×

网络安全应急响应的回顾与展望
  

新手153427 1580

{{ttag.title}}

当前,世界各国纷纷将网络空间安全纳入国家安全战略,制定和完善网络空间安全战略规划和法律法规。我国高度重视网络空间安全,总书记曾明确提出“没有网络安全就没有国家安全”,而网络安全应急工作是网络安全的最后一道防线,完善网络安全应急标准体系,规范网络安全应急工作,提升应急能力,对于捍卫国家安全至关重要。

一.什么是应急响应?

Emergency Response/Incident Response :安全人员在遇到 突发事件 后所采取的措施和行动
突发事件:影响一个系统的正常工作的情况,此处的系统包括主机以及网络范围内的问题,这种”情况“包括常见的黑客入侵、信息窃取,DDOS拒绝攻击、网络流量异常等。

二.网络安全应急响应的启发

1988 Moris - 第一个计算机应急响应组织出现
1988年11月,罗伯特·塔潘·莫里斯(Robert Tappan Morris,著名密码学家Robert Morris Sr.的儿子)当时还是康奈尔大学20多岁的研究生, 
某天,他想知道互联网有多大——也就是连接了多少台设备。

于是他编写了一个程序,可以在计算机间传播,并要求每台机器将信号发送回控制服务器,以进行计数,非常简洁的方案。1988年11月2日该程序被从麻省理工学院(MIT)施放到互联网上(不知是否是要掩盖自己在康奈尔)。
程序运行的效果非常好,其实是太好了以致莫里斯自己很快无法控制,出现了恐慌。
短短12小时内,超过6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪,其中涉及NASA、各主要大学以及未被披露的美国**,不计其数的数据和资料毁于这一夜之间。

最后由普渡和伯克利大学的研究人员花了72个小时来解决制止这种蠕虫。在莫里斯蠕虫病毒数周之后,卡内基梅隆大学建立了世界上第一个网络应急响应小组。1990年,国际网络安全合作组织FIRST(Forum of Incident Response and Security Teams)正式成立。

2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系
2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生
红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 。它会攻击运行微软IIS Web服务器的计算机。
eEye Digital Security员工Marc Maiffret和Ryan Permeh首先发现和研究了红色代码蠕虫,蠕虫利用了Riley Hassell发现的漏洞。他们将其命名为“Code Red”,因为Code Red Mountain Dew是他们当时正在喝的饮料
尽管蠕虫在7月13日开始散布,2001年7月19日就感染了数量最多的计算机。在这一天,受感染的主机数量达到了359,000台。

三.应急响应在安全保障整体工作中的作用

问题:怎么样才算是“安全的”?
如果你有100万两黄金,有两个人地方你可以去放,一个是在沙哈拉沙漠,一个是在人民广场的箱子里,你会选择放在哪里呢?有的人肯定想我要放在沙哈拉沙漠,因为那个地方是一个很少人接触的地方,有的人肯定想,我要放在人民广场的箱子里,因为那个地方的人多,出现了问题可以随时响应,事实证明,空有安全防护,未有安全响应体系的防护安全是没有意义的。

结论:响应时间和抗攻击时间的关系
安全取决于响应时间和抗攻击时间的关系 Rt ≤ ∑Pt (及时响应是安全保障的关键)
推论:
安全保障的各个环节不应该是相互孤立的
安全是相对的,具体要求各不相同
投资多、设备好不一定安全级别高

四.应急响应事件处理的一般阶段

俗话说,道高一尺,魔高一丈,不管我们做了多少的安全方面的工作,攻击者还是有可能在一个夜黑风高的晚上偷偷的潜入到我们的系统,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。以下为应急响应事件处理的一般阶段

第一阶段:准备——严阵以待(策略、防御、程序、人员、工具、基础设施、资金)
第二阶段:确认 ——对情况综合判断 (检测、调查、评价、报告、决策)
第三阶段:封锁——制止事态的扩大 (安全域(地理/层次/人机/业务)、边界控制)
第四阶段:根除——彻底的补救措施 (定位、对症下药、副作用)
第五阶段:恢复——备份,顶上去! (数据恢复、状态恢复、行为恢复、环境恢复)
第六阶段:跟踪 ——还有会第二次吗? (追究责任、改进)

五.安全应急响应的展望

复杂性大幅上升:相互交织越来越深入和密切,单点应急效果有限
更加依赖于大数据:基于大数据建立精准应对能力,没有数据就没有
需要知识积累与应用:知识与威胁情报是关键,否则无法科学响应
需要大范围协同:多领域、大范围、多国家的协同,需要配套的机制和能力
安全需求升级:新基础设施的安全、数据安全壁垒必须解决
“黄金时间”是关键:提前预警,从ER到IR,缩短响应速度、延长时间窗,等等
专业人员:需要足够多的专业人员
媒体管理理:新媒体和自媒体时代,发挥其优势,减少其副作用
素质教育:全民科学和安全素养的提升,需持续进行

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

sangfor_闪电回_小六 发表于 2020-4-26 09:36
  
感谢楼主分享,网络安全问题无小事,后续希望楼主能带来更多安全方面的干货,点赞打赏下!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人