應急因為有“急”

　　近年以來，高等級的安全應急響應活動越來越頻繁，下圖是2014年發(fā)生的心臟滴血、破殼、沙蟲、Poodle等幾次重要應急響應事件的時序圖。 一方面因為對快速響應市場需求的追求，開源和商業(yè)組件獲得更大規(guī)模的應用，導致任何一個底層組件出現(xiàn)重大安全漏洞都會影響數(shù)千萬甚至數(shù)億設備和用戶；另一方面國家網(wǎng)際空間安全能力的爭奪導致漏洞挖掘和利用能力的研究不斷深入，更新的挖掘和利用方法被發(fā)掘出來。相信這個趨勢在可預測的時間內(nèi)還將繼續(xù)發(fā)展。

　　圖1：高等級安全應急響應活動在2014年不斷出現(xiàn)

　　當一個嚴重漏洞，尤其是某種新的利用工具（POC）被披露后，通過各種社交網(wǎng)絡和網(wǎng)絡媒體，在小時級的時間尺度上將會獲得迅速傳播， 響應的攻擊行為迅速增加。圖2是在心臟滴血漏洞利用披露后IBM監(jiān)視到的網(wǎng)絡攻擊行為�？梢钥吹�4.7披露，4.10日開始有大規(guī)模攻擊，然后高位持續(xù)了10天左右時間。換句話說，72小時更像是安全應急響應的“黃金時間窗口”， 在這個時間內(nèi)成功完成響應活動，將會有更大的概率避免被“攻陷”。

　　圖2：漏洞披露72小時后攻擊事件迅速增加

　　但是，令人遺憾的是，當前從整個網(wǎng)絡角度看， 安全應急響應的時效性（也直接影響了有效性）很不理想。圖3顯示在心臟滴血漏洞披露72小時時，國內(nèi)網(wǎng)站修復比例只有18%左右，換句話說，有72%的網(wǎng)站依然處于“脆弱性”狀態(tài)，暴露在已經(jīng)非�；钴S的網(wǎng)絡攻擊之下。

　　圖3：漏洞披露72小時時的漏洞修復率情況

　　這給了我們啟發(fā)和思考。 大規(guī)模的安全應急響應活動是一個系統(tǒng)工程，對于國家整體、或某個地區(qū)、某個行業(yè)而言， 其成功與否，或整體的安全性，并不只取決于少數(shù)安全專家“高精尖”的技術研究活動；及時有效地大規(guī)模實施一系列“響應”活動、從而獲得（或者恢復保持）整體安全性的戰(zhàn)略動員和自動化部署能力，可能更為關鍵。

　　2.有效應急響應的成功要素

　　圖4是筆者嘗試對大規(guī)模應急響應活動建立的一個工程模型，用以識別其中的關鍵成功要素，從而能夠?qū)�國家、地區(qū)、行業(yè)、大型企業(yè)組織等層面的應急響應活動提供一些參考。

　　圖4：有效應急響應的成功要素

　　2.1.洞悉敵情

　　從近年的安全實踐來看，威脅情報（TI）或網(wǎng)際威脅情報（CTI）的重要性無論怎么強調(diào)都不過分。洞悉敵情，也即在第一時間了解自身信息資產(chǎn)所面臨的新漏洞（老漏洞新攻擊方法）、新攻擊工具和方法、威脅環(huán)境變化等， 這是安全活動和決策的重要依據(jù)。

　　在“敵情”發(fā)現(xiàn)后，安全專家就其原理、影響進行分析復現(xiàn)， 研究其檢測和防御方法，判定是否需要啟動緊急“響應”，推薦適當?shù)?ldquo;防御”活動。 因為所有的“防御”活動都意味著成本， “時效性”要求本身也意味著額外的成本。“不惜一切代價”、“消除所有漏洞和威脅”、“確保萬無一失”是口號，而不是真正的戰(zhàn)斗。

