什么是应急响应,网络安全应急响应简介
应急响应(Incident Response/Emergency Response),通常指一个组织为了应对各种意外事件的发生所做的准备,以及在事件发生后所采取的措施。其目的是减少意外事件造成的损失,包括人民群众的生命、财产损失,国家和企业的经济损失,以及相应的社会不良影响等。
应急响应所处理的意外事件,通常为突发公共事件或突发重大安全事件。组织可以通过执行由政府或组织推出的针对各种意外事件的应急方案,将损失降到最低。应急方案是一套复杂而体系化的意外事件处置方案,包括预案管理、应急行动方案、组织管理和信息管理等内容。其相关执行主体包括应急响应相关责任单位、应急响应指挥人员、应急工作实施组织和事件当事人。
网络安全应急响应是应急响应的一个特定分支,侧重于处理网络安全事件,如数据泄露、系统入侵、恶意软件攻击等。
网络安全主要涉及信息的机密性、完整性和可用性三方面内容:
1) 信息的机密性:指保护机构的敏感信息不被非授权人员或其他机构访问或泄露。为了保障信息的机密性,需要采取加密通信、访问控制、身份验证和授权等安全措施。
2) 信息的完整性:指确保机构的信息在传输和存储过程中没有被篡改或损坏。为了保障信息的完整性,需要采取数字签名、哈希校验、数据备份和恢复等安全措施。
3) 信息的可用性:指机构的信息资产始终可供合法用户访问和使用。为了保障信息的可用性,需要采取防御性措施,如备份、容错、负载均衡和网络冗余等。
网络安全应急响应(后文简称“应急响应”,即本书后续内容提到的“应急响应”均指“网络安全应急响应”)是保障计算机系统、网络设备和数据等信息资产的完整性、机密性和可用性的一种重要手段,包括应急预案编制、事件快速响应、情报分析、漏洞管理和恢复重建等环节。这些环节的实施能够帮助组织在承受网络安全威胁时,迅速做出反应并采取应对措施,在最大程度上减少损失。
国家对网络安全高度重视,且机构、企业面临越来越多、越来越复杂的网络安全事件的威胁,使得应急响应工作变得日益重要。
应急响应工作主要包括以下两方面:
1) 未雨绸缪,即在事件发生前先做好准备。例如,开展风险评估,制订安全计划,编制应急响应预案,进行加强安全意识的培训,以发布安全通告的方法进行预警,以及采取各种其他防范措施。
2) 亡羊补牢,即在事件发生后采取的响应措施,其目的在于把事件造成的损失减到最小。这些响应措施可能来自人,也可能来自系统。例如,在发现事件后,采取紧急措施,进行系统备份、病毒及后门检测、可疑样本隔离、清除病毒或后门、系统恢复、调查与追踪、入侵取证等一系列操作。
以上两方面的工作是互有影响的。首先,事前的计划可为事后的响应措施提供指导框架,否则采取响应措施时很可能陷入混乱,毫无章法的响应措施有可能造成更大的损失;其次,事后的响应措施可能会指出事前计划的不足,从而使我们吸取教训,进一步完善安全计划。因此,这两方面的工作应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
网络安全应急响应需要机构、企业在实践中从技术、管理、法律等多角度考虑,保证针对突发网络安全事件的应急响应能够做到有序、有效、有力,确保将涉事机构、企业的损失减到最小,同时威慑肇事者。网络安全应急响应要求应急响应人员对网络安全有清晰的认识,对其有所预估和准备,从而在突发网络安全事件时,有序应对、妥善处理。
虽然防御端拥有系统内部资源方面的优势,但在安全事件发生时,系统必然处于预先的防护体系部分失效的情况下,即使能够完整识别事件及其影响,并快速完成处置过程,也只能起到减少防御端损失的效果,已有的资源优势很难发挥作用。
