不知您是否留意到���,我們這邊正在舉國(guó)上下歡慶春節(jié)和冬奧會(huì)開幕之時(shí)����,遠(yuǎn)在歐洲大陸的德國(guó)卻傳來了����,其主要石油儲(chǔ)存公司 Oiltanking,以及礦物油貿(mào)易公司 Mabanaft 的 IT 系統(tǒng)遭到黑客組織的持續(xù)網(wǎng)絡(luò)攻擊���。由于他們的儲(chǔ)罐裝 / 卸載過程��,完全依賴于已被攻擊下線的計(jì)算機(jī)系統(tǒng)����,因此無法從自動(dòng)化退回到手動(dòng)操作模式���。此次中斷預(yù)計(jì)會(huì)給整個(gè)供應(yīng)鏈造成嚴(yán)重的影響��。
遙想 2021 年 5 月�,DarkSide 黑客集團(tuán)也曾利用勒索軟件,攻擊了美國(guó)最大燃油管道公司 Colonial Pipeline��,并引起了油氣管道的計(jì)量系統(tǒng)無法運(yùn)行�,進(jìn)而中斷服務(wù)。面對(duì)這些屢禁不止的惡意安全事件��,我不禁利用這個(gè)春節(jié)長(zhǎng)假中�����,再次思考了事件響應(yīng)與事件管理的相關(guān)問題���。
事件響應(yīng)與事件管理的區(qū)別✦
面對(duì)突發(fā)的各種網(wǎng)絡(luò)安全事件,我們通��?紤]的是如何在最短的時(shí)間內(nèi)��,去消除事件的影響���,甚至?xí)济右话炎�、病急亂投醫(yī)。不過�����,實(shí)際上事件響應(yīng)(Incident Response��,IR)和事件管理(Incident Management�����,IM)是兩種截然不同的處置方式����。理清它們之間的區(qū)別,將有助于我們從根本上更好的管控安全事件�。
從定義上來看:
事件響應(yīng)主要包括對(duì)事件進(jìn)行檢測(cè)分類、深入分析�、實(shí)施控制、減少影響��、保護(hù)關(guān)鍵數(shù)據(jù)�、資產(chǎn)與系統(tǒng)、以及采取技術(shù)恢復(fù)等具體的行動(dòng)要素��。
事件管理主要涉及到安全事件響應(yīng)團(tuán)隊(duì)在各個(gè)處置階段所采取的不同流程�����,而且不限于技術(shù)流程。它包含了各種通信交流��、升級(jí)轉(zhuǎn)發(fā)�、以及事態(tài)報(bào)告等���?梢哉f����,它起到了將整個(gè)響應(yīng)的環(huán)節(jié)串聯(lián)起來���,形成一個(gè)有機(jī)整體的作用���。
從人員上來看:
從目標(biāo)上來看:
事件威脅建模✦
眾所周知���,事件響應(yīng)離不開響應(yīng)團(tuán)隊(duì)成員和應(yīng)手的工具。常言道:“知己知彼�,百戰(zhàn)不殆�����!币惶浊逦娴耐{模型��,可以被用來詳細(xì)定義不同類型的安全威脅���,概述組織會(huì)采取哪些略有區(qū)別地響應(yīng)措施����,以及涉及到的角色和責(zé)任等。面對(duì)可以預(yù)見的網(wǎng)絡(luò)���、系統(tǒng)和應(yīng)用等維度的安全威脅����,業(yè)界常用 STRIDE 威脅建模�����,來識(shí)別潛在的漏洞�����,并建立響應(yīng)機(jī)制�。該模型包含了六種不同的威脅類別:
欺騙身份(Spoofing identity),主要針對(duì)的是系統(tǒng)的身份認(rèn)證機(jī)制�。攻擊者偽造的身份既可以是合法用戶本身,又可以是合法的技術(shù)調(diào)用或進(jìn)程�。例如,典型的中間人攻擊(MIM)���、網(wǎng)站木馬�����、郵件偽造等都屬于此類威脅����。一旦獲得了易受攻擊系統(tǒng)的訪問權(quán)限���,攻擊者便可以截取敏感信息��,進(jìn)而執(zhí)行深層次的攻擊�����。
