文章目錄
- 1 Why?
- 2 What?
- 3 How?
應急響應包含組織為了應對突發/重大資訊安全事件的發生所做的準備,以及在事件發生後所采取的措施,是資訊安全從業者的常見工作之一。應急響應并非僅僅是在系統被黑之後做一系列的補救措施,而是需要在平時就進行被黑的準備和避免被黑。
各大廠商通常的做法就是成立應急響應中心 SRC(Security Response Center),來盡量避免被黑。
1 Why?
問1:為什麼需要應急響應流程?
需要了解為什麼需要應急響應,那就需要從應急響應的目的入手:盡可能保證網站系統的安全。
如果網站廠商不具備網站基本的保護能力,即基本的入侵檢測能力,平時檢測不到入侵事件,有可能被入侵成功很久了卻渾然不知,攻擊者可能早就在達成目标後,清理痕迹悄然離去了,然後就被爆出新聞《xxx公司xx萬個人隐私資訊流入暗網售賣》,緊接着股票下跌,一系列指責……
(開發人員的重心都處在開發任務,他們的任務是開發新功能并保證系統的正常運作,并不保障是否安全。)
如果具備應急響應能力,平時可以對流量進行監控,對異常流量及時攔截,溯源分析流量來源,将心懷不軌之人繩之以法。
原因便浮出水面:盡可能保證網站系統的安全,減少公司因惡意攻擊而收到的損失。
問2:為什麼需要應急響應中心(SRC)?
大型企業涉及的産品衆多,攻擊面廣,漏洞被外部發現難以避免。如果被無意或善意的人發現了,應該如何接收這些漏洞呢?
(這讓我想到了漏洞販賣,據說 0 day 的買賣是合法交易,不賣留着砸手裡?狗頭
網際網路工作組的“負責任的漏洞披露過程”是一個廣泛被業界采納的做法。
具體做法被分為兩種模式:
- 微軟模式:公告。也有賞金計劃。
- 谷歌模式:公告+賞金。
騰訊:送公仔->排行榜->兌換。
也就是說安全應急響應中心是對自己安全團隊所做的安全保障工作的補充,減小入侵事件發生的機率。
2 What?
問1:應急響應需要做什麼?
應急響應有一個被廣泛接受的方法論(也就是最佳實踐)——PDCERF 模型,這個模型提供了應急響應的大體思路。
- 準備階段:将 PDCERF 中可能會使用到的工具、知識、技能進行提前準備,為後面的流程節約時間。
- 檢測階段:目的是确認入侵事件是否發生。常見的漏洞通過分析日志即可,而病毒需要進行進一步的分析。病毒本身必然有網絡行為,記憶體必然有其二進制代碼,它要麼是單獨的程序子產品,要麼是程序的dll/so子產品,通常,為了保活,它極可能還有自己的啟動項、網絡心跳包。
- 遏制階段:目的是控制事件影響範圍,避免黑客在内網中進一步擴大攻擊面。
- 根除階段:目的是避免黑客再度侵入。
- 恢複階段:目的是恢複業務的連續性。
- 跟蹤總結階段:目的是思考安全事件的根本原因,優化安全政策.
3 How?
問1:需要做什麼?
沒有具體的實戰經驗,以後有實戰經驗之後再來補充吧。
參考文章:
- 應急響應淺談
- 企業安全應急響應中心建設理論與實踐
- 應急響應的整體思路和基本流程