信息安全应急响应新常态

在当前信息安全事件日益趋向“零日”、“高级”的大环境下，应急这个“急”字显得尤为重要。近些年来，随着移动互联网、云计算、物联网等新技术的大量应用，能被利用的攻击范围也越来越宽泛，覆盖了桌面、Web、移动终端、APP、社交网络等，在这种背景下，留给应急响应的时间窗口越来越小，而对应急响应人员所需的专业技能要求却越来越高，专业化、自动化、系统化越来越关键，传统的“单兵作战”模式已经完全不适应现有的安全威胁，基于大数据分析的安全情报系统与基于经验积累的专家社会网络系统相融合，多方力量协同作战将会成为信息安全应急响应的新常态。

当前环境下，大规模的安全威胁事件时常发生，从而引发高等级的应急响应活动愈发频繁，如心脏出血漏洞的爆出、携程系统被攻击等。究其原因，一方面是随着SOA（面向服务的软件架构）设计思想的普及，为缩短开发时间，各类开源或商业组件获得大规模应用，这种耦合结构导致任何一个组件出现安全漏洞，都会影响整个软件系统，进而影响大量设备和用户。另一方面，随着漏洞挖掘和利用技术的发展，更为先进的挖掘和利用方法被发掘出来，导致被发现和利用的漏洞数量大幅增加。当一个严重漏洞被挖掘出来后，通过各种社交网络和网络媒体，在极短的时间内就会迅速传播开来，针对漏洞的攻击行为也会迅速增加。

一般来说，漏洞被公开后的72小时内，属于安全应急响应的“黄金时间”，如果在这段时间内成功完成响应活动，系统被“攻陷”的概率就会比较低。但是，据统计，信息安全应急响应的时效性（也直接影响了有效性）很不如人意，比如在心脏出血漏洞披露后的72小时内，国内网站仅有18%的比例进行了修复，也就是说，还有72%的网站仍然处于危险状态，暴露在已经非常活跃的网络攻击之下。由此可见，针对信息安全事件的大规模应急响应属于一个系统工程，强调多方协同合作，单打独斗将无法应付真正的大规模信息安全事件，及时有效地实施一系列响应活动，从而获得整体安全性的战略动员和自动化部署能力，可能更为关键。

图7 “云地人机”协同示意图

新常态下实施有效应急响应的关键因素有如下几点。

1.掌握威胁情报

2015年和2016年RSA大会均强调了威胁情报对于安全监测和应急响应的重要性，谁收集的有效威胁情报越多，谁就能在应急响应过程中占据主动。收集到威胁情报后，安全专家会对其原理、影响范围进行分析，研究检测和防御的办法。

2.开展有效防御

安全专家研究出威胁情报的防御办法后，需要将防御办法及时有效地部署，并以合适的形式推送给用户，如升级安全系统的各种补丁、插件、特征库、快速App等。

3.提供大规模服务能力

在短时间内对成千上万的设备系统进行升级和修复并不是一件容易的事情。通过不同形式的“软件定义”架构，逐步建设大规模的自动化部署系统，例如,批量地升级系统配置、对系统服务进行重新编排等。此外，线上线下（O2O）安全专家的互动在安全应急响应活动中也非常重要，“线上”可以掌握最新的威胁情报和全局动态，“线下”拥有第一手的数据和实际操作能力，例如,实际业务影响判断、现场取证分析等。将线上线下能力融合起来才能发挥最大作用。

4.监视和闭环

监视应急响应活动的最新进展，并对应急响应活动的效果进行评价，以便针对性的调整策略。这一步骤需要大范围的数据获取和处理分析能力。

从上述分析可以看出，无论哪一个因素，都需要一个多方参与的安全生态链才能打造完成，这里面需要用户、主管单位、行业机构、安全服务商、产品供应商等多种角色进行协作。归纳起来，新常态下信息安全应急响应需要“云地人机”四方协同，如图7所示。

图7中，“云”代表线上、集中远程提供服务、高性能计算、大数据分析能力等；“地”代表线上或线下分布的大量安全产品；“人”代表安全专家、专业领域知识等；“机”代表系统、设备、自动化检测手段等。这四者相互融合，“云地”配合代表着线上与线下、集中与分布的协同；“人机”配合代表着“机”需要向安全专家取证、学习才能加强自身响应能力，而安全专家则需要有能力掌握并有效使用各种安全系统等。

下面给出一个实例，对这四者的关系进行说明。某单位突然发现局域网内出现一种新型病毒，该病毒隐蔽性很强，单位电脑上安装的杀毒软件无法检测和查杀，网络管理人员只能求助杀毒软件厂家，厂家工程师到现场处理，确认该病毒为最新出现的蠕虫病毒，必须研发出对应的病毒查杀库，于是抓取病毒的特征码，提交给病毒库研发人员。研发人员利用提交的特征码，很快就研发出新的病毒库，并部署在厂家云安全服务中心，启用自动下发程序，定期向所有安装杀毒软件客户端的电脑推送新的病毒查杀库。杀毒客户端收到最新病毒库后，立即启用查杀进程，迅速将该类病毒清除。

在这个病毒爆发应急响应过程中，云安全服务中心、杀毒软件客户端、厂家工程师及研发人员、自动下发程序分别扮演了“云地人机”的角色，正是这四者协同配合，才能在较短的时间内迅速对病毒爆发事件做出有效的响应。

结论

随着新型安全威胁的不断涌现，企业面临的信息安全环境愈发复杂、恶劣。为减少突发的信息安全事件带来的损失，企业必须建立完善的应急响应体系，快速有效的应急响应活动可以有效保证安全威胁发生时，能够将系统从故障状态迅速切换到应急状态，保证重要业务系统的连续性。当前很多企业并不重视应急响应，认为只要花钱引进最新的安全产品，就能保证信息安全，这种观点并不正确。

世界上没有绝对的安全，信息安全领域也不例外，无论部署多么先进的安全防护系统，仍然难以避免一些新的管理漏洞和技术漏洞，特别是当前网络边界无限延伸，使得事故发生时，如果没能及时做出响应，可能会造成不可估量的损失。

本文结合实际案例，对应急响应PDCERF流程和应急响应预案进行了分析，并对未来“云地人机”协同配合的发展趋势进行了展望。

总之，信息安全应急响应体系的建立是一项漫长而复杂的工程，这项工程不是个别人在战斗，也不只是应急响应小组的事情，而是全公司参与，需要得到各级领导和员工的理解和支持。全体人员必须要树立“预防为主，防治结合”的安全防护思路，全公司的支持是创建成功应急响应体系的关键，提前规划，尽早实施，这样才能胸有成竹地面对随时可能发生的安全事故。