篡改數(shù)據(jù)(Tampering with data)����,主要針對(duì)的是數(shù)據(jù)的完整性�。攻擊者通過未經(jīng)授權(quán)的數(shù)據(jù)篡改,可以更改系統(tǒng)或應(yīng)用的配置文件�����,以獲得控制權(quán)�����、插入惡意代碼、甚至刪除日志���。例如���,數(shù)據(jù)包傳輸過程中的注入攻擊,以及由于執(zhí)行了錯(cuò)誤的代碼��,而導(dǎo)致完整數(shù)據(jù)被損壞等都屬于此類威脅����。對(duì)此,我們可以通過文件完整性監(jiān)控(File Integrity Monitoring�����,F(xiàn)IM)�,根據(jù)已創(chuàng)建的基線,去判斷和識(shí)別關(guān)鍵日志��、配置與存儲(chǔ)文件是否被篡改��。
否認(rèn)(Repudiation), 主要體現(xiàn)在攻擊者在執(zhí)行了非法操作后,隱匿其行蹤�����,以達(dá)到抵賴的效果�。對(duì)此���,我們可以通過審計(jì)用戶的登錄與執(zhí)行���,采取簽名和哈希等手段,來增強(qiáng)追蹤惡意活動(dòng)的識(shí)別能力�。
信息泄露(Information disclosure),主要體現(xiàn)在應(yīng)用或網(wǎng)站向未經(jīng)授權(quán)的用戶泄露敏感數(shù)據(jù)��。例如����,在有漏洞的系統(tǒng)進(jìn)行調(diào)用,可能會(huì)遭遇緩沖區(qū)溢出攻擊�����。同時(shí)�����,中間人對(duì)于傳輸數(shù)據(jù)的截獲也屬于此類威脅。值得注意的是���,它與前面提到的“欺騙身份”威脅不同���,攻擊者是直接獲取到不該泄露的信息,而不需要通過假扮或欺騙合法用戶來得到�。
拒絕服務(wù)(Denial of Service,DoS)��,主要體現(xiàn)在攻擊者迫使目標(biāo)系統(tǒng)的資源(如:處理或存儲(chǔ)能力等方面)不可被訪問與使用�����、或完全無法受理正常服務(wù)請(qǐng)求���。例如�,各種 SYN 泛洪攻擊��、TCP 復(fù)位攻擊�、緩沖區(qū)溢出等都屬于此類威脅。對(duì)此���,我們可以通過采用安全協(xié)議���,完善配置�,增加檢查等方式���,來予以防范。
特權(quán)提升(Elevation of Privilege)����,主要體現(xiàn)在攻擊者在系統(tǒng)管理員不知情的狀態(tài)下,通過普通用戶獲得特殊訪問權(quán)��,進(jìn)而破壞目標(biāo)系統(tǒng)���。例如���,用戶代碼超越緩沖區(qū),以更高權(quán)限執(zhí)行敏感操作����。或是由于訪問檢查的缺失或不當(dāng)�,導(dǎo)致攻擊者未經(jīng)授權(quán)地運(yùn)行了可執(zhí)行文件等。
盡管 STRIDE 是目前最為流行且有效的威脅建模與安全設(shè)計(jì)框架,不過如果您覺得它有些陳舊的話�,則可以參考最新的零信任網(wǎng)絡(luò)(zero trust networks,ZTN)安全模型�。它秉承的是“從不信任,始終驗(yàn)證”的概念�����,即:在任何用戶�����、資源或資產(chǎn)都是不可信的前提下����,通過消除隱含的信任關(guān)系,并不斷驗(yàn)證每個(gè)階段的交互過程����,來保護(hù)目標(biāo)組織和應(yīng)用系統(tǒng)。
無論是被部署在云端���,還是在本地����,零信任網(wǎng)絡(luò)作為一種持續(xù)評(píng)估和驗(yàn)證的關(guān)鍵性流程組件,可以在檢測(cè)過程中��,為響應(yīng)團(tuán)隊(duì)提供有關(guān)的可疑訪問請(qǐng)求��、以及事件本身的詳細(xì)信息�����。我們可以通過如下方面對(duì)各類網(wǎng)絡(luò)攻擊���,做出及時(shí)響應(yīng),并最大限度地減少損害�����。
