网络安全是一个变化、复杂的可持续过程,而应急响应则是这个过程中不可或缺的一环。无论如何稳固的安全体系,都需要思考一个问题,当安全防线被攻破了怎么办?
网络安全事件层出不穷、事件危害损失巨大。当企业遭遇网络攻击时,能否快速应急响应,决定了攻击事件的严重度和对企业的伤害度。合格的网络安全应急响应将成为企业应对网络安全攻击的最后一道防线,也是企业安全的最终保障,才能更好地起到防护的作用。
3月17日,集贤科技安全总监fooyii在FreeBuf甲方社群第十一场内部直播中担任主讲嘉宾,以“浅谈安全之应急响应”为主题进行分享,带大家系统的认识应急响应。fooyii通过三个复杂的案例来剖析带大家深入了解应急和探索应急响应,以期帮助更多企业的安全人员做好应急,在未来复杂的安全环境中将损失到最低。
谈起应急响应就不得不提到入侵溯源,很多时候第一步都是溯源,但是入侵溯源并不等于应急响应,这是很多人经常踩到的误区。
想要真正做好应急响应,必须要先思考三个问题:应急响应的目的是什么;什么情况下需要应急响应;完整的应急响应流程是什么?
应急响应常见标准是PDCERF模型,包括准备、检测、遏制、根除、恢复和跟踪总结六个步骤。另外一个是我国专家提出的WPDRRC模型,增加了预警和后续反击的能力,因此对于企业安全应急响应能力的要求也更高。
那么该如何做好应急响应呢?我将整个技术架构分为四个部分,分别是复盘阶段、处置阶段、检测阶段和准备阶段,具体如下图所示:
随后,fooyii根据PDCERF模型,就应急响应的准备阶段、抑制阶段、保护阶段、检测阶段、取证阶段/根除阶段/恢复阶段/总结阶段、应急演练等几个方面进行展开叙述。
在准备阶段,我们首先要做好应急响应预案,并对预案进行演练;其次还应做好事前准备工作,包括日常的安全运维、检测、维护等,确保安全人员可以更快地发现威胁。在应急预案里安全人员通常会对安全事件进行定级,并根据定级的情况启动相应的预案动作。因此应急响应预案是整个应急响应体系的关键点。
应急响应的目的是止损,当事件发生后,如何把损失降到最低就是应急响应的终极目标。因此在应急响应抑制阶段,主要分为两个方向,一是临时阻断,比如停止某些服务或调整访问控制;二是物理阻断,在无法遏制事件蔓延时,安全人员可以采取关机、断网等抑制措施。
在保护阶段,fooyii分享了一些常用的工具,以及一些如何固定证据等操作,具体如下所示:
在检测阶段,涉及的就是大家常遇到的具体应急过程,例如中木马了如何处理等。这里我们要做基础分析,排除原因后再去看进程分析、内存分析以及日志分析等。此外还需要注意的是要对流量进行分析,这对整个应急响应会有比较明显的帮助。
在取证阶段/根除阶段/恢复阶段/总结阶段,在这个阶段,我们需要做好证据固定工作,寻找根除攻击的办法,并将数据进行恢复,对于整个安全事件进行总结分析,了解其出现的背景、成因、影响,并对整个应急响应过程进行复盘。
最后,fooyii还需加强应急响应演练,了解场景的覆盖度等,通过长期的演练来发现一些新的问题,不断完善预案,以此应对突发情况。
fooyii还分享了两个具体的应急响应实战案例,帮助大家进一步理解应急响应的过程和步骤。
二、云时代的自动化应急响应
fooyii还分享了目前他个人正在研究的方向——云时代的自动化应急响应,以此解决远程终端无法链接、网络隔离等场景下的应急响应。
当网络攻击事件发生之后,我们需要进行溯源,此时一个非常必要的步骤是,获取客户的授权,避免后续产生不必要的纠纷。随后可以对客户的环境进行取证,包括自动化镜像快照、自动化镜像挂载、入侵特征匹配、自动化溯源取证等。然后再转交由人工进行智能化数据分析,成功实现取证。
在问答环节,有观众提到,数据泄露之后应急响应应该怎么做?对此,fooyii表示可以分为5个步骤:1、判断整个数据泄露是否正常;2、评估数据泄露事件的影响;3、向监管部门通报数据泄露事件;4、向受影响的客户通报数据泄露事件,并提供相应的补救措施;5、对数据泄露事件进行跟踪和复盘。
还有用户提出,做好应急响应前置条件一般有哪些?那对于自有人员的技术能力又有哪些要求?
fooyii认为,最关键的有两点:一是做好应急预案,二是做好应急演练。具体的技能能力的话可以参照应急响应PDCERF模型进行分析,每一个阶段所需要的能力都不一样。例如在检测阶段,所需能力涉及网络、运维、安全、开发等方面;而在溯源阶段则需要逆向分析;在最后的阶段又需要对整个安全技术比较了解,可快速摸清对方是以何种方式入侵等。
最后,主持人和演讲嘉宾们一起抽取了幸运互动观众,送出精美礼品。
本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!
更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部】
【如有疑问,也可扫描上方二维码添加小助手微信哦!】