【51CTO.com原創(chuàng)稿件】常言道：屋漏偏逢連夜雨，我同學所供職的公司最近真是禍不單行。月頭遭遇了與合作商討論對接的網(wǎng)站被莫名灌入了海量的垃圾帖子和信息之后;月中某位好奇害死貓的銷售部員工點開了不明郵件的鏈接，導致了存有重要銷售數(shù)據(jù)的文件被勒索軟件鎖定且高度加密;而月底則又有某位員工在離職之時批量導出項目文件和郵件，其高流量致使內(nèi)網(wǎng)一度癱瘓、業(yè)務全部中斷的惡果。他和所在的團隊被迫持續(xù)地既充當“救火隊員”又當“炊(bei)事(le)班(hei)長(guo)”，風風火火地經(jīng)歷了數(shù)個不眠之夜，可到頭來還是被公司管理層責備。

怎么說呢?我覺得此事既在情理之中，又在意料之外。多年來，我們信息安全應急響應團隊身處于整個管控環(huán)節(jié)的末端，只有在安全事件發(fā)生之后才能被告知到。因此長期以來我們所形成的固定思維便是：唯有精湛的技術(shù)和第一時間到達現(xiàn)場的熱情才能體現(xiàn)我們的價值?？墒乾F(xiàn)如今，無論是技術(shù)水平還是企業(yè)生存環(huán)境都已經(jīng)發(fā)生了翻天覆地變化，我們光靠那種傳統(tǒng)的“猛虎式”的快速響應顯然只會給本來“干燥氛圍”帶去“火星”，而往往產(chǎn)生所謂的“次生事件效應”。但是，如果我們能夠在注重溝通與報告的基礎(chǔ)上，有計劃、分步驟地以“蟻群式”協(xié)作推進，則會在帶去“濕潤空氣”的同時，收獲到讓各方都能滿意的效果。

下面我從新的角度，提出實現(xiàn)安全事件管控能力的五步走流程(見下圖)。在每一步里，我都羅列了階段目標、目標時間和關(guān)鍵行動。不過要提醒大家注意的是：所謂每個階段的目標時間都并非是固定的，它們將完全取決于安全事件的性質(zhì)、嚴重程度和團隊的完成進度。而關(guān)鍵行動，也并非需要強制性地去逐條執(zhí)行。

第一階段：識別和分類(兄弟們，有人要搞事情，擼起袖子，加油沖過去吧!)

階段目標：

識別潛在或正在發(fā)生的信息安全事件，初步確定波及范圍和嚴重程度，進行事件的初始分類，保全第一手證據(jù)，激活事件反應小組，并按需引入相關(guān)領(lǐng)域的專家。

目標時間：

發(fā)現(xiàn)安全事件后立即進入該階段，并以24 - 48小時內(nèi)完成為目標。

參考文檔：

1. 緊急聯(lián)系人列表

2. 嚴重性矩陣參考表

3. 第一階段動作分解檢查表

4. 預設(shè)安全事件報告模板

關(guān)鍵行動：

1. 當事員工應當立即向直屬領(lǐng)導報告任何可疑的安全事件，直屬領(lǐng)導參考《緊急聯(lián)系人列表》的內(nèi)容將事件升級到安全團隊。

2. 安全團隊應采取措施保護證據(jù)，具體內(nèi)容包括：指導員工在不關(guān)閉電源的情況下斷開被感染的系統(tǒng)連接，保存的截屏圖像、日志文件、以及其他潛在的有用信息。

3. 安全團隊應進行初步的技術(shù)分析，根據(jù)《嚴重性矩陣參考表》評估事故的嚴重性。

4. 安全團隊應為該安全事件創(chuàng)建或分配一個唯一的案件號，以便后期跟蹤。

5. 安全團隊應根據(jù)《預設(shè)安全事件處置流程》或臨時對策采取必要、合理的措施來初步抑制事件的持續(xù)。團隊應注意減少所影響到的個人和系統(tǒng)的損失，并最大限度保全證據(jù)或信息。其中，預設(shè)安全事件處置流程至少應涵括如下安全事件類型：