假設(shè)違規(guī)�。由于凡事都不可信,因此我們能夠從網(wǎng)絡(luò)中已存在著攻擊者的角度出發(fā)�����,更加專注于阻止各種違規(guī)行為���。
完整的可見性�。我們能夠通過管理各種憑證、訪問�、操作、端點(diǎn)環(huán)境�、以及基礎(chǔ)設(shè)施,來監(jiān)控用戶請(qǐng)求所對(duì)應(yīng)的身份��、設(shè)備�����、應(yīng)用和數(shù)據(jù)��,這四種元素的詳細(xì)信息�����。而在驗(yàn)證過程中����,一旦發(fā)現(xiàn)任何異常的訪問嘗試,響應(yīng)團(tuán)隊(duì)都能準(zhǔn)確地關(guān)聯(lián)到特定的實(shí)體�、應(yīng)用和數(shù)據(jù)上。
自動(dòng)化響應(yīng)�。由于處于零信任狀態(tài),因此有待檢查的節(jié)點(diǎn)會(huì)更多��。我們往往需要實(shí)施自動(dòng)化的檢測(cè)與緩解手段,并通過事件關(guān)聯(lián)來剔除誤報(bào)�,并自動(dòng)更改網(wǎng)絡(luò)訪問規(guī)則,進(jìn)而構(gòu)建比手動(dòng)響應(yīng)更為有效的反應(yīng)機(jī)制��。
當(dāng)然���,沒有一種完全模型能夠完美到“團(tuán)滅”所有的威脅�����、或“包治百病”�。我們應(yīng)當(dāng)根據(jù)實(shí)際情況�,選用、調(diào)整或自定義某一種���、或混用各種安全模型的用例,通過縮小信任區(qū)域范圍��,制定出更快����、更有效的響應(yīng)計(jì)劃。
事件嚴(yán)重級(jí)別✦
光有定性的識(shí)別模型顯然是不夠的�����,我們?cè)趯?shí)踐中還需要有定量的指標(biāo)等級(jí),以便濾除“噪聲”�����,界定和分析事件���。
從表面上看�����,嚴(yán)重性高的事件通常需要快速的響應(yīng)���,但是實(shí)際情況并非一成不變。由于在事件響應(yīng)的過程中���,我們往往推崇的是“快速生效”�。因此�,對(duì)于某些低嚴(yán)重性事件而言,如果它們需要調(diào)用的資源較少����,能夠立竿見影��,起到迅速遏制事件在范圍與程度的效果�,那么我們就可以將其視為高優(yōu)先級(jí)的處置目標(biāo)���,予以快速修復(fù)�����?梢姡录膰(yán)重程度并不能完全決定了事件的優(yōu)先級(jí)�����,我們需要從業(yè)務(wù)的角度��,多方面綜合考慮���。
當(dāng)然�,最為穩(wěn)妥的方法應(yīng)該是:以事件對(duì)于業(yè)務(wù)的影響程度��,來界定嚴(yán)重性級(jí)別�����。無論是服務(wù)級(jí)別目標(biāo)(Service Level Object�,SLO)也好,還是服務(wù)級(jí)別約定(Service Level Agreement�,SLA)也罷,它們都直接影響著我們?nèi)ゴ_定安全事件的嚴(yán)重性與優(yōu)先級(jí)�,并且會(huì)影響到如何配置人員與資源,以及是否按需升級(jí)響應(yīng)等級(jí)�。在此,我以一個(gè) APP 的頁(yè)面平均加載時(shí)間為例�����,向您展示嚴(yán)重性與響應(yīng)的關(guān)系:
嚴(yán)重程度 | 狀況 | 客戶影響 | 涉及到利益相關(guān)方 |
1 | 頁(yè)面無法加載 | 客戶無法使用應(yīng)用服務(wù)違反SLA | 響應(yīng)團(tuán)隊(duì)執(zhí)行應(yīng)急方案�����,各部門展開排查���,告知管理層 |
