网络安全应急响应部署与策略
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
一、网络安全应急响应小组的工作目标
网络安全应急响应活动主要包括2个方面:“未雨绸缪”和“亡羊补牢”。前者是为了最大程度减少不确定性,避免应对的无序;后者是在面对网络安全事故时及时控制局面,最大程度减少损失。在网络安全应急响应过程中,可根据所要保护的网络资源,确定应急响应小组的目标。网络安全应急响应通常要实现以下工作目标。
1、判断突发事件是否发生。
2、促进可靠信息的收集和积累。
3、保护法律和法规规定的隐私。
4、最小化组织业务和网络操作受到的损害,止损是应急响应工作的核心目的。
5、针对犯罪分子提出刑事或民事诉讼。
6、给出事件报告和提出合理化的建议。
为实现上述目标,需要尽早谋划建立网络安全应急响应小组,遵循网络安全应急响应内在规律,找到应急响应的方法,部署实施之后,还要依照制定的网络安全应急响应规范,撰写应急响应报告。
二、建立网络安全应急响应小组
网络安全应急响应最重要的主体是应急响应组织,其作为应急响应的主要决策者和执行者,也是各个阶段的指导者。作为专门处理安全事件的组织,其常用的名称为CERT(Computer Emergency Response Team)或CSIRT(Computer Security Incident Response Team)。网络安全应急响应小组也可以定义为一种服务性的组织,主要负责接收、检查并响应计算机安全事件的报告和活动。它通常为一个确定的集合体,该集合体可能是一个归属实体,比如某个国家、地区、政府、公司、网络或教育机构等,也可能是某个付费客户。一般来说,如果在网络安全突发事件发生后再去组建应急响应小组来处理突发事件,通常已经太迟了,所以,网络安全应急响应小组需要提前建立。网络安全应急响应小组人员需要在协调能力和专业知识2个方面达到一定的水平,做到注意细节、控制局面、有条不紊地处理重要的事件,并且将自身所做的工作记录成文档资料。
(一)网络安全应急响应小组的任务
网络安全应急响应小组应完成以下任务,共五类、14项内容。
1、排查试探
(1)利用有组织的、正式的调查流程来响应安全突发事件或可疑突发事件。
(2)进行一次客观公正、彻底的调查。
(3)迅速地确认或排除是否真正发生了入侵或安全突发事件。
2、发力抑制
(1)评估突发事件的损失与范围。
(2)在调查期间,建立一条每天24 h、每周7天的全天候客服热线。
(3)控制并牵制突发事件。
3、证据保全
(1)收集并归档所有与突发事件有关的证据。
(2)维护一个保管链(以便在收集完证据后保护证据)。
(3)在需要技术支持时选择额外的人力、物力支持。
(4)保护法律或公司策略所确立的隐私权。
4、司法介入
(1)与相应的司法部门和法律当局进行联络。
(2)保护突发事件的机密性,避免不必要的信息外露。
(3)提供专家证词。
5、管理建议
为管理部门提供强大的以事实为依据的突发事件处理建议。
(二)网络安全应急响应小组的组建
网络安全突发事件发生后,应急响应的主体应根据应急响应预案,快速组建网络安全应急响应小组。组建应急响应小组且的执行责任主体应当是预先选定的应急响应负责人、应急响应小组或应急响应办公室(以下统一简称为负责人)。
应急响应负责人一般需要具备以下基本能力才能有效、快速地组建应急响应小组。
(1)负责人应当具有一定的行政级别,否则往往难以有效地调动各个部门的相关资源和人力。
(2)负责人应当非常熟悉应急响应的流程、体系和技术方法,确保应急响应小组的组建全面有效,确保能够在第一时间找到正确的人处理正确的事。
(3)负责人应当非常熟悉所在机构或企业的业务体系和业务影响范围,有能力在第一时间对网络安全突发事件的影响做出基本评估。
(4)负责人应当熟悉各个业务团队和技术团队,以确保能够在第一时间联系相关人员,快速组建应急响应小组。
(5)负责人应当至少能够在短时间内专注于处理应急响应事件,肩负其他重大紧急任务的人员不适合做应急响应负责人——应急响应负责人通常都是兼职的,在没有突发事件发生时,往往需要从事其他的日常工作。
网络安全应急响应负责人的确立,可确保突发事件发生后,组织内部能够实现统一的协调与决策,避免政出多门、决策冲突的情况发生。负责人需要判断当前工作所需的专业技术人员。在负责人的统一部署下,工作人员各司其职,并严格按照应急响应计划组织实施应急响应工作。