　　2.2.武器到位

　　掌握威脅情報并及時研究出有效的防御方法只是“長征”的第一步。將相應的“防御”方法及時有效地部署并使之產(chǎn)生最終的“防御”效果是個更大的挑戰(zhàn)。這個過程就是“武器化”的過程。這里的武器包括用以溝通動員的各種分析報告、通告、微博、微信、短信等，用以升級安全系統(tǒng)的各種補丁、插件、規(guī)則、快速App等，用以指導系統(tǒng)管理員進行手工操作的快速判斷方法、檢測方法、修復和規(guī)避方法等。

　　2.3.大規(guī)模服務能力

　　在小時時間尺度內(nèi)，對成千上萬的設備系統(tǒng)等進行安全升級和修復，并不是一件容易的事情。應急響應可能需要業(yè)務中斷、額外的資源投入（例如加班）、以及相關聯(lián)的其它業(yè)務延遲等。因此，大規(guī)模的安全應急響應首先應該取得管理層、業(yè)務等部門的理解和支持， 需要將“急”和“后果”講清楚， 需要有良好的可視化和溝通能力。

　　戰(zhàn)略動員能力是指整個組織范圍內(nèi)調(diào)動各種資源（人、物、財、信息等）、在非常有限的時間內(nèi)達成應急響應目標的能力。安全團隊需要通過溝通提高管理層對網(wǎng)絡安全應急響應活動的重視、以及網(wǎng)安團隊自身在組織內(nèi)的影響力、部署能力等。

　　形成決策后，有必要系統(tǒng)地使用社交網(wǎng)絡技術以提高溝通效率、組織動員“應急響應”團隊、發(fā)布指令、同步各種響應活動的信息等。

　　通過不同形式的“軟件定義”架構(gòu)，逐步建設大規(guī)模的自動化部署能力，例如規(guī)�；�地升級系統(tǒng)配置、對系統(tǒng)服務進行重新編排。

　　此外，線上線下（O2O）安全專家的互動在安全應急響應活動中也非常重要。“線上”或“云中”掌握最新的威脅情報和全局動態(tài)，“線下”擁有第一手的數(shù)據(jù)和實際操作能力，例如實際業(yè)務影響判斷、現(xiàn)場取證分析等。將線上線下能力“集成”起來、相互補充才是最有力的戰(zhàn)斗。

　　2.4.監(jiān)視和閉環(huán)

　　監(jiān)視和閉環(huán)是指監(jiān)視“急”和“應急”活動的最新進展，并對“應急”活動的效果進行評價，以便針對性的相應調(diào)整。監(jiān)視和閉環(huán)需要大范圍的數(shù)據(jù)獲取能力和處理分析能力。

　　3.應急響應的能力建設

　　從上面的要素中可以看到，能夠成功的實施應急響應，都關乎到應急響應的能力建設。2014年，工信部發(fā)布了《關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全工作的指導意見》，意見明確指出，需要提升突發(fā)網(wǎng)絡安全事件應急響應能力，制定和完善各單位網(wǎng)絡安全應急預案，健全大規(guī)模拒絕服務攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶信息泄露等突發(fā)網(wǎng)絡安全事件的應急協(xié)同配合機制。

　　其中無論是洞悉敵情、武器到位，還是大規(guī)模服務能力及監(jiān)視閉環(huán)，都需要一個多方參與的生態(tài)鏈才能共同打造完成，這里面需要用戶單位、主管單位、行業(yè)機構(gòu)、安全服務商、產(chǎn)品供應商等多種角色進行協(xié)作。綠盟科技作為安全服務商及產(chǎn)品供應商，長年關注威脅情報TI獲取，并著力完善應急響應體系建設及能力提升。

　　綠盟科技威脅情報服務體系包含了威脅監(jiān)測及響應、數(shù)據(jù)分析及整理、業(yè)務情報及交付、風險評估及咨詢、安全托管及應用等各個方面，涉及研究、產(chǎn)品、服務、運營及營銷的各個環(huán)節(jié)，覆蓋了有效應急響應的各個要素，這些要素讓綠盟科技得以不斷提升應急響應的能力。其中，

　　全球客服中心（Service）: 結(jié)合在全球設立的多個分支機構(gòu)，覆蓋美國、日本、英國、荷蘭、新加坡、澳大利亞、馬來西亞、韓國、阿聯(lián)酋、中國香港等多個國家與地區(qū)，能夠在客戶面臨緊急安全事件的時候，及時響應客戶的請求；