2 | 頁(yè)面加載速度慢200% | 服務(wù)響應(yīng)極慢�����,客戶失去使用意愿 | 應(yīng)急響應(yīng)團(tuán)隊(duì)協(xié)同運(yùn)維團(tuán)隊(duì)排查�����,并向客戶發(fā)出警告 |
3 | 頁(yè)面加載速度慢50% | 服務(wù)響應(yīng)緩慢�����,客戶產(chǎn)生抱怨 | 運(yùn)維團(tuán)隊(duì)排查 |
4 | 頁(yè)面加載速度慢1%-10% | 大部分客戶未注意到 | 將事件錄入事件管理系統(tǒng)�,但無需立即升級(jí)或發(fā)出警告 |
通常,我們應(yīng)當(dāng)事先制定好一個(gè)包含了事件影響范圍和程度的等級(jí)關(guān)系矩陣�。運(yùn)維人員和應(yīng)急響應(yīng)人員可以將收集到的指標(biāo)參數(shù),對(duì)應(yīng)到事先明確定義好的取值范圍中���,進(jìn)而通過客觀且公式化結(jié)合方式(或是相乘����、或是相加)�����,來確定其嚴(yán)重性����。
事件管理團(tuán)隊(duì)✦
如前文所述,事件管理比事件響應(yīng)更加“高屋建瓴”�,是一整套實(shí)踐流程和解決方案。它不但需要組織能夠管理好安全事件的發(fā)展走勢(shì)����,而且可以滿足所處環(huán)境中日益嚴(yán)苛的數(shù)據(jù)合規(guī)要求。此外����,它還能夠讓各個(gè)利益相關(guān)方通過規(guī)范化的流程,避免同類事件的復(fù)發(fā)���。
常言道:“凡事預(yù)則立��,不預(yù)則廢�����!笔录芾砬屑膳R時(shí)抱佛腳。我們應(yīng)當(dāng)事先構(gòu)建好一個(gè)“召之即來�,來之能戰(zhàn)”的團(tuán)隊(duì)。在實(shí)踐中�����,一些組織會(huì)片面地認(rèn)為安全事件處理只和那些諳熟日常運(yùn)維的技術(shù)大咖有關(guān)����。但其實(shí)���,若要真正管理好事件,少不了安全���、基礎(chǔ)架構(gòu)與運(yùn)營(yíng)(I&O)����、以及管理層的調(diào)兵遣將與有效溝通��。
事件管理指標(biāo)✦
如今已是大數(shù)據(jù)時(shí)代�,我們擔(dān)心的不再是得不到必要的數(shù)據(jù)指標(biāo),而是向我們涌來的數(shù)據(jù)是否有用��、是否能夠協(xié)助我們實(shí)施事件管理�����。以下便是一些常見的指標(biāo)類別�����,它們有助于隨著事件響應(yīng)的逐步推進(jìn)���,各方更好地把控安全事件的全局:
各類警告數(shù)量:我們可以通過衡量事件警告的不同類型���、級(jí)別和數(shù)量,從宏觀上直接了解當(dāng)前的任務(wù)積壓��。
平均檢測(cè)時(shí)間(Mean time to detect����,MTTD):我們可以用來了解監(jiān)控工具的事件觸發(fā)效率,以及運(yùn)維人員對(duì)于事件威脅的敏感程度����。
平均確認(rèn)時(shí)間(Mean time to acknowledge,MTTA):我們既可以用來判定對(duì)于事件分類的合理性�,又能夠獲悉響應(yīng)團(tuán)隊(duì)剔除誤報(bào)的專業(yè)程度。
平均解決時(shí)間(Mean time to resolve�,MTTR):指從事件響應(yīng)開始,到業(yè)務(wù)服務(wù)完全恢復(fù)所需要的平均時(shí)間���。它是組織在事件管理能力方面的直接體現(xiàn)��。
