作者丨陳峻

策劃丨孫淑娟

不知您是否留意到，我們這邊正在舉國上下歡慶春節(jié)和冬奧會開幕之時，遠在歐洲大陸的德國卻傳來了，其主要石油儲存公司 Oiltanking，以及礦物油貿(mào)易公司 Mabanaft 的 IT 系統(tǒng)遭到黑客組織的持續(xù)網(wǎng)絡(luò)攻擊。由于他們的儲罐裝 / 卸載過程，完全依賴于已被攻擊下線的計算機系統(tǒng)，因此無法從自動化退回到手動操作模式。此次中斷預(yù)計會給整個供應(yīng)鏈造成嚴重的影響。

遙想 2021 年 5 月，DarkSide 黑客集團也曾利用勒索軟件，攻擊了美國最大燃油管道公司 Colonial Pipeline，并引起了油氣管道的計量系統(tǒng)無法運行，進而中斷服務(wù)。面對這些屢禁不止的惡意安全事件，我不禁利用這個春節(jié)長假中，再次思考了事件響應(yīng)與事件管理的相關(guān)問題。

事件響應(yīng)與事件管理的區(qū)別?

面對突發(fā)的各種網(wǎng)絡(luò)安全事件，我們通常考慮的是如何在最短的時間內(nèi)，去消除事件的影響，甚至?xí)济右话炎?、病急亂投醫(yī)。不過，實際上事件響應(yīng)(Incident Response，IR)和事件管理(Incident Management，IM)是兩種截然不同的處置方式。理清它們之間的區(qū)別，將有助于我們從根本上更好的管控安全事件。

從定義上來看：

• 事件響應(yīng)主要包括對事件進行檢測分類、深入分析、實施控制、減少影響、保護關(guān)鍵數(shù)據(jù)、資產(chǎn)與系統(tǒng)、以及采取技術(shù)恢復(fù)等具體的行動要素。
• 事件管理主要涉及到安全事件響應(yīng)團隊在各個處置階段所采取的不同流程，而且不限于技術(shù)流程。它包含了各種通信交流、升級轉(zhuǎn)發(fā)、以及事態(tài)報告等?？梢哉f，它起到了將整個響應(yīng)的環(huán)節(jié)串聯(lián)起來，形成一個有機整體的作用。

從人員上來看：

• 事件響應(yīng)是技術(shù)人員的主要職責(zé)。
• 事件管理則需要更廣泛的利益相關(guān)方(例如：法務(wù)部門、公關(guān)團隊、合規(guī)人員、以及后勤保障等)開展溝通與協(xié)作。

從目標上來看：

• 事件響應(yīng)需要各個職能角色各司其職，通過快速檢測和修復(fù)損壞，來達到預(yù)定的技術(shù)要求。
• 事件管理則著眼于最小化安全事件對于整個業(yè)務(wù)的影響，最大程度地降低危害、防止組織因違規(guī)而招致的懲罰。

事件威脅建模?

眾所周知，事件響應(yīng)離不開響應(yīng)團隊成員和應(yīng)手的工具。常言道：“知己知彼，百戰(zhàn)不殆?！币惶浊逦娴耐{模型，可以被用來詳細定義不同類型的安全威脅，概述組織會采取哪些略有區(qū)別地響應(yīng)措施，以及涉及到的角色和責(zé)任等。面對可以預(yù)見的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用等維度的安全威脅，業(yè)界常用 STRIDE 威脅建模，來識別潛在的漏洞，并建立響應(yīng)機制。該模型包含了六種不同的威脅類別：

