應急因為有“急”
近年以來(lái),高等級的安全應急響應活動(dòng)越來(lái)越頻繁,下圖是2014年發(fā)生的心臟滴血、破殼、沙蟲(chóng)、Poodle等幾次重要應急響應事件的時(shí)序圖。 一方面因為對快速響應市場(chǎng)需求的追求,開(kāi)源和商業(yè)組件獲得更大規模的應用,導致任何一個(gè)底層組件出現重大安全漏洞都會(huì )影響數千萬(wàn)甚至數億設備和用戶(hù);另一方面國家網(wǎng)際空間安全能力的爭奪導致漏洞挖掘和利用能力的研究不斷深入,更新的挖掘和利用方法被發(fā)掘出來(lái)。相信這個(gè)趨勢在可預測的時(shí)間內還將繼續發(fā)展。
圖1:高等級安全應急響應活動(dòng)在2014年不斷出現
當一個(gè)嚴重漏洞,尤其是某種新的利用工具(POC)被披露后,通過(guò)各種社交網(wǎng)絡(luò )和網(wǎng)絡(luò )媒體,在小時(shí)級的時(shí)間尺度上將會(huì )獲得迅速傳播, 響應的攻擊行為迅速增加。圖2是在心臟滴血漏洞利用披露后IBM監視到的網(wǎng)絡(luò )攻擊行為。可以看到4.7披露,4.10日開(kāi)始有大規模攻擊,然后高位持續了10天左右時(shí)間。換句話(huà)說(shuō),72小時(shí)更像是安全應急響應的“黃金時(shí)間窗口”, 在這個(gè)時(shí)間內成功完成響應活動(dòng),將會(huì )有更大的概率避免被“攻陷”。
圖2:漏洞披露72小時(shí)后攻擊事件迅速增加
但是,令人遺憾的是,當前從整個(gè)網(wǎng)絡(luò )角度看, 安全應急響應的時(shí)效性(也直接影響了有效性)很不理想。圖3顯示在心臟滴血漏洞披露72小時(shí)時(shí),國內網(wǎng)站修復比例只有18%左右,換句話(huà)說(shuō),有72%的網(wǎng)站依然處于“脆弱性”狀態(tài),暴露在已經(jīng)非常活躍的網(wǎng)絡(luò )攻擊之下。
圖3:漏洞披露72小時(shí)時(shí)的漏洞修復率情況
這給了我們啟發(fā)和思考。 大規模的安全應急響應活動(dòng)是一個(gè)系統工程,對于國家整體、或某個(gè)地區、某個(gè)行業(yè)而言, 其成功與否,或整體的安全性,并不只取決于少數安全專(zhuān)家“高精尖”的技術(shù)研究活動(dòng);及時(shí)有效地大規模實(shí)施一系列“響應”活動(dòng)、從而獲得(或者恢復保持)整體安全性的戰略動(dòng)員和自動(dòng)化部署能力,可能更為關(guān)鍵。
2.有效應急響應的成功要素
圖4是筆者嘗試對大規模應急響應活動(dòng)建立的一個(gè)工程模型,用以識別其中的關(guān)鍵成功要素,從而能夠對國家、地區、行業(yè)、大型企業(yè)組織等層面的應急響應活動(dòng)提供一些參考。
圖4:有效應急響應的成功要素
2.1.洞悉敵情
從近年的安全實(shí)踐來(lái)看,威脅情報(TI)或網(wǎng)際威脅情報(CTI)的重要性無(wú)論怎么強調都不過(guò)分。洞悉敵情,也即在第一時(shí)間了解自身信息資產(chǎn)所面臨的新漏洞(老漏洞新攻擊方法)、新攻擊工具和方法、威脅環(huán)境變化等, 這是安全活動(dòng)和決策的重要依據。
在“敵情”發(fā)現后,安全專(zhuān)家就其原理、影響進(jìn)行分析復現, 研究其檢測和防御方法,判定是否需要啟動(dòng)緊急“響應”,推薦適當的“防御”活動(dòng)。 因為所有的“防御”活動(dòng)都意味著(zhù)成本, “時(shí)效性”要求本身也意味著(zhù)額外的成本。“不惜一切代價(jià)”、“消除所有漏洞和威脅”、“確保萬(wàn)無(wú)一失”是口號,而不是真正的戰斗。
2.2.武器到位
掌握威脅情報并及時(shí)研究出有效的防御方法只是“長(cháng)征”的第一步。將相應的“防御”方法及時(shí)有效地部署并使之產(chǎn)生最終的“防御”效果是個(gè)更大的挑戰。這個(gè)過(guò)程就是“武器化”的過(guò)程。這里的武器包括用以溝通動(dòng)員的各種分析報告、通告、微博、微信、短信等,用以升級安全系統的各種補丁、插件、規則、快速App等,用以指導系統管理員進(jìn)行手工操作的快速判斷方法、檢測方法、修復和規避方法等。