預(yù)算消耗比例�����。這反映了團(tuán)隊(duì)在事先制定響應(yīng)計(jì)劃��,并申請(qǐng)資源配置方面的規(guī)劃能力�����。為了避免出現(xiàn)“時(shí)間未半��,卻已花光預(yù)算”的情況��,團(tuán)隊(duì)?wèi)?yīng)當(dāng)實(shí)時(shí)根據(jù)該指標(biāo)�,靈活地調(diào)整事件處置的策略。
事件管理工具✦
俗話說:“工欲善其事��,必先利其器�������!眱(yōu)秀的工具往往能夠協(xié)助我們進(jìn)行事件的跟蹤�����、記錄��、處置、以及最終的績(jī)效考評(píng)�����。在管理事件時(shí)��,我們通常會(huì)用到如下兩類工具:
即時(shí)通訊工具���。在實(shí)踐中,許多組織都會(huì)通過此類工具�����,方便團(tuán)隊(duì)實(shí)時(shí)地以協(xié)同和會(huì)診的方式����,去分析事件。各種圖文并茂的交流記錄����,不但為事件的響應(yīng)和決策過程提供了豐富的第一手資料,而且方便了響應(yīng)過程的后期復(fù)盤�����。
事件管理工具。除了團(tuán)隊(duì)之間的人員溝通��,我們也離不開事件從生成時(shí)的捕獲���,到原始信息的轉(zhuǎn)存���,以及任務(wù)的分派等自動(dòng)化流轉(zhuǎn)的過程。在實(shí)踐中��,我們常用到的此類工具包括:ServiceNow 和 OnPage 等�����。響應(yīng)團(tuán)隊(duì)不但可以在 PC 端上使用它們��,還能夠通過智能手持設(shè)備接收到其推送的通知�����,并通過友好的界面��,隨時(shí)隨地參與事件的協(xié)同處理���。
事件回顧總結(jié)✦
我們常說��,沒有總結(jié)就沒有進(jìn)步�����。事后分析是事件管理的最后一個(gè)環(huán)節(jié)�����,也是不可或缺的部分����。團(tuán)隊(duì)成員可以查閱過往的處置記錄�����,回顧在整個(gè)響應(yīng)過程中�����,本應(yīng)該實(shí)施���、卻由于某種原因并未能實(shí)現(xiàn)或拖延執(zhí)行的任務(wù)��,以及由此導(dǎo)致的失誤�。據(jù)此,我們可以提高組織在如下方面的事件應(yīng)對(duì)能力:
以“左移”的方式提高事故預(yù)防能力
減少或消除服務(wù)中斷的停機(jī)時(shí)間
改善 MTTD�����、MTTA�����、以及 MTTR 等指標(biāo)
提高相關(guān)數(shù)據(jù)的保存與使用能力
通過頻繁廣泛的內(nèi)外部溝通�,提供客戶的知情能力
與此同時(shí),通過撰寫事后分析報(bào)告�����,主要利益相關(guān)方不但可以審查���、并了解安全事件發(fā)生的根本原因��,以及下一步相關(guān)部門與團(tuán)隊(duì)將如何通過整理��,來防止此類事件的復(fù)發(fā)�����,而且能夠督促響應(yīng)團(tuán)隊(duì)不斷改進(jìn)事件的響應(yīng)流程����,優(yōu)化事件的管理效果,將這些“增量”知識(shí)變?yōu)椤按媪俊奔寄堋?/p>
小結(jié)✦
綜上所述���,無論事件響應(yīng)計(jì)劃��、威脅建模��、嚴(yán)重性劃分�、團(tuán)隊(duì)處置能力�����、以及指標(biāo)與工具的使用���,都會(huì)是一個(gè)需要不斷查缺補(bǔ)漏的動(dòng)態(tài)更新過程。無論您是事件響應(yīng)團(tuán)隊(duì)成員�����,還是事件管理的相關(guān)方�,都應(yīng)該練就“不怕事,不避事,善處事”的心態(tài)�����,不要將安全事件視為挫折�����,而將其看作歷練的機(jī)會(huì)�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
