应急响应是安全从业者最无法避免的工作,尤其是在安全建设前期,处于救火阶段,这类工作更为集中。笔者曾经认为,应急响应工作比较简单,就是根据实际情况,头疼医头脚疼医脚。比体系化建设少了很多思考层面的工作。
但实际情况是,应急响应工作也不能完全跟着现象走,跟着感觉走,处理完就结束的,要做到标本兼治才能算是高大上的应急响应。
一、有思路
信息安全事件很多时候都是现象级的,跟运维事件的现象基本重合。应对这些现象级的事件要求应急人员必须有清晰的思路,对业务系统也要有相当的熟练程度。我们一般分为三个阶段:
第一阶段要找到问题点,并在短时间内判断此次事件是否与安全有关。这个阶段重点是速度,在发现故障后快速定位问题点考验的是运维团队和安全团队的综合能力。
第二阶段要快速恢复业务。这个阶段重点是准确,应急预案的选择和执行是否有效是关键。
第三阶段要进行全面排查,消除隐患。这个阶段重点是细致,入侵者一般都会给自己留条后路,一个入侵点被封堵后不至于毫无办法。所以,需要应急团队能够找出共性的特征(如:后门文件、反连域名等),然后进行细致筛查。
总之,应急思路是应急工作中很重要的一点,否则将出现应急事件很长,安全事件反复发生等情况,导致企业利益受损。
二、有办法
思路作为应急工作的指导,但实际落地需要面临很多实际的问题和挑战,这里列举一些常见的问题:
-
安全团队和运维团队能否精诚合作?
如果入侵事件涉及到比较深的业务逻辑,就需要安全团队和业务团队之间有高效的沟通机制和较强的合作意识。实现这一点需要安全团队在日常的工作中注意工作方法,多多团结内部。
-
安全检测和防御手段是否可用?
在处理应急事件的过程中,要定制化很多检测和防御手段,这要求安全团队对自己手里的安全工具有足够的积累和了解,以避免关键时刻自乱阵脚。
-
如何利用外部应急团队?
很多企业都有采购安全应急服务,外部应急团队的技术水平毋庸置疑,但对企业具体情况一定是不够了解的。甲方安全团队能否快速准确的将情况介绍清楚,并提供相应的日志和流量等数据,是安全事件得以快速处理的关键。
三、能复盘
应急事件处理完成后,给高层提交个应急处理报告,固然可以在公司层面结束这次工作。但对于不愿意永远当救火队员的团队来说,是否能对安全事件进行全面复盘是非常重要的。一般来说,笔者团队会从两个方向分别进行复盘:
1、应急方向
这种方式是顺着应急工作的思路,从终点一步一步往起点推。这个过程可以自我检讨一下应急事件中的采取的一系列思路、方法、手段有没有问题,做的好的地方作为经验保留,做的不好的地方大家头脑风暴想解决方案。
2、入侵方向
上一个方向梳理完之后,可以再沿着入侵的方向再次推演一遍整个过程。这个过程站在入侵者的角度,重新审视这次事件,看看静态的防御点和动态的应急处理过程有没有真正给入侵者带来麻烦。这个角度的梳理可以发现很多现存的问题,包括:安全防御措施、应急响应方法,甚至是安全意识培训的方式。
笔者认为,应急响应之后的复盘是非常重要的一项工作,这个阶段应急团队可以增加经验、改进不足,对于企业内部也可以优化各类措施,是承上启下的关键点。所以建议所有安全团队的管理者都要格外重视这个阶段!
四、搞建设
稍有追求的信息安全团队都不甘于永远应急,但按照标准的体系化建设又很难得到公司的支持。但基于应急事件的安全建设在项目推进上就会方便得多,毕竟是以前出过的问题,比较容易把事情讲清楚,从而得到支持。从这个角度看安全事件的事后复盘就更加重要了。
这里要多说的一点是,每次安全建设最好能解决一类问题,而不是一个问题。比如,要解决弱密码的问题,进行全面的4A+多因素建设,要比单纯提出密码复杂度要求强得多。虽然后者比较省力。
写在最后
应急响应工作永远是无法避免的,既然无法避免,就应该体现这项工作的价值,让这类工作的意义不仅仅是加班熬夜。这考验的是安全团队,甚至包括运维团队的战斗力和凝聚力。同时,应急响应还面临着本文没有提到的很多问题,团队连续作战的疲劳程度对应急效果的影响,团队管理者在应急工作中的作用,如果无法找到入侵点该怎么办,如何面对企业入侵点过多的情况等等。这些都是我们团队待解决的问题,欢迎大家指点(公众号:xiaohuangsec),笔者也会将心得在后续的文章中继续分享。最后,向所有常年奋斗在一线的应急响应团队致敬!
来源:freebuf.com 2019-03-28 15:12:54 by: huangle0914
请登录后发表评论
注册