【51CTO.com原創(chuàng)稿件】常言道：屋漏偏逢連夜雨，我同學(xué)所供職的公司最近真是禍不單行。月頭遭遇了與合作商討論對(duì)接的網(wǎng)站被莫名灌入了海量的垃圾帖子和信息之后;月中某位好奇害死貓的銷售部員工點(diǎn)開了不明郵件的鏈接，導(dǎo)致了存有重要銷售數(shù)據(jù)的文件被勒索軟件鎖定且高度加密;而月底則又有某位員工在離職之時(shí)批量導(dǎo)出項(xiàng)目文件和郵件，其高流量致使內(nèi)網(wǎng)一度癱瘓、業(yè)務(wù)全部中斷的惡果。他和所在的團(tuán)隊(duì)被迫持續(xù)地既充當(dāng)“救火隊(duì)員”又當(dāng)“炊(bei)事(le)班(hei)長(guo)”，風(fēng)風(fēng)火火地經(jīng)歷了數(shù)個(gè)不眠之夜，可到頭來還是被公司管理層責(zé)備。

怎么說呢?我覺得此事既在情理之中，又在意料之外。多年來，我們信息安全應(yīng)急響應(yīng)團(tuán)隊(duì)身處于整個(gè)管控環(huán)節(jié)的末端，只有在安全事件發(fā)生之后才能被告知到。因此長期以來我們所形成的固定思維便是：唯有精湛的技術(shù)和第一時(shí)間到達(dá)現(xiàn)場的熱情才能體現(xiàn)我們的價(jià)值。可是現(xiàn)如今，無論是技術(shù)水平還是企業(yè)生存環(huán)境都已經(jīng)發(fā)生了翻天覆地變化，我們光靠那種傳統(tǒng)的“猛虎式”的快速響應(yīng)顯然只會(huì)給本來“干燥氛圍”帶去“火星”，而往往產(chǎn)生所謂的“次生事件效應(yīng)”。但是，如果我們能夠在注重溝通與報(bào)告的基礎(chǔ)上，有計(jì)劃、分步驟地以“蟻群式”協(xié)作推進(jìn)，則會(huì)在帶去“濕潤空氣”的同時(shí)，收獲到讓各方都能滿意的效果。

下面我從新的角度，提出實(shí)現(xiàn)安全事件管控能力的五步走流程(見下圖)。在每一步里，我都羅列了階段目標(biāo)、目標(biāo)時(shí)間和關(guān)鍵行動(dòng)。不過要提醒大家注意的是：所謂每個(gè)階段的目標(biāo)時(shí)間都并非是固定的，它們將完全取決于安全事件的性質(zhì)、嚴(yán)重程度和團(tuán)隊(duì)的完成進(jìn)度。而關(guān)鍵行動(dòng)，也并非需要強(qiáng)制性地去逐條執(zhí)行。

第一階段：識(shí)別和分類(兄弟們，有人要搞事情，擼起袖子，加油沖過去吧!)

階段目標(biāo)：

識(shí)別潛在或正在發(fā)生的信息安全事件，初步確定波及范圍和嚴(yán)重程度，進(jìn)行事件的初始分類，保全第一手證據(jù)，激活事件反應(yīng)小組，并按需引入相關(guān)領(lǐng)域的專家。

目標(biāo)時(shí)間：

發(fā)現(xiàn)安全事件后立即進(jìn)入該階段，并以24 - 48小時(shí)內(nèi)完成為目標(biāo)。

參考文檔：

1. 緊急聯(lián)系人列表

2. 嚴(yán)重性矩陣參考表

3. 第一階段動(dòng)作分解檢查表

4. 預(yù)設(shè)安全事件報(bào)告模板

關(guān)鍵行動(dòng)：

1. 當(dāng)事員工應(yīng)當(dāng)立即向直屬領(lǐng)導(dǎo)報(bào)告任何可疑的安全事件，直屬領(lǐng)導(dǎo)參考《緊急聯(lián)系人列表》的內(nèi)容將事件升級(jí)到安全團(tuán)隊(duì)。

2. 安全團(tuán)隊(duì)?wèi)?yīng)采取措施保護(hù)證據(jù)，具體內(nèi)容包括：指導(dǎo)員工在不關(guān)閉電源的情況下斷開被感染的系統(tǒng)連接，保存的截屏圖像、日志文件、以及其他潛在的有用信息。