·端點及移動計算設(shè)備的惡意軟件感染

·移動計算設(shè)備的遺失或被盜

·DDoS攻擊

·網(wǎng)站被篡改與滲透

·魚叉式網(wǎng)絡釣魚或捕鯨

·目標性社會工程學

更詳盡的分類請見下圖：

6. 安全團隊應記錄事件和相應所采取的措施，并保留技術(shù)措施的日常記錄，直至事件被解決。

7. 安全團隊按需激活和組建事件響應小組，分配職責，并讓組員明確安全事件的狀態(tài)、嚴重性，且明確溝通渠道與方式。

8. 響應小組回顧并填寫《第一階段動作分解檢查表》。

第二階段：調(diào)查和取證(木已成舟，匆忙恢復的話，不但可能事倍功半，甚至可能造成忙中出錯。像柯南那樣think twice，利用調(diào)查來對事件進行深入分析，磨刀不誤砍柴工。)

階段目標：

通過進行調(diào)查與取證，識別根本原因并著手恢復。

目標時間：

開始于發(fā)現(xiàn)信息安全事件的24小時之內(nèi)。根據(jù)事件的性質(zhì)，該階段可能在幾小時或幾天內(nèi)完成，或可能持續(xù)幾個月(一般不超過3個月)。根據(jù)復雜程度，響應小組可能需要多輪復查。

關(guān)鍵行動：

1. 響應小組應與取證專家交流，確?？刂撇呗圆粫跓o意中刪除證據(jù)或?qū)氐椎恼{(diào)查與修復過程造成阻礙。

2. 使用預設(shè)的和經(jīng)測試的流程進行調(diào)查取證，主要包括：

a. 在網(wǎng)絡邏輯上阻斷進出可疑設(shè)備的網(wǎng)絡流量，必要時更改啟動或登錄密碼等。

b. 在物理上更換鎖芯，檢查或更新門禁卡設(shè)置等。

3. 妥善保存收集到的證據(jù)，主要包括：

a. 保留所有相關(guān)日志、電子和實物文檔。所有的文檔都應該清楚、真實且有時間特征。

b. 日志和記錄應遵循適當?shù)淖C據(jù)鏈的實時監(jiān)護程序。

4. 響應小組通過開始初步的調(diào)查工作，并與業(yè)務或資產(chǎn)所有人的溝通，評估如下方面：

a. 定位根本原因：如是否是外部黑客攻破了系統(tǒng);哪些登錄名/密碼被黑掉了;丟失的具體設(shè)備或被破壞的基礎(chǔ)設(shè)施;惡意軟件是病毒、蠕蟲還是木馬;網(wǎng)絡攻擊是DDoS、掃描還是嗅探;物理盜竊的具體位置;惡意員工或承包商是誰;社會工程(如釣魚)的具體手段。

b. 人員與部門的受影響程度，

c. 丟失、破壞或暴露的數(shù)據(jù)與資產(chǎn)的數(shù)量與程度。

d. 對人員、數(shù)據(jù)和資產(chǎn)的殘留威脅的嚴重程度。

e. 如果安全事件發(fā)生在第三方服務提供者處，應及時聯(lián)系以獲取初步報告，并請求定時地更新進展。

5. 向管理層報告取證、調(diào)查和評估的結(jié)果。

第三階段：抑制、根除和恢復(要用“深耕”的態(tài)度去刨根問底，不要犯那種“你以為的就是你以為的”錯誤。只有在確認抑制策略成功后方可實施根除與恢復。)

階段目標：

全面制定執(zhí)行抑制策略與步驟，采取措施來根除風險，使信息、資產(chǎn)和基礎(chǔ)設(shè)施恢復正常運轉(zhuǎn)。

目標時間：

開始于發(fā)現(xiàn)信息安全事件的24- 48小時之內(nèi)，可與調(diào)查階段同時進行。不過根據(jù)事件的性質(zhì)不同，如出現(xiàn)了APT攻擊的話，則全面抑制、根除和恢復可能需要數(shù)小時或數(shù)天的時間。

