从新冠防控谈网络安全应急响应机制建设 – 作者:绿帽子技术分享

前言

2020年,犹如魔幻般的开年。突如其来的新型冠状病毒(新冠病毒)爆发,为应对疫情,迫使武汉等国内众多城市封城,形成历史绝无仅有的百城空巷、全 胁、也给国家和行业造成数以万亿计的沉重损失。

image.png 

这是一起严重的公共卫生安全事件,自然界的新冠病毒,其体现的高传播性、可自我复制、对宿主的破坏性,与计算机领域的病毒异曲同工,具有相似的特性,典型如勒索式蠕虫病毒(WannaCry)、威金病毒(Worm.Viking)等。试想如果在网络安全领域,爆发一次大规模网络攻击或病毒事件,无论你是企业的网络安全管理者、还是一线安全运维人员,你真的准备好了吗?是否对公司的应急响应机制充满信心?是否对如何快速处置病毒和恢复业务把握十足?

下面,我们从网络安全应急响应机制建设的角度,谈一谈新冠疫情防控过程中带来的一些启示。

 应急响应机制建设

病毒知识

威金病毒(Worm.Viking)是一个在WINDOWS系统上运行的蠕虫病毒,通过感染文件、局域网以及其他病毒下载传播。该病毒会感染电脑中所有可用分区的.EXE可执行文件,传播速度十分迅速,给用户文件和网络造成破坏。病毒运行后,还会修改注册表自启动项,以使自己随系统一起运行,并向系统目录下生产病毒文件,较难彻底清除。

勒索式蠕虫病毒(WannaCry):诞生于2017年5月, WannaCry蠕虫病毒通过MS17-010漏洞在全球范围大爆发,感染了大量计算机。该蠕虫感染计算机后会导致电脑大量文件被加密。受害者需支付比特币赎金才可解锁。该病毒运行后,利用操作系统漏洞获得自动传播的能力,能够在数小时内感染一个网络内部的全部电脑。

 

什么网络安全应急响应以及一般流程?

网络安全应急响应通常是指一个组织为了应对各种网络安全事件的发生所做的准备以及在事件发生后所采取的措施。这个定义清晰了描述了应急响应包含的两个内容“出事前的准备”和“出事后的措施”,应急响应不只是出事了来救个火,事实上没有事前的应急预案和各项准备,事后的应急措施也会是毫无章法,导致越救越乱,最终火势失控。

安全业界,通常采用的应急响应流程基于PDCERF模型。目前不论是企业的应急响应机制建设,还是安全厂商的应急响应服务,内容上虽然各有差异,但流程基本都遵循PDCERF模型。

 

PDCERF模式

image.png 

该模型是国际上比较权威的处置网络安全事件的应急响应方法论,分为准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)以及跟踪(Follow-up)等六个阶段,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。

 

实际中,如何结合企业关键业务特点和RPO、RTO等指标制定应急响应总体策略,细化各阶段的任务并落地,这里不泛泛而谈。主要谈谈这次新冠疫情防控措施带给我们的网络安全应急响应机制建设方面的一些启示。

通过公开报道可以看出,这次新冠疫情应对,国家采取的一些措施相比2003的非典,体现了危机治理水平和科技实力整体的进步,主要如下:

1. 启动一级响应。

新冠病毒疫情爆发以后,全国各省市陆续都根据《突发公共卫生事件应急预案》启动了一级响应状态,一级响应预案明确了地方各级政府、卫生行政部门、医疗机构、疾控机构等部门的分工、职责和处置流程,各部门更好的协同配合来打赢疫情防控的战役,完善的应急预案、有序的组织管理也体现了危机治理水平的进步。

网络安全应急响应中,充分准备的应急预案同样意义重大。合格的网络安全应急预案除了包含事件定级、角色及职责、应急响应流程、保障措施等标准要素外,还应考虑到IT技术、网络攻击技术的复杂性,尽可能细化出不同场景的对业务影响较大的突发事件的应急分预案,采取不同的处置分流程。如网页篡改事件、勒索病毒事件、DDOS事件、数据泄露事件、数据库安全事件等。

2. 严格控制传播源。

控制传播源是阻断传染病传播的有效手段,这次新冠疫情防控力度前所未有,小到个人隔离、大到封社区、封城,严格管控居民外出、城市只允许特定人员、车辆通行,通过这些强力手段控制了病毒的大范围扩散和传播。

面对计算机病毒爆发的网络安全应急响应,控制传播源的有效手段就是立即隔离受感染的终端,对已检测出感染病毒的终端,立即进行终端隔离,断开网络连接,禁止使用U盘、移动硬盘等移动存储设备从感染终端上拷贝文件,取证分析等可使用磁盘数据的镜像。如网段内出现多台感染终端,应在网络区域边界设置策略进行逻辑隔离,严格出入控制。

3. 利用5G、大数据、云计算等新技术防控。

image.png
 
 

5G、大数据、云计算等新技术在这次疫情防控中大显身手,发挥了支撑性作用,如中国电信在武汉火神山医院部署的5G直播,不但让千万网民变成了“云监工”,也为医院远程会诊提供的技术支撑;百度披露出人口迁徙大数据为政府和研究机构提供了疫情研判、科学防控提供了关键数据支持;阿里云提供强云AI平台,支持病毒分析、新药和疫苗研发等工作,大大加速科研机构的研发周期。

随着“大(数据)云(计算)物(联网)移(动互联)”时代的到来,网络安全威胁呈现终端多样化、网络边界模糊等特点,充分利用大数据和自动化技术,可以有效加快应急响应速度,提升应急处置的效率。这方面案例很多,典型应用如自动化的预警和通告平台。以DDOS攻击事件为例,事件一旦发生需要人工通报并启动相关应急流程进行处置,有一定延后,而相当多的安全事件发生在工作时间之外,又使应急响应时间的进一步延误。利用数据分析和AI技术建立自动化预警和通告平台,通过预设触发条件(如攻击流量阈值等),达到后发布预警和通告,自动启动相应等级应急响应状态,联动安全设备自动升级攻击流量缓解策略,并通告相关安全人员介入,大大减少人工判断和流程审批的等待时间,加快网络安全事件的快速反应和及时处置。

4. 公共卫生知识的宣传和普及。

这次新冠疫情防控的全民参与,离不开各种渠道对疫情防控政策和公共卫生知识的宣传和普及。疫情发生后,电视、报纸、微信、微博、传单、横幅等实现全空间、全方位的宣传,让大家对新冠病毒的危害、传播方式和个人防护有了清晰的认识,全民公共卫生和个人防护意识空前提高,从而导致口罩、消毒液等成为稀缺品。

对网络安全应急响应,也需要培训和宣传。对应急响应参与人员,要熟悉应急响应的分工和职责、各个级别的处置流程和措施,以及各项保障措施;对于运维人员,要了解应急响应的基本要求和措施,以便在需要网络隔离或者容灾切换时,能提供技术支持并配合完成相关操作;对于普通员工,要宣传养成良好的网络安全习惯、了解应急响应的基本流程和措施,理性面对突发网络安全事件,避免慌乱。

来源:freebuf.com 2020-02-12 10:32:11 by: 绿帽子技术分享

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论