作者丨陳峻
創(chuàng)新互聯(lián)主要從事網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站�����、網(wǎng)頁(yè)設(shè)計(jì)��、企業(yè)做網(wǎng)站��、公司建網(wǎng)站等業(yè)務(wù)�。立足成都服務(wù)東麗,十載網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):028-86922220
策劃丨孫淑娟
不知您是否留意到���,我們這邊正在舉國(guó)上下歡慶春節(jié)和冬奧會(huì)開幕之時(shí)���,遠(yuǎn)在歐洲大陸的德國(guó)卻傳來(lái)了,其主要石油儲(chǔ)存公司 Oiltanking����,以及礦物油貿(mào)易公司 Mabanaft 的 IT 系統(tǒng)遭到黑客組織的持續(xù)網(wǎng)絡(luò)攻擊。由于他們的儲(chǔ)罐裝 / 卸載過(guò)程�����,完全依賴于已被攻擊下線的計(jì)算機(jī)系統(tǒng)�����,因此無(wú)法從自動(dòng)化退回到手動(dòng)操作模式。此次中斷預(yù)計(jì)會(huì)給整個(gè)供應(yīng)鏈造成嚴(yán)重的影響��。
遙想 2021 年 5 月���,DarkSide 黑客集團(tuán)也曾利用勒索軟件���,攻擊了美國(guó)最大燃油管道公司 Colonial Pipeline,并引起了油氣管道的計(jì)量系統(tǒng)無(wú)法運(yùn)行���,進(jìn)而中斷服務(wù)����。面對(duì)這些屢禁不止的惡意安全事件����,我不禁利用這個(gè)春節(jié)長(zhǎng)假中,再次思考了事件響應(yīng)與事件管理的相關(guān)問(wèn)題�。
事件響應(yīng)與事件管理的區(qū)別
面對(duì)突發(fā)的各種網(wǎng)絡(luò)安全事件,我們通?��?紤]的是如何在最短的時(shí)間內(nèi)����,去消除事件的影響���,甚至?xí)济右话炎?��、病急亂投醫(yī)。不過(guò)��,實(shí)際上事件響應(yīng)(Incident Response�,IR)和事件管理(Incident Management,IM)是兩種截然不同的處置方式���。理清它們之間的區(qū)別�,將有助于我們從根本上更好的管控安全事件���。
從定義上來(lái)看:
- 事件響應(yīng)主要包括對(duì)事件進(jìn)行檢測(cè)分類����、深入分析����、實(shí)施控制、減少影響�、保護(hù)關(guān)鍵數(shù)據(jù)、資產(chǎn)與系統(tǒng)、以及采取技術(shù)恢復(fù)等具體的行動(dòng)要素�����。
- 事件管理主要涉及到安全事件響應(yīng)團(tuán)隊(duì)在各個(gè)處置階段所采取的不同流程�,而且不限于技術(shù)流程。它包含了各種通信交流�����、升級(jí)轉(zhuǎn)發(fā)���、以及事態(tài)報(bào)告等���。可以說(shuō)�����,它起到了將整個(gè)響應(yīng)的環(huán)節(jié)串聯(lián)起來(lái)�,形成一個(gè)有機(jī)整體的作用。
從人員上來(lái)看:
- 事件響應(yīng)是技術(shù)人員的主要職責(zé)��。
- 事件管理則需要更廣泛的利益相關(guān)方(例如:法務(wù)部門��、公關(guān)團(tuán)隊(duì)、合規(guī)人員����、以及后勤保障等)開展溝通與協(xié)作���。
從目標(biāo)上來(lái)看:
- 事件響應(yīng)需要各個(gè)職能角色各司其職�����,通過(guò)快速檢測(cè)和修復(fù)損壞�����,來(lái)達(dá)到預(yù)定的技術(shù)要求���。
- 事件管理則著眼于最小化安全事件對(duì)于整個(gè)業(yè)務(wù)的影響,最大程度地降低危害�、防止組織因違規(guī)而招致的懲罰。
事件威脅建模
