《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 把握安全事件響應(yīng)的黃金一小時(shí)

把握安全事件響應(yīng)的黃金一小時(shí)

2022-03-21
來源:安全牛
關(guān)鍵詞: 安全事件響應(yīng)

  對(duì)于計(jì)算機(jī)安全事件響應(yīng)(CSIRT)團(tuán)隊(duì)來說,,必須時(shí)刻準(zhǔn)備好應(yīng)對(duì)突發(fā)的網(wǎng)絡(luò)安全事件。根據(jù)過去的處置經(jīng)驗(yàn),,在嚴(yán)重安全事件后,,把握好第一個(gè)小時(shí)的時(shí)間窗口無比重要。當(dāng)事件發(fā)生后,,快速制定應(yīng)急方案,,充分調(diào)動(dòng)內(nèi)外部團(tuán)隊(duì)資源,并讓所有成員搞清楚自己的分工是一項(xiàng)艱巨但重要的任務(wù),。此刻,,保持頭腦冷靜、行動(dòng)周全對(duì)于成功處理安全事件至關(guān)重要,,而如果陷入到焦慮不安的恐慌中,,將會(huì)嚴(yán)重影響事件響應(yīng)團(tuán)隊(duì)做出正確的決策,。

  通過對(duì)成功應(yīng)急案例的分析,,本文總結(jié)了把握安全事件響應(yīng)黃金一小時(shí)的幾個(gè)關(guān)鍵點(diǎn),可以幫助企業(yè)提升安全事件響應(yīng)的效果,。

  要點(diǎn)一:快速了解事件相關(guān)信息

  在嚴(yán)重安全事件突然發(fā)生后,,如果要充分利用好最關(guān)鍵的黃金一小時(shí),不僅需要現(xiàn)場(chǎng)的預(yù)案與準(zhǔn)確處置,,更需要事先全面了解資產(chǎn)和潛在對(duì)手,,提前設(shè)置好處置任務(wù)的優(yōu)先級(jí),這樣才能在需要時(shí)迅速做出決策,,并在必要時(shí)通過使用排除法來發(fā)現(xiàn)真相,。

  在開啟突發(fā)安全事件處置流程之前,安全分析師要盡可能全面了解事件相關(guān)信息,這需要他們?cè)谌粘9ぷ髦谐浞质煜ぷ陨淼慕巧吐氊?zé),??焖僮兓腎T環(huán)境經(jīng)常需要分析師實(shí)時(shí)同步更新自己的技能組合,比如了解云計(jì)算,、大數(shù)據(jù)等,。在安全事件實(shí)際發(fā)生后,分析師應(yīng)迅速識(shí)別其負(fù)責(zé)的所有資產(chǎn)運(yùn)行狀態(tài),,并積極參與到漏洞管理和掃描發(fā)現(xiàn)過程,。

  所收集的安全事件信息質(zhì)量決定了事件響應(yīng)的結(jié)果,幫助分析師準(zhǔn)確了解他們面臨威脅的程度與可能后果,。需要指出的是,,由于很多攻擊團(tuán)伙在現(xiàn)在使用“攻擊即服務(wù)”的Saas化商業(yè)模式,這些攻擊技術(shù)并不復(fù)雜,,CSIRT團(tuán)隊(duì)通過日常積累,,就可以對(duì)可能面臨的主要威脅提前進(jìn)行準(zhǔn)備。但是在一些比較敏感的場(chǎng)景(比如能源等關(guān)鍵基礎(chǔ)設(shè)施部門受到攻擊)中,,安全分析師需要留意是否存在更多的非常規(guī)性攻擊方法,。

  要點(diǎn)二:和時(shí)間賽跑,跳過卡住的問題

  警鈴響起,,安全團(tuán)隊(duì)需要迅速冷靜下來,,準(zhǔn)備回答第一個(gè)問題:“我在第一個(gè)小時(shí)應(yīng)該做什么?”嚴(yán)重事件的第一個(gè)小時(shí)又叫危機(jī)階段,,其特點(diǎn)是混亂,、恐慌、趕到現(xiàn)場(chǎng)和陷入僵局,。但是訓(xùn)練有素的安全分析師會(huì)展開細(xì)致入微的調(diào)查工作,。

  另一方面,在許多情況下,,分析師可能往往信息不全,、無法在有限的時(shí)間內(nèi)實(shí)施解決方案以及缺少相應(yīng)的權(quán)限。在這種情況下,,事件響應(yīng)團(tuán)隊(duì)必須清楚地表述其專業(yè)知識(shí),,并推動(dòng)工作開展下去。

  在進(jìn)行調(diào)查和根本原因分析時(shí),,事件響應(yīng)團(tuán)隊(duì)常常陷入尋找遺失的線索這種困境,。這又導(dǎo)致懷疑和猶豫。在嚴(yán)重事件后的第一個(gè)小時(shí),,時(shí)間很寶貴,。就像參加時(shí)間限定的考試一樣,先跳過卡住的問題。

  如今,,由于很多企業(yè)組織廣泛采用了威脅檢測(cè)和響應(yīng)技術(shù),,事件響應(yīng)遏制流程常常得到簡(jiǎn)化,這類技術(shù)或產(chǎn)品,,甚至只需按一下按鈕,,即可快速實(shí)現(xiàn)網(wǎng)絡(luò)遏制功能。然而,,如果使用傳統(tǒng)的網(wǎng)絡(luò)遏制工具,,其效果可能并不那么容易實(shí)現(xiàn),此時(shí)安全人員需要盡快找到穩(wěn)妥并可靠的實(shí)現(xiàn)辦法,。

  要點(diǎn)三:找出真相,,堵住缺口

  也許一小時(shí)后,仍有很多問題沒有被解決?,F(xiàn)在應(yīng)該花一些時(shí)間思考種種可能性,,并列出一份清單。以筆者實(shí)際處理過的一起安全事件為例:攻擊者在服務(wù)器上啟動(dòng)了反向shell,。我們決定立即決定遏制這臺(tái)服務(wù)器,,并收集所有攻擊證據(jù)。但是,,我們無法弄清楚這臺(tái)服務(wù)器是如何被闖入的,,于是列出了所有可訪問的服務(wù),仔細(xì)檢查了每個(gè)服務(wù)的相關(guān)日志,。

  我們起初以為一款I(lǐng)T操作工具是攻陷指標(biāo),。但最終排除所有可能性,推翻了這種猜測(cè),,得出了Web服務(wù)存在固有的安全漏洞這一結(jié)論,。

  有時(shí)在事后分析期間,安全分析師在了解事件相互之間的關(guān)系時(shí)可能遇到挫折,。但只要有足夠的耐心和合理的心態(tài),,真相總會(huì)浮出水面。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。