　　威脅響應中心（Response）:實時監(jiān)控互聯(lián)網(wǎng)安全威脅，并形成閉環(huán)跟蹤，用戶可以在第一時間通過各服務通道獲知并接收到這些威脅情報；

　　云安全運營中心（Operation）及云端客戶自助系統(tǒng)（portal）: 讓用戶在安全事件發(fā)生時，盡快在線進行安全威脅檢查，從而獲得及時的安全威脅應對方法；

　　互聯(lián)網(wǎng)廣譜平臺（Broad Spectrum）: 收集、分析及可視化呈現(xiàn)各類互聯(lián)網(wǎng)安全威脅數(shù)據(jù)，通過這些可視化的數(shù)據(jù)，可以更為直觀的描述當前事件發(fā)展態(tài)勢；

　　產(chǎn)品在線升級系統(tǒng)（update）: 用戶可以緊急事件發(fā)生后的1天內(nèi)獲得產(chǎn)品升級包；

　　攻防研究團隊（Research）: 與各行業(yè)各領域的組織充分協(xié)作，深入分析各類安全事件，并長年跟蹤研究威脅發(fā)展態(tài)勢，用戶及社會各界可以通過研究報告，為提升自身的應急響應能力獲取理論及數(shù)據(jù)支撐。

　　無獨有偶，在今年RSA 2015的三大主題中也提到了威脅情報（Threat Intelligence），正是基于這個“知道”的前提，才能實現(xiàn)有效的應急響應，才有可能讓安全實現(xiàn)智能（Security Intelligence），進而有能力應對高級威脅（如APT），未知攻焉知防？這里也充分體現(xiàn)了一個快速響應能力的建設問題。另一方面，在與歷屆RSA與會者的交流中可以感受到，越來越多的用戶從關注已知威脅過渡到針對未知威脅的預警及防御，而這一能力也需要基于威脅情報的不斷積累，并結(jié)合大數(shù)據(jù)分析、多組織協(xié)作等方式方法，進而將之變得穩(wěn)定可用，才有可能從已知向未知的跨越。

　　所以，在如今安全事件日益趨向0day，日益趨向高級的大環(huán)境下，應急這個“急”顯得尤為重要，那么確定應急響應中的成功要素，不斷建設及提升應急響應的能力，應該成為各單位及組織安全工作的新常態(tài)。每一次的“應急響應”活動都是對安全組織的一次考試。獲取敵情、武器到位、大規(guī)模“服務”、監(jiān)視和閉環(huán)等要素活動，也將不斷對安全組織的應急能力提出挑戰(zhàn)。

　　4.新常態(tài)

　　如前所述，成功的安全應急響應要求多種不同職責、技能的團隊依托多種系統(tǒng)和情報密切協(xié)同，如圖5所示，“云地人機”代表著四大類基本資源要素，類似于安全應急響應的“風林火山”。

　　圖5：安全應急響應活動中的四方協(xié)同

　　“云”代表著線上、集中遠程提供服務、彈性密集計算、大數(shù)據(jù)能力等；“地”意味著分布、線下或線上的遠端；“人”代表著專家、專業(yè)領域知識等；“機”意味著系統(tǒng)、設備、代碼、自動化等。 “云”中有“人”、有“機”，“地”同樣也有“人”、有“機”。“云地”配合意味著線上線下、集中與分布的協(xié)同；“人機”配合意味著“機”需要面向安全決策、安全專家Drill Down、取證、根源分析來設計建設、安全專家需要有能力掌握有效使用各種安全系統(tǒng)等。“云”專家和“地”專家需要閉環(huán)，“云”設備和“地”設備也需要閉環(huán)，機—機結(jié)構(gòu)化信息交換、人機信息交換和可視化、人—人之間的信息同步等是“閉環(huán)”的重要基礎機制。這兩年來，以STIX為代表的機器可讀威脅情報交換技術在美國獲得了迅速發(fā)展，表征著美國政府和工業(yè)界在大規(guī)模安全應急響應能力方面的快速提升。