應(yīng)急響應(yīng):CIO實施工作的錦囊妙計
計算機網(wǎng)絡(luò)安全應(yīng)急小組要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性����,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。
網(wǎng)絡(luò)安全的“木桶原理”是每位CIO最熟悉也最擔(dān)心的問題����,大家都在尋找網(wǎng)絡(luò)中的“短板”,但CIO會發(fā)現(xiàn)這只木桶變大了���,因為它里面盛的水(網(wǎng)絡(luò)應(yīng)用)越來越多����,“短板漏水現(xiàn)象”自然而然地頻繁發(fā)生在CIO的身邊。
由于很多企業(yè)對信息系統(tǒng)的依賴程度越來越高�����,紛紛根據(jù)自己的業(yè)務(wù)重要程度建立起自己的應(yīng)急響應(yīng)中心�,面對這些突來的網(wǎng)絡(luò)攻擊與安全事件。這些圍繞在CIO身邊的安全工程師是如何建立起主動防御體系�����?如何第一時間做出反應(yīng)��?是一個棘手的問題��。
報告的分量
隨著資源共享和網(wǎng)絡(luò)的發(fā)展���,計算機安全問題初步顯露�����。1967年秋���,美國國防部委托蘭德公司為首的多個研究機構(gòu)和企業(yè)���,進行了美國歷史上第一次大規(guī)模的計算機安全風(fēng)險評估�����,歷時數(shù)年�����。1970年初出版了一個長達(dá)數(shù)百頁的機密報告《計算機安全控制》�,這也就是現(xiàn)在信息安全的基礎(chǔ),這為信息安全應(yīng)急響應(yīng)小組的出現(xiàn)作了充分的理論基礎(chǔ)準(zhǔn)備��。
1995年12月美國國防部提出了信息安全的動態(tài)模型�����,即“防護→監(jiān)測→反應(yīng)”多環(huán)節(jié)保障體系�����,后通稱“PDR模型”,這是確定應(yīng)急響應(yīng)在安全防護體系中決定地位的標(biāo)志。
應(yīng)急響應(yīng)(Emergency Response或Incident Response)��,其含義是指:安全技術(shù)人員在遇到突發(fā)事件后所采取的措施和行動。例如:黑客入侵��、信息竊取�����、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等���。隨著歷史車輪的前進,應(yīng)急響應(yīng)也從主機范疇的問題��,發(fā)展到網(wǎng)絡(luò)范疇內(nèi)的問題�,一直到2000年之后出現(xiàn)的大量帶有情感因素的員工事件�����。
一般來講,應(yīng)急響應(yīng)是在攻擊開始之后�����,但CSIRT(計算機網(wǎng)絡(luò)安全應(yīng)急小組)的建立是在安全事件之前���。因為�����,如果能夠做到在系統(tǒng)被攻克之前發(fā)現(xiàn)���,就可以實現(xiàn)主動地安全防護�,提升信息系統(tǒng)的安全等級���。
可見,弱點掃描和安全評估����、對員工的信息安全教育等,都是CIO需要CSIRT作的第一件事�����,一份包含企業(yè)所有信息平臺上的漏洞報告和處理意見是一個信息主管決勝“短板”的法寶。
CSIRT依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)�,對組織的信息系統(tǒng)及其傳輸和存儲的信息���,針對機密性、完整性和可用性等安全屬性進行評價���。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響��。
很多時候,由于信息系統(tǒng)的龐大�,CSIRT都會舍棄手工整理����,進而采用弱點掃描軟件和設(shè)備進行。早期的手工階段���,在工作量沒有減少多少的情況下,經(jīng)常會漏掉一兩個設(shè)備�����,而且由于漏洞掃描工具的不同,安全報告需要重新整理���。尤其是國內(nèi)用戶���,還需要花大量時間進行文檔翻譯。
