今年的ISC2017大会精彩纷呈,9月13日下午召开的应急响应论坛——政企网络安全应急响应的创新与实践,汇聚了来自国家互联网应急中心CNCERT、中国信息安全测评中心、国家工业信息安全发展研究中心、JPCERT/CC、以及政企单位的各路大神,大咖们在会上纷纷发表了价值观点。
应急响应前移,应急响应即服务
论坛专家提到了一个很新颖的观点:应急响应要前移,即在事前做好充分准备,抓住危机发生的关键因素和触发点,进行预防和预警,才能有效地消除矛盾、控制危机。应急管理的重点是危机发生之后的处置,进行24小时监测预警,发生安全事件后,达到重大事件“分钟级”的应急处置、“小时级”的恢复处理。
安全应急响应工作要检查安全事件来源、恢复系统正常工作、进行安全事件深度分析、进行入侵取证,并发布安全警报、安全公告、形成安全建议。在政企单位开展应急响应过程中,以应急服务的形式邀请专业安全团队,将应急响应工作前移,做好全流量网络事件监控和分析,主动发现安全攻击的苗头,建立应急处理机制或体系,明确应急处理预警等级划分,建设应急处理队伍,实行7天×24小时值班,以专业化方式处理突发的安全事件。
在应急响应前移的思路下,国家主管机关对应急响应的指导、运营商等部门对应急响应的支撑也是关键环节。国家互联网应急中心运行部主任严寒冰在演讲中提到了一个数据:2013年8月运营商对虚假IP地址进行专项整治,整治后,用虚假IP地址进行DDOS攻击的比例由71%大幅度下降为10%、而用真实地址进行攻击的比例达到了70%。国家主管机关对虚假IP地址的整治,给开展应急响应工作提供了非常好的支撑,大幅度提高了安全企业协助客户记录真实攻击源的概率,也有利于在相关部门的授权下进行追踪溯源。
人才是应急响应的关键
应急响应前移,应急响应成为运维服务的核心,靠的都是人。中国信息安全测评中心的位华专门以新形势下应急响应的人才需求为主题,提出人在安全中的作用越来越重要了,万物皆变,不变的是人,应急响应和处置都需要人来完成,而且是深度参与,单靠设备是无法做好应急处置的。这也应了ISC大会的主题:万物皆变,人是安全的尺度。
加强专业应急安全人才队伍的建设是应对频发安全事件的关键要素。应急服务主要通过人工去发现、分析、研判、处理突发的安全事件。能不能高质量地完成应急响应服务,还是看有没有合格的安全技术人才,安全人才的能力和应急服务完成的质量有很大关系。
提高安全团队的应急能力以面对越来越多的网络攻击,应急响应服务人员需要具备数据分析能力、安全逆向能力、安全实践能力、网络基础知识等多项关键能力。安全需要实战型人才,位华提到,应急响应的人才培养更需要以创新的理念去开展,以政企的实际需求为根本,建立安全人才生态圈,形成政府、企业和教育机构深度合作的实战型人才培养机制。
应急响应前移的行业实践和落地
来自贵阳大数据委、国家工业信息安全发展研究中心、石化盈科的三位专家,分别从贵阳大数据应急演练、工控安全应急、央企运营响应的维度,解读了前移的应急响应如何落地。
贵阳建设了全国首个政府数据共享开放平台、梳理政府数据资源目录、统一存储、统一管理的城市级大数据系统。对贵阳大数据系统的应急处置来说,数据的安全是最重要、最核心的问题。贵阳大数据委提出应急管理的着力点“向前移”,抓住危机发生的关键因素和触发点,进行预防和预警,才能有效地消除矛盾、控制危机。为了检验贵阳大数据系统的应急处置能力,贵阳邀请到国内顶尖的20支网络安全攻击队伍和12支防守队伍参加攻防和应急演练,针对100个重点攻击目标和10000个网站进行了真实的攻防及应急检测,检验了应急响应前置的效果。