除了负责人之外,应急响应小组中最重要的人员构成就是IT技术人员,其次是具体业务人员。对于具有一定社会影响的网络安全事件,往往还需要协调对外口径以及如何与媒体沟通,这时还需要市场人员的加入。随着公众对信息公开的要求越来越高,市场人员在网络安全应急响应中的作用越来越受到政府和企业的重视。
下面简要介绍一下负责人,IT技术人员和市场人员的主要任务和职责。
网络安全应急响应负责人员主要任务如下。
(1)制定工作方案。
(2)协调人员和物质保障。
(3)审核并批准经费预算。
(4)审核并批准恢复策略。
(5)审核并批准应急响应计划。
(6)批准并监督应急响应计划的执行。
(7)指导应急响应小组的应急处置工作。
(8)启动定期评审、修订应急响应计划以及负责组织的外部协作。
网络安全应急响应IT技术人员主要任务如下。
(1)应急响应计划文档的编制。
(2)应急响应的需求分析,确定应急策略和等级以及策略的实现。
(3)备份系统并进行维护,灾难系统的恢复与实施。
(4)安全突发事件发生时的损失控制和损害评估。
(5)组织应急响应计划的测试和演练。
网络安全应急响应市场人员主要职责如下。
(1)与政府协调机构、软硬件服务供应商和专业安全厂商建立长期的合作关系。
(2)建立预防预警机制,及时进行信息上报。
(3)参与和协助应急响应计划的教育、培训和演练。
(4)网络安全事件发生后的外部协作。
(三)网络安全应急响应组人员的能力要求
1、管理技能
网络安全应急响应组的负责人自己要具备足够的管理技能,要保证整个响应组成员具备所有基本技能,并组织和协调响应组的活动。同时,负责人应当懂得一定的技术,以便对事件的优先级别做出正确的判断,并能够避免在与用户、厂商和其他人打交道时显得不够专业,甚至造成外界对应急响应工作失去信心。
2、专业技能
掌握专业技能对于响应组尤为重要,因为许多突发网络安全事件都需要娴熟的专业技能来处理。相关人员可以通过所掌握的技术来分析哪里出了问题并应对所面临的局面。编程经验,特别是在系统编程上的经验也很重要,当响应组需要反向工程研究恶意代码(如蠕虫和后门)时,就非常有帮助。很多时候,计算机的危机处理都处于紧急状态,有关经验的持续积累对应急响应处理大有裨益。
3、人际关系
和谐的人际关系对响应组工作的效率和效果至关重要,同时与协调单位、合作伙伴或者客户群中的接洽人员,保持良好的个人关系也很重要。
4、团队合作技能
团队合作技能在于设定一个相同的目标、进行合理的分工、准确地估计任务完成的时间、知道在什么时候开始一个新的任务、知道在合适的时候放手让其他成员去做。通过合作能够从响应组的各个成员那里获得工作进展状况。
5、沟通技能
沟通技能与人际交流和团队合作技能的关系非常密切。尤其是网络安全事件往往悄无声息,在无形之中斗智斗勇,应急团队负责人与企业内部高层管理人员、应急工作涉及的业务部门人员、外界合作厂商、外聘顾问或技术专家等之间的沟通顺畅,可以使应急指挥事半功倍。
三、掌握网络安全应急响应方法
(一)事前准备
“事前准备”是网络安全应急响应的前期铺垫。其目标是在事件真正发生前为应急响应做好预备性的工作。具体负责人员有事故单位负责人、技术人员、市场人员,根据各自的角色准备不同的内容。最后输出的文档包括《准备工具清单》《事件初步报告表》《实施人员工作清单》等。
1、负责人准备内容
(1)制定工作方案和计划。
(2)提供人员和物质保证。
(3)审核并批准经费预算、恢复策略、应急响应计划。
(4)批准并监督应急响应计划的执行。
(5)指导应急响应实施小组的应急处置工作。
(6)启动定期评审、修订应急响应计划以及负责组织的外部协作。
2、技术人员准备内容
(1)服务需求界定
首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包含以下内容。
1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、可用性要求。
2)对服务对象的信息系统,包括应用程序、服务器、网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源。
3)应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估。
4)应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效地恢复信息系统运行的方法。