在與很多網(wǎng)絡(luò)安全服務(wù)公司工程師的接觸中�,發(fā)現(xiàn)他們很多人都是利用公司自行研發(fā)的,或者利用一些操作系統(tǒng)(網(wǎng)絡(luò)設(shè)備廠商)自帶的安全診斷程序進行掃描��,然后再手工生成報告,比如常見的漏洞掃描(Vulnerability Scanning)工具:ISS Internet Scanner�����、Qualys Guarde�、Eye Retina以及Microsoft 安全評估工具�����。這些軟件不但能夠?qū)θ觞c掃描�,而且還會生成一份如何修補的實施報告�。
CSIRT與IDS如何相處
雖然信息安全的意識概念早已植入了CIO的大腦�,但一些使用信息系統(tǒng)的員工風(fēng)險意識依舊淡薄���,他們信息安全知識不足���,卻津津樂道“太平盛世”�����。尤其是一些主管財務(wù)的人員經(jīng)常對花費大量人力和財力維持的防御系統(tǒng)視之為“雞肋”�����。
這種想法會隨著時間效應(yīng)���,潛移默化地感染著CSIRT�����,比如:很多網(wǎng)絡(luò)中的IDS都可能出現(xiàn)誤報�����,而誤報幾次之后����,CSIRT緊急會議是否需要召開就成了CIO的“雞肋”����。隨著“狼來了”次數(shù)增多����,當(dāng)真的是“狼”已經(jīng)吃掉了“羊”,恐怕就不是為時已晚的問題了�。
幾乎所有的IDS都會提供對報警事件的詳細(xì)描述��,報警事件的描述一般包括:事件名稱���、事件介紹、發(fā)布日期�����、影響的平臺和解決的方法�。對于缺乏安全經(jīng)驗的網(wǎng)絡(luò)管理員來說,可能覺得每個警報日志都必須匯報給信息安全主管��,而反復(fù)幾次出現(xiàn)無用功的話�,大多數(shù)人可能都對IDS的警報冷眼旁觀了。
這就為IDS設(shè)備和管理員提出了更高的要求��。例如:升級IDS檢測代碼加強預(yù)報的準(zhǔn)確性��,更改IDS的報警閥值��,更改警報篩選策略等����。
很多IDS提供了防火墻聯(lián)動的功能,但是在事件的描述中只字不提如何利用聯(lián)動阻止攻擊���,管理員應(yīng)當(dāng)充分和廠商技術(shù)支持人員保持在線聯(lián)系�����,將IDS的聯(lián)動功能與其他網(wǎng)絡(luò)設(shè)備配置使用��。只有這樣才能在真正出現(xiàn)安全攻擊的時候�����,將損失抑制到最小���。應(yīng)急響應(yīng)中的抑制措施十分重要��,因為太多的安全事件可能會在你的網(wǎng)絡(luò)中迅速失控���,典型的例子就是具有蠕蟲特征的惡意代碼的感染。
零時間恢復(fù)與證據(jù)收集的矛盾
最新的一項調(diào)查數(shù)據(jù)表明��,證券金融行業(yè)平均可容忍的最大停機時間是2天�,沒有實施災(zāi)難備份措施的公司在遇到災(zāi)難后60%將在2~3年內(nèi)破產(chǎn)�����。所以,應(yīng)急響應(yīng)的第一項任務(wù)就是要盡快恢復(fù)系統(tǒng)或網(wǎng)絡(luò)的正常運轉(zhuǎn)�����。
在有些情況下�����,用戶最關(guān)心的是多長時間能恢復(fù)正常�,因為系統(tǒng)或網(wǎng)絡(luò)的中斷是帶來損失的主要因素。很多機構(gòu)的信息傳達(dá)和通報系統(tǒng)一旦出現(xiàn)突發(fā)的信息中斷���,會導(dǎo)致大部分業(yè)務(wù)暫時或者長時間無法繼續(xù)運行���,將給整個業(yè)務(wù)帶來無法挽回的損失,“零”時間恢復(fù)似乎成了大家追捧的響應(yīng)策略�����。
恢復(fù)階段是指在出現(xiàn)破壞事件后處理事務(wù)和數(shù)據(jù)恢復(fù)的全面狀態(tài)���,是對于緊急事件的應(yīng)對過程���。
最直接而快速的恢復(fù)方法當(dāng)然是通過備份���,在一個時間段內(nèi)恢復(fù)主站的正常運行,使企業(yè)的損失最小化��,這個時間段的長短是CSIRT技術(shù)水平與存儲備份系統(tǒng)的恢復(fù)速度的體現(xiàn)���。很多企業(yè)可以迅速恢復(fù)被破壞的系統(tǒng)��,例如建立雙機熱備等��。
