學院(MIT)施放到互聯網上(不知是否是要掩蓋自己在康奈爾)。
程序運行的效果非常好,其實是太好了以致莫里斯自己很快無法控制,出現了恐慌。
短短12小時內,超過6200臺採用Unix操作系統的SUN工作站和VAX小型機癱瘓或半癱瘓,其中涉及NASA、各主要大學以及未被披露的美國軍事基地,不計其數的數據和資料毀於這一夜之間。最後由普渡和伯克利大學的研究人員花了72個小時來解決制止這種蠕蟲。在莫里斯蠕蟲病毒數週之後,卡內基梅隆大學建立了世界上第一個網絡應急響應小組。1990年,國際網絡安全合作組織FIRST(Forum of Incident Response and Security Teams)正式成立。
-
2001 CodeRed 紅色代碼——中國互聯網安全應急預案以及應急響應體系
2001年的CodeRed紅色代碼事件促進了我國安全應急預案以及應急響應體系產生
紅色代碼 是2001年7月15日在互聯網上觀察到的一種電腦蠕蟲 。它會攻擊運行微軟IIS Web服務器的計算機。
eEye Digital Security員工Marc Maiffret和Ryan Permeh首先發現和研究了紅色代碼蠕蟲,蠕蟲利用了Riley Hassell發現的漏洞。他們將其命名爲“Code Red”,因爲Code Red Mountain Dew是他們當時正在喝的飲料
儘管蠕蟲在7月13日開始散佈,2001年7月19日就感染了數量最多的計算機。在這一天,受感染的主機數量達到了359,000臺。
三.應急響應在安全保障整體工作中的作用
-
問題:怎麼樣纔算是“安全的”?
如果你有100萬兩黃金,有兩個人地方你可以去放,一個是在沙哈拉沙漠,一個是在人民廣場的箱子裏,你會選擇放在哪裏呢?有的人肯定想我要放在沙哈拉沙漠,因爲那個地方是一個很少人接觸的地方,有的人肯定想,我要放在人民廣場的箱子裏,因爲那個地方的人多,出現了問題可以隨時響應,事實證明,空有安全防護,未有安全響應體系的防護安全是沒有意義的。 -
結論:響應時間和抗攻擊時間的關係
安全取決於響應時間和抗攻擊時間的關係 Rt ≤ ∑Pt (及時響應是安全保障的關鍵) -
推論:
安全保障的各個環節不應該是相互孤立的
安全是相對的,具體要求各不相同
投資多、設備好不一定安全級別高
四.應急響應事件處理的一般階段
俗話說,道高一尺,魔高一丈,不管我們做了多少的安全方面的工作,攻擊者還是有可能在一個夜黑風高的晚上偷偷的潛入到我們的系統,拿到我們的Shell,作爲對應的安全人員,應有效制定出對應的應急響應流程,做到事件之前的防護,事件之中的檢測,以及檢測到以後的響應和恢復。以下爲應急響應事件處理的一般階段
- 第一階段:準備——嚴陣以待
(策略、防禦、程序、人員、工具、基礎設施、資金) - 第二階段:確認 ——對情況綜合判斷
(檢測、調查、評價、報告、決策) - 第三階段:封鎖——制止事態的擴大
(安全域(地理/層次/人機/業務)、邊界控制) - 第四階段:根除——徹底的補救措施
(定位、對症下藥、副作用) - 第五階段:恢復——備份,頂上去!
(數據恢復、狀態恢復、行爲恢復、環境恢復) - 第六階段:跟蹤 ——還有會第二次嗎?
(追究責任、改進)
五.安全應急響應的展望
- 複雜性大幅上升:相互交織越來越深入和密切,單點應急效果有限
- 更加依賴於大數據:基於大數據建立精準應對能力,沒有數據就沒有
- 需要知識積累與應用:知識與威脅情報是關鍵,否則無法科學響應
- 需要大範圍協同:多領域、大範圍、多國家的協同,需要配套的機制和能力
- 安全需求升級:新基礎設施的安全、數據安全壁壘必須解決
- “黃金時間”是關鍵:提前預警,從ER到IR,縮短響應速度、延長時間窗,等等
- 專業人員:需要足夠多的專業人員
- 媒體管理理:新媒體和自媒體時代,發揮其優勢,減少其副作用
- 素質教育:全民科學和安全素養的提升,需持續進行