• 欺騙身份(Spoofing identity)，主要針對的是系統(tǒng)的身份認證機制。攻擊者偽造的身份既可以是合法用戶本身，又可以是合法的技術(shù)調(diào)用或進程。例如，典型的中間人攻擊(MIM)、網(wǎng)站木馬、郵件偽造等都屬于此類威脅。一旦獲得了易受攻擊系統(tǒng)的訪問權(quán)限，攻擊者便可以截取敏感信息，進而執(zhí)行深層次的攻擊。
• 篡改數(shù)據(jù)(Tampering with data)，主要針對的是數(shù)據(jù)的完整性。攻擊者通過未經(jīng)授權(quán)的數(shù)據(jù)篡改，可以更改系統(tǒng)或應(yīng)用的配置文件，以獲得控制權(quán)、插入惡意代碼、甚至刪除日志。例如，數(shù)據(jù)包傳輸過程中的注入攻擊，以及由于執(zhí)行了錯誤的代碼，而導(dǎo)致完整數(shù)據(jù)被損壞等都屬于此類威脅。對此，我們可以通過文件完整性監(jiān)控(File Integrity Monitoring，F(xiàn)IM)，根據(jù)已創(chuàng)建的基線，去判斷和識別關(guān)鍵日志、配置與存儲文件是否被篡改。
• 否認(Repudiation), 主要體現(xiàn)在攻擊者在執(zhí)行了非法操作后，隱匿其行蹤，以達到抵賴的效果。對此，我們可以通過審計用戶的登錄與執(zhí)行，采取簽名和哈希等手段，來增強追蹤惡意活動的識別能力。
• 信息泄露(Information disclosure)，主要體現(xiàn)在應(yīng)用或網(wǎng)站向未經(jīng)授權(quán)的用戶泄露敏感數(shù)據(jù)。例如，在有漏洞的系統(tǒng)進行調(diào)用，可能會遭遇緩沖區(qū)溢出攻擊。同時，中間人對于傳輸數(shù)據(jù)的截獲也屬于此類威脅。值得注意的是，它與前面提到的“欺騙身份”威脅不同，攻擊者是直接獲取到不該泄露的信息，而不需要通過假扮或欺騙合法用戶來得到。
• 拒絕服務(wù)(Denial of Service，DoS)，主要體現(xiàn)在攻擊者迫使目標系統(tǒng)的資源(如：處理或存儲能力等方面)不可被訪問與使用、或完全無法受理正常服務(wù)請求。例如，各種 SYN 泛洪攻擊、TCP 復(fù)位攻擊、緩沖區(qū)溢出等都屬于此類威脅。對此，我們可以通過采用安全協(xié)議，完善配置，增加檢查等方式，來予以防范。
• 特權(quán)提升(Elevation of Privilege)，主要體現(xiàn)在攻擊者在系統(tǒng)管理員不知情的狀態(tài)下，通過普通用戶獲得特殊訪問權(quán)，進而破壞目標系統(tǒng)。例如，用戶代碼超越緩沖區(qū)，以更高權(quán)限執(zhí)行敏感操作?；蚴怯捎谠L問檢查的缺失或不當，導(dǎo)致攻擊者未經(jīng)授權(quán)地運行了可執(zhí)行文件等。

盡管 STRIDE 是目前最為流行且有效的威脅建模與安全設(shè)計框架，不過如果您覺得它有些陳舊的話，則可以參考最新的零信任網(wǎng)絡(luò)(zero trust networks，ZTN)安全模型。它秉承的是“從不信任，始終驗證”的概念，即：在任何用戶、資源或資產(chǎn)都是不可信的前提下，通過消除隱含的信任關(guān)系，并不斷驗證每個階段的交互過程，來保護目標組織和應(yīng)用系統(tǒng)。

無論是被部署在云端，還是在本地，零信任網(wǎng)絡(luò)作為一種持續(xù)評估和驗證的關(guān)鍵性流程組件，可以在檢測過程中，為響應(yīng)團隊提供有關(guān)的可疑訪問請求、以及事件本身的詳細信息。我們可以通過如下方面對各類網(wǎng)絡(luò)攻擊，做出及時響應(yīng)，并最大限度地減少損害。

• 假設(shè)違規(guī)。由于凡事都不可信，因此我們能夠從網(wǎng)絡(luò)中已存在著攻擊者的角度出發(fā)，更加專注于阻止各種違規(guī)行為。
• 完整的可見性。我們能夠通過管理各種憑證、訪問、操作、端點環(huán)境、以及基礎(chǔ)設(shè)施，來監(jiān)控用戶請求所對應(yīng)的身份、設(shè)備、應(yīng)用和數(shù)據(jù)，這四種元素的詳細信息。而在驗證過程中，一旦發(fā)現(xiàn)任何異常的訪問嘗試，響應(yīng)團隊都能準確地關(guān)聯(lián)到特定的實體、應(yīng)用和數(shù)據(jù)上。
• 自動化響應(yīng)。由于處于零信任狀態(tài)，因此有待檢查的節(jié)點會更多。我們往往需要實施自動化的檢測與緩解手段，并通過事件關(guān)聯(lián)來剔除誤報，并自動更改網(wǎng)絡(luò)訪問規(guī)則，進而構(gòu)建比手動響應(yīng)更為有效的反應(yīng)機制。

當然，沒有一種完全模型能夠完美到“團滅”所有的威脅、或“包治百病”。我們應(yīng)當根據(jù)實際情況，選用、調(diào)整或自定義某一種、或混用各種安全模型的用例，通過縮小信任區(qū)域范圍，制定出更快、更有效的響應(yīng)計劃。

事件嚴重級別?