5)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉网络安全应急响应策略。
(2)主机和网络设备安全初始化快照和备份
在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果以后再出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常。
(3)工具包的准备
1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等。
2)应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘、加密的U盘等。
3)应急服务提供者的工具包应定期更新、补充。
(4)必要技术的准备
上述针对应急响应的处理涉及的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。所以应急响应服务实施成员还应该掌握必要的技术手段和规范,具体包括以下内容。
1)系统检测技术,包括以下检测技术规范:Windows系统检测技术规范、Unix系统检测技术规范、网络安全事故检测技术规范、数据库系统检测技术规范和常见的应用系统检测技术规范。
2)攻击检测技术,包括以下技术:异常行为分析技术、入侵检测技术、安全风险评估技术、攻击追踪技术、现场取样技术、系统安全加固技术、攻击隔离技术、资产备份恢复技术等。
3、市场或公共关系人员准备内容
市场人员需要和合作对象建立长期友好的业务关系;和合作对象签订应急服务合同或协议;建立预防和预警机制,及时上报。
(二)事中发现
“事中发现”的目标是接到事故报警后在事故单位的配合下对异常的系统进行初步分析,确认其是否真正发生了网络安全事件,制定进一步的响应策略,并保留证据。负责人员包括应急服务实施小组成员、应急响应日常运行小组。此步骤的工作内容包括以下几个方面。
(1)检测范围及对象的确定。
(2)检测方案的确定。
(3)检测方案的实施。
(4)检测结果的处理。
最终输出《检测结果记录》及其他报告。
“事中发现”确认了网络攻击的行为、初步发现了问题的特征及影响波及面,从而针对安全事件需要确定实施小组成员、下一步检测范围及对象、确定检测方案、实施检测方案、处理检测结果等。
1、确定实施小组人员
应急响应负责人根据《事件初步报告表》的内容,初步分析事故的类型、严重程度等,以此来确定临时应急响应小组的实施人员的名单。
2、确定检测范围及对象
应急服务提供者应对发生异常的系统进行初步分析,判断是否真正发生了网络安全事件;应急服务提供者和事故单位共同确定检测对象及范围;检测对象及范围应得到事故单位的书面授权。
3、确定检测方案
应急服务提供者和事故单位共同确定检测方案;应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;应急服务提供者制定的检测方案应明确应急服务提供者的检测范围,其检测范围应仅限于服务对象已授权的与安全事件相关的数据,对服务对象的机密性数据信息未经授权的不得访问;应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施;应急服务提供者和事故单位充分沟通,并预测应急处理方案可能造成的影响。
4、实施检测方案
(1)检测搜集系统信息
检测搜集系统信息时,记录平时使用目录及文件名约定,以及约定文件格式。搜集操作系统基本信息,并导出日志信息、导出账号信息等。
(2)主机检测
需要检测以下各项:日志检查、账号检查、进程检查、服务检查、自启动检查、网络连接检查、共享检查、文件检查、查找其他入侵痕迹等。
5、处理检测结果
(1)确定安全事件的类型。经过检测,判断出网络安全事件类型。
(2)评估突发信息安全事件的影响。采用定量和/或定性的方法,对业务中断、系统宕机、网络瘫痪、数据丢失等突发信息安全事件造成的影响进行评估;确定是否存在针对该事件的特定系统预案,如有,则启动相关预案;如果事件涉及多个专项预案,应同时启动所有涉及的专项预案;如果没有针对该事件的专项预案,应根据事件具体情况,采取抑制措施,抑制事件进一步扩散。
(3)制定具体响应策略,必要时进行事件调查。
(三)事后响应
“事后响应”阶段,也是全力以赴行动的阶段。其目标是及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。负责主体包括应急服务实施小组、应急响应日常运行小组。其工作内容如下。