3. 安全團(tuán)隊(duì)?wèi)?yīng)進(jìn)行初步的技術(shù)分析，根據(jù)《嚴(yán)重性矩陣參考表》評(píng)估事故的嚴(yán)重性。

4. 安全團(tuán)隊(duì)?wèi)?yīng)為該安全事件創(chuàng)建或分配一個(gè)唯一的案件號(hào)，以便后期跟蹤。

5. 安全團(tuán)隊(duì)?wèi)?yīng)根據(jù)《預(yù)設(shè)安全事件處置流程》或臨時(shí)對(duì)策采取必要、合理的措施來初步抑制事件的持續(xù)。團(tuán)隊(duì)?wèi)?yīng)注意減少所影響到的個(gè)人和系統(tǒng)的損失，并最大限度保全證據(jù)或信息。其中，預(yù)設(shè)安全事件處置流程至少應(yīng)涵括如下安全事件類型：

·端點(diǎn)及移動(dòng)計(jì)算設(shè)備的惡意軟件感染

·移動(dòng)計(jì)算設(shè)備的遺失或被盜

·DDoS攻擊

·網(wǎng)站被篡改與滲透

·魚叉式網(wǎng)絡(luò)釣魚或捕鯨

·目標(biāo)性社會(huì)工程學(xué)

更詳盡的分類請(qǐng)見下圖：

6. 安全團(tuán)隊(duì)?wèi)?yīng)記錄事件和相應(yīng)所采取的措施，并保留技術(shù)措施的日常記錄，直至事件被解決。

7. 安全團(tuán)隊(duì)按需激活和組建事件響應(yīng)小組，分配職責(zé)，并讓組員明確安全事件的狀態(tài)、嚴(yán)重性，且明確溝通渠道與方式。

8. 響應(yīng)小組回顧并填寫《第一階段動(dòng)作分解檢查表》。

第二階段：調(diào)查和取證(木已成舟，匆忙恢復(fù)的話，不但可能事倍功半，甚至可能造成忙中出錯(cuò)。像柯南那樣think twice，利用調(diào)查來對(duì)事件進(jìn)行深入分析，磨刀不誤砍柴工。)

階段目標(biāo)：

通過進(jìn)行調(diào)查與取證，識(shí)別根本原因并著手恢復(fù)。

目標(biāo)時(shí)間：

開始于發(fā)現(xiàn)信息安全事件的24小時(shí)之內(nèi)。根據(jù)事件的性質(zhì)，該階段可能在幾小時(shí)或幾天內(nèi)完成，或可能持續(xù)幾個(gè)月(一般不超過3個(gè)月)。根據(jù)復(fù)雜程度，響應(yīng)小組可能需要多輪復(fù)查。

關(guān)鍵行動(dòng)：

1. 響應(yīng)小組應(yīng)與取證專家交流，確?？刂撇呗圆粫?huì)在無意中刪除證據(jù)或?qū)氐椎恼{(diào)查與修復(fù)過程造成阻礙。

2. 使用預(yù)設(shè)的和經(jīng)測試的流程進(jìn)行調(diào)查取證，主要包括：

a. 在網(wǎng)絡(luò)邏輯上阻斷進(jìn)出可疑設(shè)備的網(wǎng)絡(luò)流量，必要時(shí)更改啟動(dòng)或登錄密碼等。

b. 在物理上更換鎖芯，檢查或更新門禁卡設(shè)置等。

3. 妥善保存收集到的證據(jù)，主要包括：

a. 保留所有相關(guān)日志、電子和實(shí)物文檔。所有的文檔都應(yīng)該清楚、真實(shí)且有時(shí)間特征。

b. 日志和記錄應(yīng)遵循適當(dāng)?shù)淖C據(jù)鏈的實(shí)時(shí)監(jiān)護(hù)程序。

4. 響應(yīng)小組通過開始初步的調(diào)查工作，并與業(yè)務(wù)或資產(chǎn)所有人的溝通，評(píng)估如下方面：

a. 定位根本原因：如是否是外部黑客攻破了系統(tǒng);哪些登錄名/密碼被黑掉了;丟失的具體設(shè)備或被破壞的基礎(chǔ)設(shè)施;惡意軟件是病毒、蠕蟲還是木馬;網(wǎng)絡(luò)攻擊是DDoS、掃描還是嗅探;物理盜竊的具體位置;惡意員工或承包商是誰;社會(huì)工程(如釣魚)的具體手段。