眾所周知����,事件響應(yīng)離不開響應(yīng)團(tuán)隊(duì)成員和應(yīng)手的工具。常言道:“知己知彼�����,百戰(zhàn)不殆?��!币惶浊逦娴耐{模型����,可以被用來(lái)詳細(xì)定義不同類型的安全威脅�����,概述組織會(huì)采取哪些略有區(qū)別地響應(yīng)措施�,以及涉及到的角色和責(zé)任等。面對(duì)可以預(yù)見的網(wǎng)絡(luò)�、系統(tǒng)和應(yīng)用等維度的安全威脅,業(yè)界常用 STRIDE 威脅建模�,來(lái)識(shí)別潛在的漏洞,并建立響應(yīng)機(jī)制���。該模型包含了六種不同的威脅類別:
- 欺騙身份(Spoofing identity)�,主要針對(duì)的是系統(tǒng)的身份認(rèn)證機(jī)制���。攻擊者偽造的身份既可以是合法用戶本身�����,又可以是合法的技術(shù)調(diào)用或進(jìn)程�。例如,典型的中間人攻擊(MIM)�����、網(wǎng)站木馬����、郵件偽造等都屬于此類威脅���。一旦獲得了易受攻擊系統(tǒng)的訪問(wèn)權(quán)限����,攻擊者便可以截取敏感信息�����,進(jìn)而執(zhí)行深層次的攻擊�����。
- 篡改數(shù)據(jù)(Tampering with data),主要針對(duì)的是數(shù)據(jù)的完整性��。攻擊者通過(guò)未經(jīng)授權(quán)的數(shù)據(jù)篡改��,可以更改系統(tǒng)或應(yīng)用的配置文件����,以獲得控制權(quán)、插入惡意代碼�����、甚至刪除日志����。例如,數(shù)據(jù)包傳輸過(guò)程中的注入攻擊��,以及由于執(zhí)行了錯(cuò)誤的代碼���,而導(dǎo)致完整數(shù)據(jù)被損壞等都屬于此類威脅�。對(duì)此�����,我們可以通過(guò)文件完整性監(jiān)控(File Integrity Monitoring,F(xiàn)IM)����,根據(jù)已創(chuàng)建的基線,去判斷和識(shí)別關(guān)鍵日志��、配置與存儲(chǔ)文件是否被篡改�。
- 否認(rèn)(Repudiation), 主要體現(xiàn)在攻擊者在執(zhí)行了非法操作后,隱匿其行蹤���,以達(dá)到抵賴的效果。對(duì)此��,我們可以通過(guò)審計(jì)用戶的登錄與執(zhí)行��,采取簽名和哈希等手段�����,來(lái)增強(qiáng)追蹤惡意活動(dòng)的識(shí)別能力�。
- 信息泄露(Information disclosure),主要體現(xiàn)在應(yīng)用或網(wǎng)站向未經(jīng)授權(quán)的用戶泄露敏感數(shù)據(jù)�。例如,在有漏洞的系統(tǒng)進(jìn)行調(diào)用���,可能會(huì)遭遇緩沖區(qū)溢出攻擊�����。同時(shí)�����,中間人對(duì)于傳輸數(shù)據(jù)的截獲也屬于此類威脅����。值得注意的是,它與前面提到的“欺騙身份”威脅不同�,攻擊者是直接獲取到不該泄露的信息,而不需要通過(guò)假扮或欺騙合法用戶來(lái)得到�����。
- 拒絕服務(wù)(Denial of Service�,DoS),主要體現(xiàn)在攻擊者迫使目標(biāo)系統(tǒng)的資源(如:處理或存儲(chǔ)能力等方面)不可被訪問(wèn)與使用��、或完全無(wú)法受理正常服務(wù)請(qǐng)求����。例如����,各種 SYN 泛洪攻擊����、TCP 復(fù)位攻擊、緩沖區(qū)溢出等都屬于此類威脅�。對(duì)此,我們可以通過(guò)采用安全協(xié)議�,完善配置,增加檢查等方式�,來(lái)予以防范。
- 特權(quán)提升(Elevation of Privilege)��,主要體現(xiàn)在攻擊者在系統(tǒng)管理員不知情的狀態(tài)下���,通過(guò)普通用戶獲得特殊訪問(wèn)權(quán),進(jìn)而破壞目標(biāo)系統(tǒng)���。例如�,用戶代碼超越緩沖區(qū)�����,以更高權(quán)限執(zhí)行敏感操作?;蚴怯捎谠L問(wèn)檢查的缺失或不當(dāng),導(dǎo)致攻擊者未經(jīng)授權(quán)地運(yùn)行了可執(zhí)行文件等����。