企业间的攻击较为罕见,通常局限于商业间谍行为或对竞争对手的负面竞争行为,虽然存在以经济利益为目的的网络犯罪(如盗用信用卡信息),但其规模和影响较小。
现在的网络攻击动机更多样化且更复杂。经济利益成为主要动机之一,大规模的勒索软件攻击、金融欺诈甚至高度专业化的网络犯罪层出不穷。攻击者不仅针对个人用户,更瞄准了企业甚至国家的基础设施。网络攻击已从单纯的技术展示演化为包括经济、政治、社会等多重动机的复杂威胁形式。
随着互联网技术的快速发展,现在的网络攻击方法变得更加多样化、专业化,更具有针对性。黑客开始使用高级持续性威胁(Advanced Persistent Threat,APT)发起针对特定目标的攻击,这类攻击通常涉及一系列复杂的手段,包括利用社会工程学、利用零日漏洞、定制恶意软件和进行隐秘的数据渗透,而且会利用密码破解工具、自动化脚本以及机器学习算法提高猜解密码的效率。
此外,随着物联网设备的普及,网络攻击的作用域拓展到了智能家居、工业控制系统等新领域。攻击者开始进行更为隐蔽的网络攻击,比如无文件(Fileless)攻击和内存驻留型攻击,这些攻击不易被传统安全措施检测到。
加密货币挖矿恶意软件的增多也是一个新趋势,黑客利用受害者的计算资源挖掘加密货币。针对云计算环境的攻击也随着云服务的普及而变得越来越常见。
总的来说,现在的网络攻击具有更强的隐蔽性、持久性和破坏力,需要采取更加高级和多层次的安全应急响应措施进行对抗。
现在的网络攻击技术体系日趋复杂。攻击者拥有高度组织化且复杂的工具和策略,会采用多步骤策略潜伏和窃取目标数据。攻击呈现出分工明确、团队作业的特点,例如利用 CS 平台的高级持续性威胁攻击(Advanced Persistent Threat-Threat On Cobalt Strike,APT-TO CS)。高度“模式化”使得攻击成本降低,也让发现和追溯这些攻击变得更难,使得应急响应工作愈发难以有效地执行。
对于大多数组织而言,预防工作的落实周期短、见效快,因此得到广泛关注。应急响应技术本身难以模式化和设备化,而且对组织内部技术人员的要求较高,普遍没有得到真正的重视。
组织专注于建立和强化安全基础设施与策略,包括硬件的投入、安全软件的部署、信息系统的架构布局,这样可以让组织满足合规性要求。然而,人员和技术平台支撑的不足,导致组织无法实施切实有效的应急演练。
从长期视角来看,忽视任何一个环节都可能使其成为网络安全防线的薄弱环节,进而对整个组织的安全、健康构成威胁。因此,成熟的网络安全策略应当重视并平衡防护与应急响应、建设与演练的关系,确保在面对网络安全事件时能够快速、有效地做出反应。
应急响应所处理的意外事件,通常为突发公共事件或突发重大安全事件。组织可以通过执行由政府或组织推出的针对各种意外事件的应急方案,将损失降到最低。应急方案是一套复杂而体系化的意外事件处置方案,包括预案管理、应急行动方案、组织管理和信息管理等内容。其相关执行主体包括应急响应相关责任单位、应急响应指挥人员、应急工作实施组织和事件当事人。
网络安全应急响应是应急响应的一个特定分支,侧重于处理网络安全事件,如数据泄露、系统入侵、恶意软件攻击等。
网络安全应急响应的含义
网络安全是指通过使用各种安全措施和技术手段,保护计算机系统、网络设备和数据等信息资产免受未经授权的访问、修改、窃取或破坏等威胁的过程。网络安全主要涉及信息的机密性、完整性和可用性三方面内容:
1) 信息的机密性:指保护机构的敏感信息不被非授权人员或其他机构访问或泄露。为了保障信息的机密性,需要采取加密通信、访问控制、身份验证和授权等安全措施。
2) 信息的完整性:指确保机构的信息在传输和存储过程中没有被篡改或损坏。为了保障信息的完整性,需要采取数字签名、哈希校验、数据备份和恢复等安全措施。
3) 信息的可用性:指机构的信息资产始终可供合法用户访问和使用。为了保障信息的可用性,需要采取防御性措施,如备份、容错、负载均衡和网络冗余等。
网络安全应急响应(后文简称“应急响应”,即本书后续内容提到的“应急响应”均指“网络安全应急响应”)是保障计算机系统、网络设备和数据等信息资产的完整性、机密性和可用性的一种重要手段,包括应急预案编制、事件快速响应、情报分析、漏洞管理和恢复重建等环节。这些环节的实施能够帮助组织在承受网络安全威胁时,迅速做出反应并采取应对措施,在最大程度上减少损失。
网络安全应急响应的作用
在发生确切的网络安全事件时,应急响应人员应及时采取行动,限制事件扩散和影响的范围,防范潜在的损失与破坏。应急响应人员应协助用户检查所有受影响的系统,在准确判断安全事件发生原因的基础上,提出基于安全事件的整体解决方案,排除系统的安全风险,并协助追查事件来源,协助后续处置。国家对网络安全高度重视,且机构、企业面临越来越多、越来越复杂的网络安全事件的威胁,使得应急响应工作变得日益重要。
应急响应工作主要包括以下两方面:
1) 未雨绸缪,即在事件发生前先做好准备。例如,开展风险评估,制订安全计划,编制应急响应预案,进行加强安全意识的培训,以发布安全通告的方法进行预警,以及采取各种其他防范措施。
2) 亡羊补牢,即在事件发生后采取的响应措施,其目的在于把事件造成的损失减到最小。这些响应措施可能来自人,也可能来自系统。例如,在发现事件后,采取紧急措施,进行系统备份、病毒及后门检测、可疑样本隔离、清除病毒或后门、系统恢复、调查与追踪、入侵取证等一系列操作。
以上两方面的工作是互有影响的。首先,事前的计划可为事后的响应措施提供指导框架,否则采取响应措施时很可能陷入混乱,毫无章法的响应措施有可能造成更大的损失;其次,事后的响应措施可能会指出事前计划的不足,从而使我们吸取教训,进一步完善安全计划。因此,这两方面的工作应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
网络安全应急响应需要机构、企业在实践中从技术、管理、法律等多角度考虑,保证针对突发网络安全事件的应急响应能够做到有序、有效、有力,确保将涉事机构、企业的损失减到最小,同时威慑肇事者。网络安全应急响应要求应急响应人员对网络安全有清晰的认识,对其有所预估和准备,从而在突发网络安全事件时,有序应对、妥善处理。
网络安全应急响应面临的挑战
要探索网络安全应急响应的发展趋势,我们需要先了解网络安全应急响应面临的挑战。当前,网络安全应急响应面临的挑战主要来自攻防两端信息不对称、攻击动机的复杂化、攻击方法的多样化、攻击技术的体系化和安全策略的不平衡倾向。1) 攻防两端信息不对称
系统的安全风险来自内部和外部,无论是主动的网络攻击,还是操作失误,导致安全事件发生的攻击过程往往是超出防御端预料的。虽然防御端拥有系统内部资源方面的优势,但在安全事件发生时,系统必然处于预先的防护体系部分失效的情况下,即使能够完整识别事件及其影响,并快速完成处置过程,也只能起到减少防御端损失的效果,已有的资源优势很难发挥作用。
2) 攻击动机的复杂化