(1)响应方案的确定。
(2)响应方案的认可。
(3)响应方案的实施。
(4)响应效果的判定。
执行响应工作之后,输出《响应处理记录表》报告。
四、制定应急响应报告规范
网络安全应急响应报告的目的是要把应急事件发生的所有情况记录到文档中,包括应急响应的每个阶段都应执行报告工作,做到实时记录、实时更新。突发事件的发生一般容易引起恐慌,让企业不知所措,其中部分原因即是没有充分的文档记录。网络安全应急响应是一个单调和条理化的过程,它需要记录文档。但如果是不准确、不科学的文档,即使与最高超的技术能力相结合也不会发挥其作用,有可能会导致错误的结论和不恰当的响应。
应急响应报告可以由应急响应的主体来撰写,也可以由网络安全应急服务提供者向服务对象(事故单位)提供完备的网络安全事件处理报告格式和报告相关的措施与建议。在报告阶段包含着整个突发事件的活动,并有助于预防或阻止新的突发事件。报告具体格式可参考下表。
应急响应事件报告参考模板
五、网络安全应急响应执行策略
1、网络安全应急响应工作专人担纲策略
网络安全应急响应的组织保障对整个应急工作至关重要。由于网络安全应急响应是伴随着近年来互联网的迅速普及和渗透而引起各方重大关切的课题,因此,在实际工作中会碰到诸多难题,例如,网络安全事件人员组织和调配困难、专业人员管理问题、网络故障原因复杂、攻击者攻击手段难以取证等。
由于网络安全突发事件的内在规律性,处理机制存在特殊性,专人负责的组织保障工作极度重要,否则应急响应将陷入各方推诿的境地。但现实情况是,有些机构部门、企业依然存在诸多组织保障问题,例如突发网络安全事件涉及诸多部门,应急响应的负责人可能是临时委派,或者对各业务线不熟悉,导致处理起来效率低,难以保证应急响应任务要求。因此,这里特别强调“应急负责人专人担纲策略”,具体可参见以下两点。
首先,企事业单位应切实重视网络安全应急响应,配置落实专人负责。该负责人不一定是专职的岗位,但是必须保证一旦出现网络安全事故,能及时到位,第一时间主抓应急响应工作。
其次,网络安全应急响应第一负责人必须能力、权力兼备。该负责人的自身职务权力、指挥协调能力需要与网络安全应急响应第一负责人岗位匹配,即能清晰了解、有力调度各部门、各业务线相关资源,熟悉应用专业的应急响应流程,有序、高效地组织实施,从而快速响应、快速协调、及时控制局面。
具体而言,以大型企业内部网络安全应急响应负责人任命为例,对该负责人的要求,可参考以下标准:
第一,必须是企业副总(VP)级别以上;
第二,该负责人必须熟知各业务线情况,本身应属于全能型人才;
第三,对各业务线具体负责人员状况比较熟悉,能确保在事发第一时间与其沟通,并保持联系;
第四,对网络安全应急响应流程熟悉,从专业角度熟悉网络应急响应的技术和方法,具备相应的专业经验储备。
2、效率优先策略
在网络应急响应的处置过程中,需要考虑及时、有效控制整体事件,最大限度地减轻、消除网络安全突发事件的危害,这要求注意执行工作的优先策略,保障应急处置效率。具体参见以下3个方面。
策略 1 在突发网络安全事故处置中,优先保证的是止损。从现有经验看,大多数网络安全事故不会涉及人员伤亡,而阻止防范机构或企业的财产、机密内容的破坏损失才是第一目的。例如,对于不对外提供在线业务的组织,遭到外网攻击的首要反应是拔掉网线,防止攻击损失扩大或失控。
策略 2 及时有效地启动恢复系统,确保业务不间断。在可能的条件下优先保证业务连续,从而减小对企业业务经营带来的负面影响。但注意,恢复系统运行不能导致网络攻击的证据被破坏,尽可能在保存证据基础上,恢复业务。
策略 3 优先使用备份系统。一般情况下,重要信息系统都配置冗余备份系统,优先使用备份系统,支撑业务连续可用,并为前两条优先策略打下基础。当然,其前提是业务系统的备份数据系统保持稳定与可用,并完美支持切换。
六、结语
本文主要介绍了应急响应的若干工作部署流程,在每个流程中的实施内容与步骤。在网络安全事故未发生之前、处置过程中,需要把握相关的执行策略,即组织保障策略和效率优先策略。网络安全事件的应对,归根到底还是依靠富于卓越的领导力、专业的工程实施能力和指挥协调能力的团队力量,保障相关责任人能及时到位,相关协助力量可以有效到位,从而降低事故带来的损失,以及对企业事业单位品牌及社会声誉带来的负面影响。
微信公众号:计算机与网络安全
ID:Computer-network
【推荐书籍】