盡管 STRIDE 是目前最為流行且有效的威脅建模與安全設(shè)計(jì)框架,不過(guò)如果您覺得它有些陳舊的話�,則可以參考最新的零信任網(wǎng)絡(luò)(zero trust networks,ZTN)安全模型�。它秉承的是“從不信任,始終驗(yàn)證”的概念����,即:在任何用戶、資源或資產(chǎn)都是不可信的前提下����,通過(guò)消除隱含的信任關(guān)系,并不斷驗(yàn)證每個(gè)階段的交互過(guò)程�����,來(lái)保護(hù)目標(biāo)組織和應(yīng)用系統(tǒng)����。
無(wú)論是被部署在云端�,還是在本地�,零信任網(wǎng)絡(luò)作為一種持續(xù)評(píng)估和驗(yàn)證的關(guān)鍵性流程組件,可以在檢測(cè)過(guò)程中����,為響應(yīng)團(tuán)隊(duì)提供有關(guān)的可疑訪問(wèn)請(qǐng)求、以及事件本身的詳細(xì)信息����。我們可以通過(guò)如下方面對(duì)各類網(wǎng)絡(luò)攻擊,做出及時(shí)響應(yīng)�����,并最大限度地減少損害��。
- 假設(shè)違規(guī)��。由于凡事都不可信�����,因此我們能夠從網(wǎng)絡(luò)中已存在著攻擊者的角度出發(fā)��,更加專注于阻止各種違規(guī)行為����。
- 完整的可見性。我們能夠通過(guò)管理各種憑證��、訪問(wèn)���、操作�����、端點(diǎn)環(huán)境����、以及基礎(chǔ)設(shè)施�,來(lái)監(jiān)控用戶請(qǐng)求所對(duì)應(yīng)的身份、設(shè)備�����、應(yīng)用和數(shù)據(jù)����,這四種元素的詳細(xì)信息��。而在驗(yàn)證過(guò)程中�,一旦發(fā)現(xiàn)任何異常的訪問(wèn)嘗試�����,響應(yīng)團(tuán)隊(duì)都能準(zhǔn)確地關(guān)聯(lián)到特定的實(shí)體�����、應(yīng)用和數(shù)據(jù)上�。
- 自動(dòng)化響應(yīng)。由于處于零信任狀態(tài)�����,因此有待檢查的節(jié)點(diǎn)會(huì)更多���。我們往往需要實(shí)施自動(dòng)化的檢測(cè)與緩解手段�����,并通過(guò)事件關(guān)聯(lián)來(lái)剔除誤報(bào)����,并自動(dòng)更改網(wǎng)絡(luò)訪問(wèn)規(guī)則����,進(jìn)而構(gòu)建比手動(dòng)響應(yīng)更為有效的反應(yīng)機(jī)制。
當(dāng)然�����,沒有一種完全模型能夠完美到“團(tuán)滅”所有的威脅��、或“包治百病”����。我們應(yīng)當(dāng)根據(jù)實(shí)際情況,選用�、調(diào)整或自定義某一種、或混用各種安全模型的用例���,通過(guò)縮小信任區(qū)域范圍���,制定出更快、更有效的響應(yīng)計(jì)劃����。
事件嚴(yán)重級(jí)別
光有定性的識(shí)別模型顯然是不夠的�,我們?cè)趯?shí)踐中還需要有定量的指標(biāo)等級(jí)����,以便濾除“噪聲”,界定和分析事件��。
從表面上看��,嚴(yán)重性高的事件通常需要快速的響應(yīng)���,但是實(shí)際情況并非一成不變�����。由于在事件響應(yīng)的過(guò)程中���,我們往往推崇的是“快速生效”。因此����,對(duì)于某些低嚴(yán)重性事件而言,如果它們需要調(diào)用的資源較少���,能夠立竿見影�,起到迅速遏制事件在范圍與程度的效果,那么我們就可以將其視為高優(yōu)先級(jí)的處置目標(biāo)�,予以快速修復(fù)?���?梢?����,事件的嚴(yán)重程度并不能完全決定了事件的優(yōu)先級(jí)�,我們需要從業(yè)務(wù)的角度,多方面綜合考慮�。
當(dāng)然,最為穩(wěn)妥的方法應(yīng)該是:以事件對(duì)于業(yè)務(wù)的影響程度�����,來(lái)界定嚴(yán)重性級(jí)別����。無(wú)論是服務(wù)級(jí)別目標(biāo)(Service Level Object,SLO)也好�,還是服務(wù)級(jí)別約定(Service Level Agreement,SLA)也罷����,它們都直接影響著我們?nèi)ゴ_定安全事件的嚴(yán)重性與優(yōu)先級(jí)���,并且會(huì)影響到如何配置人員與資源,以及是否按需升級(jí)響應(yīng)等級(jí)��。在此���,我以一個(gè) APP 的頁(yè)面平均加載時(shí)間為例��,向您展示嚴(yán)重性與響應(yīng)的關(guān)系:
|
嚴(yán)重程度
|
狀況
|
客戶影響
|
涉及到利益相關(guān)方
|
|
1
|
頁(yè)面無(wú)法加載
|
客戶無(wú)法使用應(yīng)用服務(wù)違反SLA
|
響應(yīng)團(tuán)隊(duì)執(zhí)行應(yīng)急方案��,各部門展開排查��,告知管理層
|
|
2
|
頁(yè)面加載速度慢200%
|
服務(wù)響應(yīng)極慢����,客戶失去使用意愿
|
應(yīng)急響應(yīng)團(tuán)隊(duì)協(xié)同運(yùn)維團(tuán)隊(duì)排查���,并向客戶發(fā)出警告
|
|
3
|
頁(yè)面加載速度慢50%
|
服務(wù)響應(yīng)緩慢����,客戶產(chǎn)生抱怨
|
運(yùn)維團(tuán)隊(duì)排查
|
|
4
|
頁(yè)面加載速度慢1%-10%
|
大部分客戶未注意到
|
將事件錄入事件管理系統(tǒng),但無(wú)需立即升級(jí)或發(fā)出警告
|
通常�����,我們應(yīng)當(dāng)事先制定好一個(gè)包含了事件影響范圍和程度的等級(jí)關(guān)系矩陣��。運(yùn)維人員和應(yīng)急響應(yīng)人員可以將收集到的指標(biāo)參數(shù)�����,對(duì)應(yīng)到事先明確定義好的取值范圍中�����,進(jìn)而通過(guò)客觀且公式化結(jié)合方式(或是相乘��、或是相加)���,來(lái)確定其嚴(yán)重性。
事件管理團(tuán)隊(duì)
如前文所述��,事件管理比事件響應(yīng)更加“高屋建瓴”����,是一整套實(shí)踐流程和解決方案。它不但需要組織能夠管理好安全事件的發(fā)展走勢(shì),而且可以滿足所處環(huán)境中日益嚴(yán)苛的數(shù)據(jù)合規(guī)要求�����。此外���,它還能夠讓各個(gè)利益相關(guān)方通過(guò)規(guī)范化的流程�,避免同類事件的復(fù)發(fā)�。
常言道:“凡事預(yù)則立,不預(yù)則廢�。”事件管理切忌臨時(shí)抱佛腳�����。我們應(yīng)當(dāng)事先構(gòu)建好一個(gè)“召之即來(lái)��,來(lái)之能戰(zhàn)”的團(tuán)隊(duì)�。在實(shí)踐中,一些組織會(huì)片面地認(rèn)為安全事件處理只和那些諳熟日常運(yùn)維的技術(shù)大咖有關(guān)�����。但其實(shí),若要真正管理好事件�����,少不了安全�����、基礎(chǔ)架構(gòu)與運(yùn)營(yíng)(I&O)����、以及管理層的調(diào)兵遣將與有效溝通�����。
事件管理指標(biāo)
如今已是大數(shù)據(jù)時(shí)代�,我們擔(dān)心的不再是得不到必要的數(shù)據(jù)指標(biāo),而是向我們涌來(lái)的數(shù)據(jù)是否有用���、是否能夠協(xié)助我們實(shí)施事件管理����。以下便是一些常見的指標(biāo)類別,它們有助于隨著事件響應(yīng)的逐步推進(jìn)��,各方更好地把控安全事件的全局:
- 各類警告數(shù)量:我們可以通過(guò)衡量事件警告的不同類型����、級(jí)別和數(shù)量,從宏觀上直接了解當(dāng)前的任務(wù)積壓�����。
- 平均檢測(cè)時(shí)間(Mean time to detect,MTTD):我們可以用來(lái)了解監(jiān)控工具的事件觸發(fā)效率���,以及運(yùn)維人員對(duì)于事件威脅的敏感程度�����。
- 平均確認(rèn)時(shí)間(Mean time to acknowledge�����,MTTA):我們既可以用來(lái)判定對(duì)于事件分類的合理性�,又能夠獲悉響應(yīng)團(tuán)隊(duì)剔除誤報(bào)的專業(yè)程度。
- 平均解決時(shí)間(Mean time to resolve�,MTTR):指從事件響應(yīng)開始,到業(yè)務(wù)服務(wù)完全恢復(fù)所需要的平均時(shí)間��。它是組織在事件管理能力方面的直接體現(xiàn)�。