过去的网络攻击动机往往较为简单——个人的攻击大多为了证明自己的技术能力或出于好奇、恶作剧心理抑或对现存系统感到不满意。企业间的攻击较为罕见,通常局限于商业间谍行为或对竞争对手的负面竞争行为,虽然存在以经济利益为目的的网络犯罪(如盗用信用卡信息),但其规模和影响较小。
现在的网络攻击动机更多样化且更复杂。经济利益成为主要动机之一,大规模的勒索软件攻击、金融欺诈甚至高度专业化的网络犯罪层出不穷。攻击者不仅针对个人用户,更瞄准了企业甚至国家的基础设施。网络攻击已从单纯的技术展示演化为包括经济、政治、社会等多重动机的复杂威胁形式。
3) 攻击方法的多样化
在早期的互联网时代,网络攻击方法通常比较基础且简单。攻击者经常利用病毒、钓鱼邮件、拒绝服务(Denial of Service,DoS)攻击、SQL注入、跨站脚本(Cross Site Scripting,XSS)攻击等,主要针对软件和网络系统中的明显漏洞开展网络攻击。随着互联网技术的快速发展,现在的网络攻击方法变得更加多样化、专业化,更具有针对性。黑客开始使用高级持续性威胁(Advanced Persistent Threat,APT)发起针对特定目标的攻击,这类攻击通常涉及一系列复杂的手段,包括利用社会工程学、利用零日漏洞、定制恶意软件和进行隐秘的数据渗透,而且会利用密码破解工具、自动化脚本以及机器学习算法提高猜解密码的效率。
此外,随着物联网设备的普及,网络攻击的作用域拓展到了智能家居、工业控制系统等新领域。攻击者开始进行更为隐蔽的网络攻击,比如无文件(Fileless)攻击和内存驻留型攻击,这些攻击不易被传统安全措施检测到。
加密货币挖矿恶意软件的增多也是一个新趋势,黑客利用受害者的计算资源挖掘加密货币。针对云计算环境的攻击也随着云服务的普及而变得越来越常见。
总的来说,现在的网络攻击具有更强的隐蔽性、持久性和破坏力,需要采取更加高级和多层次的安全应急响应措施进行对抗。
4) 攻击技术的体系化
在过去的网络攻击技术体系中,攻击行为往往是孤立的,即简单利用已知漏洞执行攻击。攻击者通常使用标准的黑客工具,比如键盘记录器、后门进行简单的旁路攻击或钓鱼攻击。这些攻击多利用公开的漏洞数据库和比较基本的社会工程策略,易于识别和防御。现在的网络攻击技术体系日趋复杂。攻击者拥有高度组织化且复杂的工具和策略,会采用多步骤策略潜伏和窃取目标数据。攻击呈现出分工明确、团队作业的特点,例如利用 CS 平台的高级持续性威胁攻击(Advanced Persistent Threat-Threat On Cobalt Strike,APT-TO CS)。高度“模式化”使得攻击成本降低,也让发现和追溯这些攻击变得更难,使得应急响应工作愈发难以有效地执行。
5) 安全策略的不平衡倾向
“重防护、轻应急,重建设、轻演练”是现在大部分组织的网络安全应急响应体系建设策略。大部分组织倾向于在前期采取更多的防护措施和进行更多的基础建设,而忽视了应急响应计划和应急演练的重要性。对于大多数组织而言,预防工作的落实周期短、见效快,因此得到广泛关注。应急响应技术本身难以模式化和设备化,而且对组织内部技术人员的要求较高,普遍没有得到真正的重视。
组织专注于建立和强化安全基础设施与策略,包括硬件的投入、安全软件的部署、信息系统的架构布局,这样可以让组织满足合规性要求。然而,人员和技术平台支撑的不足,导致组织无法实施切实有效的应急演练。
从长期视角来看,忽视任何一个环节都可能使其成为网络安全防线的薄弱环节,进而对整个组织的安全、健康构成威胁。因此,成熟的网络安全策略应当重视并平衡防护与应急响应、建设与演练的关系,确保在面对网络安全事件时能够快速、有效地做出反应。