b. 人員與部門的受影響程度，

c. 丟失、破壞或暴露的數(shù)據(jù)與資產(chǎn)的數(shù)量與程度。

d. 對(duì)人員、數(shù)據(jù)和資產(chǎn)的殘留威脅的嚴(yán)重程度。

e. 如果安全事件發(fā)生在第三方服務(wù)提供者處，應(yīng)及時(shí)聯(lián)系以獲取初步報(bào)告，并請(qǐng)求定時(shí)地更新進(jìn)展。

5. 向管理層報(bào)告取證、調(diào)查和評(píng)估的結(jié)果。

第三階段：抑制、根除和恢復(fù)(要用“深耕”的態(tài)度去刨根問底，不要犯那種“你以為的就是你以為的”錯(cuò)誤。只有在確認(rèn)抑制策略成功后方可實(shí)施根除與恢復(fù)。)

階段目標(biāo)：

全面制定執(zhí)行抑制策略與步驟，采取措施來根除風(fēng)險(xiǎn)，使信息、資產(chǎn)和基礎(chǔ)設(shè)施恢復(fù)正常運(yùn)轉(zhuǎn)。

目標(biāo)時(shí)間：

開始于發(fā)現(xiàn)信息安全事件的24- 48小時(shí)之內(nèi)，可與調(diào)查階段同時(shí)進(jìn)行。不過根據(jù)事件的性質(zhì)不同，如出現(xiàn)了APT攻擊的話，則全面抑制、根除和恢復(fù)可能需要數(shù)小時(shí)或數(shù)天的時(shí)間。

關(guān)鍵行動(dòng)：

1. 實(shí)施和驗(yàn)證抑制。

a. 回顧取證環(huán)節(jié)的發(fā)現(xiàn)和確認(rèn)安全事件已被充分調(diào)查和評(píng)估。

b. 根據(jù)發(fā)現(xiàn)，以點(diǎn)對(duì)點(diǎn)的方式，制定具有“時(shí)間點(diǎn)”和“里程碑”的抑制策略。

c. 協(xié)調(diào)相關(guān)人員在避免次生破壞的情況下實(shí)施抑制。

d. 監(jiān)控和評(píng)估抑制的有效性，驗(yàn)證是否成功。

e. 如果需要改進(jìn)抑制策略，則可反復(fù)迭代，直至最終確認(rèn)成功。

2. 實(shí)施和驗(yàn)證根除與恢復(fù)。

a. 根據(jù)抑制報(bào)告，逐條列出安全漏洞與弱點(diǎn)，并以點(diǎn)對(duì)點(diǎn)的方式制定根除策略。

b. 策略制定過程應(yīng)具有前瞻性，要充分考慮到類似事件的再次發(fā)生、其他攻擊方式的應(yīng)對(duì)、根除對(duì)將來業(yè)務(wù)運(yùn)行的影響等方面。

c. 根除與恢復(fù)的內(nèi)容包括：卸載惡意軟件、刪除被感染且確認(rèn)不再可用的文件和文件夾、阻止某個(gè)或某段IP地址、禁止對(duì)某個(gè)URL地址的訪問、永久禁用或刪除某個(gè)帳戶、修復(fù)/重建/更新操作系統(tǒng)或軟件。

d. 監(jiān)控和評(píng)估根除的有效性，驗(yàn)證是否成功。

e. 記錄執(zhí)行的整個(gè)過程，并形成報(bào)告。

第四階段：通知和公關(guān)/外部通信(這不是你一個(gè)人的戰(zhàn)場，本階段是很多技術(shù)人員的短板，多數(shù)情況下會(huì)匆忙應(yīng)對(duì)。記住，作家波西格曾說：倉促本身就是最要不得的態(tài)度。當(dāng)你做某件事的時(shí)候，一旦想要求快，就表示你再也不關(guān)心它，而想去做別的事。)