- 預(yù)算消耗比例�����。這反映了團(tuán)隊(duì)在事先制定響應(yīng)計(jì)劃,并申請(qǐng)資源配置方面的規(guī)劃能力�����。為了避免出現(xiàn)“時(shí)間未半,卻已花光預(yù)算”的情況����,團(tuán)隊(duì)?wèi)?yīng)當(dāng)實(shí)時(shí)根據(jù)該指標(biāo)����,靈活地調(diào)整事件處置的策略。
事件管理工具
俗話說(shuō):“工欲善其事���,必先利其器?��!眱?yōu)秀的工具往往能夠協(xié)助我們進(jìn)行事件的跟蹤��、記錄����、處置��、以及最終的績(jī)效考評(píng)��。在管理事件時(shí)��,我們通常會(huì)用到如下兩類工具:
- 即時(shí)通訊工具���。在實(shí)踐中�,許多組織都會(huì)通過(guò)此類工具�����,方便團(tuán)隊(duì)實(shí)時(shí)地以協(xié)同和會(huì)診的方式����,去分析事件�。各種圖文并茂的交流記錄��,不但為事件的響應(yīng)和決策過(guò)程提供了豐富的第一手資料,而且方便了響應(yīng)過(guò)程的后期復(fù)盤���。
- 事件管理工具���。除了團(tuán)隊(duì)之間的人員溝通�����,我們也離不開事件從生成時(shí)的捕獲,到原始信息的轉(zhuǎn)存���,以及任務(wù)的分派等自動(dòng)化流轉(zhuǎn)的過(guò)程�。在實(shí)踐中,我們常用到的此類工具包括:ServiceNow 和 OnPage 等�。響應(yīng)團(tuán)隊(duì)不但可以在 PC 端上使用它們,還能夠通過(guò)智能手持設(shè)備接收到其推送的通知��,并通過(guò)友好的界面��,隨時(shí)隨地參與事件的協(xié)同處理�����。
事件回顧總結(jié)
我們常說(shuō)�����,沒有總結(jié)就沒有進(jìn)步�。事后分析是事件管理的最后一個(gè)環(huán)節(jié),也是不可或缺的部分���。團(tuán)隊(duì)成員可以查閱過(guò)往的處置記錄���,回顧在整個(gè)響應(yīng)過(guò)程中����,本應(yīng)該實(shí)施���、卻由于某種原因并未能實(shí)現(xiàn)或拖延執(zhí)行的任務(wù)��,以及由此導(dǎo)致的失誤��。據(jù)此����,我們可以提高組織在如下方面的事件應(yīng)對(duì)能力:
- 以“左移”的方式提高事故預(yù)防能力
- 減少或消除服務(wù)中斷的停機(jī)時(shí)間
- 改善 MTTD、MTTA���、以及 MTTR 等指標(biāo)
- 提高相關(guān)數(shù)據(jù)的保存與使用能力
- 通過(guò)頻繁廣泛的內(nèi)外部溝通�,提供客戶的知情能力
與此同時(shí)�,通過(guò)撰寫事后分析報(bào)告��,主要利益相關(guān)方不但可以審查�����、并了解安全事件發(fā)生的根本原因���,以及下一步相關(guān)部門與團(tuán)隊(duì)將如何通過(guò)整理�����,來(lái)防止此類事件的復(fù)發(fā)�����,而且能夠督促響應(yīng)團(tuán)隊(duì)不斷改進(jìn)事件的響應(yīng)流程�����,優(yōu)化事件的管理效果�����,將這些“增量”知識(shí)變?yōu)椤按媪俊奔寄堋?/p>
小結(jié)
綜上所述�,無(wú)論事件響應(yīng)計(jì)劃�、威脅建模��、嚴(yán)重性劃分���、團(tuán)隊(duì)處置能力、以及指標(biāo)與工具的使用���,都會(huì)是一個(gè)需要不斷查缺補(bǔ)漏的動(dòng)態(tài)更新過(guò)程�����。無(wú)論您是事件響應(yīng)團(tuán)隊(duì)成員�����,還是事件管理的相關(guān)方,都應(yīng)該練就“不怕事�����,不避事����,善處事”的心態(tài)���,不要將安全事件視為挫折��,而將其看作歷練的機(jī)會(huì)。
>
網(wǎng)站題目:從黑客攻擊聊聊事件響應(yīng)與事件管理!
標(biāo)題URL:
http://uogjgqi.cn/article/cdsechd.html