關(guān)鍵行動：

1. 實施和驗證抑制。

a. 回顧取證環(huán)節(jié)的發(fā)現(xiàn)和確認安全事件已被充分調(diào)查和評估。

b. 根據(jù)發(fā)現(xiàn)，以點對點的方式，制定具有“時間點”和“里程碑”的抑制策略。

c. 協(xié)調(diào)相關(guān)人員在避免次生破壞的情況下實施抑制。

d. 監(jiān)控和評估抑制的有效性，驗證是否成功。

e. 如果需要改進抑制策略，則可反復迭代，直至最終確認成功。

2. 實施和驗證根除與恢復。

a. 根據(jù)抑制報告，逐條列出安全漏洞與弱點，并以點對點的方式制定根除策略。

b. 策略制定過程應具有前瞻性，要充分考慮到類似事件的再次發(fā)生、其他攻擊方式的應對、根除對將來業(yè)務運行的影響等方面。

c. 根除與恢復的內(nèi)容包括：卸載惡意軟件、刪除被感染且確認不再可用的文件和文件夾、阻止某個或某段IP地址、禁止對某個URL地址的訪問、永久禁用或刪除某個帳戶、修復/重建/更新操作系統(tǒng)或軟件。

d. 監(jiān)控和評估根除的有效性，驗證是否成功。

e. 記錄執(zhí)行的整個過程，并形成報告。

第四階段：通知和公關(guān)/外部通信(這不是你一個人的戰(zhàn)場，本階段是很多技術(shù)人員的短板，多數(shù)情況下會匆忙應對。記住，作家波西格曾說：倉促本身就是最要不得的態(tài)度。當你做某件事的時候，一旦想要求快，就表示你再也不關(guān)心它，而想去做別的事。)

階段目的：

將事件全部過程通知到管理層;從公司形象角度配合公關(guān)和外部通信。

目標時間：

從上述的第一到三階段都可以開始，但要盡早。

關(guān)鍵行動：

1. 識別需要通知到的人群，例如：當事人、受影響的客戶或雇員、商業(yè)銀行、信用卡中心和媒體等。

2. 響應小組與PR或市場部門協(xié)作，準備一個完備的計劃來減輕事件對客戶關(guān)系的影響。在事件波及一個以上客戶或合作方的時候，注意通信的關(guān)聯(lián)性和次序。

3. 響應小組委派專門人員負責對客戶、合作方以及外部調(diào)查部門提供技術(shù)細節(jié)解答和支持。

4. 響應小組根據(jù)安全事件，對既定合同中涉及的責任條款予以技術(shù)核實，并提供必要的解釋。

5. 起草在外部網(wǎng)站上和/或呼叫中心熱線電話里發(fā)布的官方內(nèi)容，并為各方提供持續(xù)的更新，常見問題解答，進一步溝通方式等。

6. 定期監(jiān)控呼叫中心收到的電話數(shù)量和問題類型，提供必要的改進。

7. 如果安全事件發(fā)生在第三方服務提供者處，應從技術(shù)層面審查相關(guān)合同的責任條款，評估賠償或其他索賠的權(quán)利。

第五階段：事后工作(喬布斯曾說過：Keep looking. Don't settle. 此階段就像是砌墻，你堆好了磚頭、填進了水泥，但總要再給點時間讓水泥風干，以及必要的后期修補，墻才能夠結(jié)實)

階段目標：

將安全事件和恢復過程進行最終文檔化，在放置復發(fā)的同時，以供監(jiān)管部門的檢查和必要的訴訟。

目標時間：

第三階段完成后，可常規(guī)化。

關(guān)鍵行動：

1. 評審上述四個階段的響應和執(zhí)行效果，分析與原定計劃的偏離部分及其原因，并提出改進方案。

2. 安全團隊根據(jù)事件所涉及的既定服務級別，標注出需要調(diào)整和改進之處。

3. 引導內(nèi)部相關(guān)職能部門開展信息安全方面的自查工作，防止類似事件的復發(fā)。

4. 安全團隊總結(jié)經(jīng)驗教訓報告，增強日常的監(jiān)控、改善事件響應演練、有針對性的對其他部門開展培訓和意識增強等工作。

總結(jié)

通過對上述五個階段的詳解，您應該能看出，我在此所提出的安全事件響應的新思路主要體現(xiàn)在：

1. 增加 “通知和公關(guān)/外部通信”階段，體現(xiàn)溝通與盡責。

2. 每個階段設(shè)定目標時間，有利于團隊在進度上的張弛掌控。

3. 各個階段都通過審查和驗證來確認工作的成效。

4. 通過各種報告來實現(xiàn)雁過留痕。

可見，隨著各個行業(yè)的國際化和規(guī)范化，許多企業(yè)的日常運營都會受到監(jiān)管和披露的要求，所以加強溝通與報告顯得尤為重要。我們不要做那頭只會低頭拉車不會抬頭看路的老黃牛。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】