工控安全系统的应急工作与传统的信息系统安全应急既有相同也有不同。工控系统利用信息技术实现深度网络化、智能化,系统从单机走向互联、从封闭走向开放、从自动化走向智能化。在改进生产模式,提高管理水平和生产效率的同时,也面临着日益严峻的信息安全风险,自2010年震网病毒出现后,每年都有特别引人注目的工控安全事件发生,频度越来越高,影响范围也越来越大。信息系统的安全应急为工控应急工作提供了借鉴与参考,但是由于工控系统自身的一些特点、局限和不足,导致工控应急面临着一些不同的挑战。
国家工业信息安全发展研究中心的张洪认为,工控应急的挑战主要来自四个方面:攻防形势不对称、技术要求不对称、人员素质不对称以及投入产出不对称。据中心监测发现,暴露在互联网上的主流工控系统数量高达72,000个,系统类型有近20种。与此同时,很多工控设备都存在各种软硬件漏洞,FireEye统计2000-2015年全球共发现1490个工业控制系统漏洞。近年来工业控制系统成为国家级网络部队、黑客组织以及极端势力的主要攻击目标,攻击工具数量之多、涉及的工业相关领域之广等充分表明,针对工业控制系统的攻击工具已经成为新的威慑手段。今年6月份我国发布的《工业控制系统信息安全事件应急管理工作指南》,要求建立健全工控安全事件应急工作机制、提升工控安全事件应急处置能力。张洪认为,加强重要工控系统的在线安全监测能力、工控网络安全威胁捕获能力,形成工控系统安全信息共享机制,通过主被动结合的方式,监测工控系统的安全情况,支撑开展对工控系统的前置应急响应处置。
石化盈科的李超提出了数据驱动的安全运营应急响应体系的建设思路。他以中国石化如何应对“永恒之蓝”勒索病毒的应急事件为案例,提出了前置的应急响应工作体系化地协同防御作战模式,从对事件的预警、通知、提出防护要求、安排7*24小时值班和响应、到自动化监测,实现了零台机器被勒索的目标。以处置邮件诈骗攻击的应急事件为案例,提出如何依据蛛丝马迹进行攻击者画像,结合威胁情报进行深度安全分析,找出已经被攻陷的机器及账户,确定并封锁黑客窃取商业秘密的数据通路,直至开展追踪溯源的整个应急处置流程。通过建设 “数据+平台+团队”的安全运营体系,实现数据驱动的应急响应,达到应急响应工作前置的目标。
数据驱动的前置式应急响应
来自360企业安全的专家龚玉山特别强调了大数据在应急响应中的应用。复杂的网络结构、纷繁多变的外部威胁、防不胜防的内部威胁,都是政企单位在开展应急响应工作中的痛点。数据驱动的应急响应是近年来提出的安全理念,安全大数据发挥的作用取决于在各个阶段做的工作是否到位,只有在各个环节上充分准备,才能支撑整个事件的处置。检测阶段的数据采集、协议分类、持续检测能力,分析阶段的分析研判能力、可监控能力,处置阶段的影响范围判断能力、感染设备定位能力、处置能力,都是决定应急响应成败的关键能力。龚玉山还提出,政企单位开展前置的应急响应,需具备五个能力:事件的发现能力、事件的分析能力、事件的研判能力、事件的处置能力、数据采集以及存储能力。应急响应所需的数据要涵盖流量数据、终端数据、SIEM数据、以及结合第三方数据进行分析研判。
在当天上午的互联网安全领袖峰会上,谭晓生特别强调“应急响应即服务”。“防不住”已成共识,应急响应在网络安全防御中处于重要的地位,是系统运行的一部分,系统运行中出现了问题就需要高效的应急处置。论坛各位专家从理念、监管、实践、服务等不同维度提出的应急响应手段,都在支撑一个观点:应急响应,从事后到事前,前移的应急响应,让我们处置安全事件更加从容、更加主动。
原文发布时间为:2017年9月20日
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