2.3.大規模服務(wù)能力
在小時(shí)時(shí)間尺度內,對成千上萬(wàn)的設備系統等進(jìn)行安全升級和修復,并不是一件容易的事情。應急響應可能需要業(yè)務(wù)中斷、額外的資源投入(例如加班)、以及相關(guān)聯(lián)的其它業(yè)務(wù)延遲等。因此,大規模的安全應急響應首先應該取得管理層、業(yè)務(wù)等部門(mén)的理解和支持, 需要將“急”和“后果”講清楚, 需要有良好的可視化和溝通能力。
戰略動(dòng)員能力是指整個(gè)組織范圍內調動(dòng)各種資源(人、物、財、信息等)、在非常有限的時(shí)間內達成應急響應目標的能力。安全團隊需要通過(guò)溝通提高管理層對網(wǎng)絡(luò )安全應急響應活動(dòng)的重視、以及網(wǎng)安團隊自身在組織內的影響力、部署能力等。
形成決策后,有必要系統地使用社交網(wǎng)絡(luò )技術(shù)以提高溝通效率、組織動(dòng)員“應急響應”團隊、發(fā)布指令、同步各種響應活動(dòng)的信息等。
通過(guò)不同形式的“軟件定義”架構,逐步建設大規模的自動(dòng)化部署能力,例如規模化地升級系統配置、對系統服務(wù)進(jìn)行重新編排。
此外,線(xiàn)上線(xiàn)下(O2O)安全專(zhuān)家的互動(dòng)在安全應急響應活動(dòng)中也非常重要。“線(xiàn)上”或“云中”掌握最新的威脅情報和全局動(dòng)態(tài),“線(xiàn)下”擁有第一手的數據和實(shí)際操作能力,例如實(shí)際業(yè)務(wù)影響判斷、現場(chǎng)取證分析等。將線(xiàn)上線(xiàn)下能力“集成”起來(lái)、相互補充才是最有力的戰斗。
2.4.監視和閉環(huán)
監視和閉環(huán)是指監視“急”和“應急”活動(dòng)的最新進(jìn)展,并對“應急”活動(dòng)的效果進(jìn)行評價(jià),以便針對性的相應調整。監視和閉環(huán)需要大范圍的數據獲取能力和處理分析能力。
3.應急響應的能力建設
從上面的要素中可以看到,能夠成功的實(shí)施應急響應,都關(guān)乎到應急響應的能力建設。2014年,工信部發(fā)布了《關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全工作的指導意見(jiàn)》,意見(jiàn)明確指出,需要提升突發(fā)網(wǎng)絡(luò )安全事件應急響應能力,制定和完善各單位網(wǎng)絡(luò )安全應急預案,健全大規模拒絕服務(wù)攻擊、重要域名系統故障、大規模用戶(hù)信息泄露等突發(fā)網(wǎng)絡(luò )安全事件的應急協(xié)同配合機制。
其中無(wú)論是洞悉敵情、武器到位,還是大規模服務(wù)能力及監視閉環(huán),都需要一個(gè)多方參與的生態(tài)鏈才能共同打造完成,這里面需要用戶(hù)單位、主管單位、行業(yè)機構、安全服務(wù)商、產(chǎn)品供應商等多種角色進(jìn)行協(xié)作。綠盟科技作為安全服務(wù)商及產(chǎn)品供應商,長(cháng)年關(guān)注威脅情報TI獲取,并著(zhù)力完善應急響應體系建設及能力提升。
綠盟科技威脅情報服務(wù)體系包含了威脅監測及響應、數據分析及整理、業(yè)務(wù)情報及交付、風(fēng)險評估及咨詢(xún)、安全托管及應用等各個(gè)方面,涉及研究、產(chǎn)品、服務(wù)、運營(yíng)及營(yíng)銷(xiāo)的各個(gè)環(huán)節,覆蓋了有效應急響應的各個(gè)要素,這些要素讓綠盟科技得以不斷提升應急響應的能力。其中,
全球客服中心(Service): 結合在全球設立的多個(gè)分支機構,覆蓋美國、日本、英國、荷蘭、新加坡、澳大利亞、馬來(lái)西亞、韓國、阿聯(lián)酋、中國香港等多個(gè)國家與地區,能夠在客戶(hù)面臨緊急安全事件的時(shí)候,及時(shí)響應客戶(hù)的請求;