階段目的：

將事件全部過程通知到管理層;從公司形象角度配合公關(guān)和外部通信。

目標(biāo)時(shí)間：

從上述的第一到三階段都可以開始，但要盡早。

關(guān)鍵行動(dòng)：

1. 識(shí)別需要通知到的人群，例如：當(dāng)事人、受影響的客戶或雇員、商業(yè)銀行、信用卡中心和媒體等。

2. 響應(yīng)小組與PR或市場部門協(xié)作，準(zhǔn)備一個(gè)完備的計(jì)劃來減輕事件對(duì)客戶關(guān)系的影響。在事件波及一個(gè)以上客戶或合作方的時(shí)候，注意通信的關(guān)聯(lián)性和次序。

3. 響應(yīng)小組委派專門人員負(fù)責(zé)對(duì)客戶、合作方以及外部調(diào)查部門提供技術(shù)細(xì)節(jié)解答和支持。

4. 響應(yīng)小組根據(jù)安全事件，對(duì)既定合同中涉及的責(zé)任條款予以技術(shù)核實(shí)，并提供必要的解釋。

5. 起草在外部網(wǎng)站上和/或呼叫中心熱線電話里發(fā)布的官方內(nèi)容，并為各方提供持續(xù)的更新，常見問題解答，進(jìn)一步溝通方式等。

6. 定期監(jiān)控呼叫中心收到的電話數(shù)量和問題類型，提供必要的改進(jìn)。

7. 如果安全事件發(fā)生在第三方服務(wù)提供者處，應(yīng)從技術(shù)層面審查相關(guān)合同的責(zé)任條款，評(píng)估賠償或其他索賠的權(quán)利。

第五階段：事后工作(喬布斯曾說過：Keep looking. Don't settle. 此階段就像是砌墻，你堆好了磚頭、填進(jìn)了水泥，但總要再給點(diǎn)時(shí)間讓水泥風(fēng)干，以及必要的后期修補(bǔ)，墻才能夠結(jié)實(shí))

階段目標(biāo)：

將安全事件和恢復(fù)過程進(jìn)行最終文檔化，在放置復(fù)發(fā)的同時(shí)，以供監(jiān)管部門的檢查和必要的訴訟。

目標(biāo)時(shí)間：

第三階段完成后，可常規(guī)化。

關(guān)鍵行動(dòng)：

1. 評(píng)審上述四個(gè)階段的響應(yīng)和執(zhí)行效果，分析與原定計(jì)劃的偏離部分及其原因，并提出改進(jìn)方案。

2. 安全團(tuán)隊(duì)根據(jù)事件所涉及的既定服務(wù)級(jí)別，標(biāo)注出需要調(diào)整和改進(jìn)之處。

3. 引導(dǎo)內(nèi)部相關(guān)職能部門開展信息安全方面的自查工作，防止類似事件的復(fù)發(fā)。

4. 安全團(tuán)隊(duì)總結(jié)經(jīng)驗(yàn)教訓(xùn)報(bào)告，增強(qiáng)日常的監(jiān)控、改善事件響應(yīng)演練、有針對(duì)性的對(duì)其他部門開展培訓(xùn)和意識(shí)增強(qiáng)等工作。

總結(jié)

通過對(duì)上述五個(gè)階段的詳解，您應(yīng)該能看出，我在此所提出的安全事件響應(yīng)的新思路主要體現(xiàn)在：

1. 增加 “通知和公關(guān)/外部通信”階段，體現(xiàn)溝通與盡責(zé)。

2. 每個(gè)階段設(shè)定目標(biāo)時(shí)間，有利于團(tuán)隊(duì)在進(jìn)度上的張弛掌控。

3. 各個(gè)階段都通過審查和驗(yàn)證來確認(rèn)工作的成效。

4. 通過各種報(bào)告來實(shí)現(xiàn)雁過留痕。

可見，隨著各個(gè)行業(yè)的國際化和規(guī)范化，許多企業(yè)的日常運(yùn)營都會(huì)受到監(jiān)管和披露的要求，所以加強(qiáng)溝通與報(bào)告顯得尤為重要。我們不要做那頭只會(huì)低頭拉車不會(huì)抬頭看路的老黃牛。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】