威脅響應中心(Response):實(shí)時(shí)監控互聯(lián)網(wǎng)安全威脅,并形成閉環(huán)跟蹤,用戶(hù)可以在第一時(shí)間通過(guò)各服務(wù)通道獲知并接收到這些威脅情報;
云安全運營(yíng)中心(Operation)及云端客戶(hù)自助系統(portal): 讓用戶(hù)在安全事件發(fā)生時(shí),盡快在線(xiàn)進(jìn)行安全威脅檢查,從而獲得及時(shí)的安全威脅應對方法;
互聯(lián)網(wǎng)廣譜平臺(Broad Spectrum): 收集、分析及可視化呈現各類(lèi)互聯(lián)網(wǎng)安全威脅數據,通過(guò)這些可視化的數據,可以更為直觀(guān)的描述當前事件發(fā)展態(tài)勢;
產(chǎn)品在線(xiàn)升級系統(update): 用戶(hù)可以緊急事件發(fā)生后的1天內獲得產(chǎn)品升級包;
攻防研究團隊(Research): 與各行業(yè)各領(lǐng)域的組織充分協(xié)作,深入分析各類(lèi)安全事件,并長(cháng)年跟蹤研究威脅發(fā)展態(tài)勢,用戶(hù)及社會(huì )各界可以通過(guò)研究報告,為提升自身的應急響應能力獲取理論及數據支撐。
無(wú)獨有偶,在今年RSA 2015的三大主題中也提到了威脅情報(Threat Intelligence),正是基于這個(gè)“知道”的前提,才能實(shí)現有效的應急響應,才有可能讓安全實(shí)現智能(Security Intelligence),進(jìn)而有能力應對高級威脅(如APT),未知攻焉知防?這里也充分體現了一個(gè)快速響應能力的建設問(wèn)題。另一方面,在與歷屆RSA與會(huì )者的交流中可以感受到,越來(lái)越多的用戶(hù)從關(guān)注已知威脅過(guò)渡到針對未知威脅的預警及防御,而這一能力也需要基于威脅情報的不斷積累,并結合大數據分析、多組織協(xié)作等方式方法,進(jìn)而將之變得穩定可用,才有可能從已知向未知的跨越。
所以,在如今安全事件日益趨向0day,日益趨向高級的大環(huán)境下,應急這個(gè)“急”顯得尤為重要,那么確定應急響應中的成功要素,不斷建設及提升應急響應的能力,應該成為各單位及組織安全工作的新常態(tài)。每一次的“應急響應”活動(dòng)都是對安全組織的一次考試。獲取敵情、武器到位、大規模“服務(wù)”、監視和閉環(huán)等要素活動(dòng),也將不斷對安全組織的應急能力提出挑戰。
4.新常態(tài)
如前所述,成功的安全應急響應要求多種不同職責、技能的團隊依托多種系統和情報密切協(xié)同,如圖5所示,“云地人機”代表著(zhù)四大類(lèi)基本資源要素,類(lèi)似于安全應急響應的“風(fēng)林火山”。
圖5:安全應急響應活動(dòng)中的四方協(xié)同
“云”代表著(zhù)線(xiàn)上、集中遠程提供服務(wù)、彈性密集計算、大數據能力等;“地”意味著(zhù)分布、線(xiàn)下或線(xiàn)上的遠端;“人”代表著(zhù)專(zhuān)家、專(zhuān)業(yè)領(lǐng)域知識等;“機”意味著(zhù)系統、設備、代碼、自動(dòng)化等。 “云”中有“人”、有“機”,“地”同樣也有“人”、有“機”。“云地”配合意味著(zhù)線(xiàn)上線(xiàn)下、集中與分布的協(xié)同;“人機”配合意味著(zhù)“機”需要面向安全決策、安全專(zhuān)家Drill Down、取證、根源分析來(lái)設計建設、安全專(zhuān)家需要有能力掌握有效使用各種安全系統等。“云”專(zhuān)家和“地”專(zhuān)家需要閉環(huán),“云”設備和“地”設備也需要閉環(huán),機—機結構化信息交換、人機信息交換和可視化、人—人之間的信息同步等是“閉環(huán)”的重要基礎機制。這兩年來(lái),以STIX為代表的機器可讀威脅情報交換技術(shù)在美國獲得了迅速發(fā)展,表征著(zhù)美國政府和工業(yè)界在大規模安全應急響應能力方面的快速提升。