光有定性的識別模型顯然是不夠的，我們在實踐中還需要有定量的指標等級，以便濾除“噪聲”，界定和分析事件。

從表面上看，嚴重性高的事件通常需要快速的響應(yīng)，但是實際情況并非一成不變。由于在事件響應(yīng)的過程中，我們往往推崇的是“快速生效”。因此，對于某些低嚴重性事件而言，如果它們需要調(diào)用的資源較少，能夠立竿見影，起到迅速遏制事件在范圍與程度的效果，那么我們就可以將其視為高優(yōu)先級的處置目標，予以快速修復(fù)?？梢?，事件的嚴重程度并不能完全決定了事件的優(yōu)先級，我們需要從業(yè)務(wù)的角度，多方面綜合考慮。

當然，最為穩(wěn)妥的方法應(yīng)該是：以事件對于業(yè)務(wù)的影響程度，來界定嚴重性級別。無論是服務(wù)級別目標(Service Level Object，SLO)也好，還是服務(wù)級別約定(Service Level Agreement，SLA)也罷，它們都直接影響著我們?nèi)ゴ_定安全事件的嚴重性與優(yōu)先級，并且會影響到如何配置人員與資源，以及是否按需升級響應(yīng)等級。在此，我以一個 APP 的頁面平均加載時間為例，向您展示嚴重性與響應(yīng)的關(guān)系：

通常，我們應(yīng)當事先制定好一個包含了事件影響范圍和程度的等級關(guān)系矩陣。運維人員和應(yīng)急響應(yīng)人員可以將收集到的指標參數(shù)，對應(yīng)到事先明確定義好的取值范圍中，進而通過客觀且公式化結(jié)合方式(或是相乘、或是相加)，來確定其嚴重性。

事件管理團隊?

如前文所述，事件管理比事件響應(yīng)更加“高屋建瓴”，是一整套實踐流程和解決方案。它不但需要組織能夠管理好安全事件的發(fā)展走勢，而且可以滿足所處環(huán)境中日益嚴苛的數(shù)據(jù)合規(guī)要求。此外，它還能夠讓各個利益相關(guān)方通過規(guī)范化的流程，避免同類事件的復(fù)發(fā)。

常言道：“凡事預(yù)則立，不預(yù)則廢。”事件管理切忌臨時抱佛腳。我們應(yīng)當事先構(gòu)建好一個“召之即來，來之能戰(zhàn)”的團隊。在實踐中，一些組織會片面地認為安全事件處理只和那些諳熟日常運維的技術(shù)大咖有關(guān)。但其實，若要真正管理好事件，少不了安全、基礎(chǔ)架構(gòu)與運營(I&O)、以及管理層的調(diào)兵遣將與有效溝通。

事件管理指標?

如今已是大數(shù)據(jù)時代，我們擔(dān)心的不再是得不到必要的數(shù)據(jù)指標，而是向我們涌來的數(shù)據(jù)是否有用、是否能夠協(xié)助我們實施事件管理。以下便是一些常見的指標類別，它們有助于隨著事件響應(yīng)的逐步推進，各方更好地把控安全事件的全局：

• 各類警告數(shù)量：我們可以通過衡量事件警告的不同類型、級別和數(shù)量，從宏觀上直接了解當前的任務(wù)積壓。
• 平均檢測時間(Mean time to detect，MTTD)：我們可以用來了解監(jiān)控工具的事件觸發(fā)效率，以及運維人員對于事件威脅的敏感程度。
• 平均確認時間(Mean time to acknowledge，MTTA)：我們既可以用來判定對于事件分類的合理性，又能夠獲悉響應(yīng)團隊剔除誤報的專業(yè)程度。
• 平均解決時間(Mean time to resolve，MTTR)：指從事件響應(yīng)開始，到業(yè)務(wù)服務(wù)完全恢復(fù)所需要的平均時間。它是組織在事件管理能力方面的直接體現(xiàn)。
• 預(yù)算消耗比例。這反映了團隊在事先制定響應(yīng)計劃，并申請資源配置方面的規(guī)劃能力。為了避免出現(xiàn)“時間未半，卻已花光預(yù)算”的情況，團隊應(yīng)當實時根據(jù)該指標，靈活地調(diào)整事件處置的策略。

事件管理工具?

俗話說：“工欲善其事，必先利其器?！眱?yōu)秀的工具往往能夠協(xié)助我們進行事件的跟蹤、記錄、處置、以及最終的績效考評。在管理事件時，我們通常會用到如下兩類工具：

• 即時通訊工具。在實踐中，許多組織都會通過此類工具，方便團隊實時地以協(xié)同和會診的方式，去分析事件。各種圖文并茂的交流記錄，不但為事件的響應(yīng)和決策過程提供了豐富的第一手資料，而且方便了響應(yīng)過程的后期復(fù)盤。
• 事件管理工具。除了團隊之間的人員溝通，我們也離不開事件從生成時的捕獲，到原始信息的轉(zhuǎn)存，以及任務(wù)的分派等自動化流轉(zhuǎn)的過程。在實踐中，我們常用到的此類工具包括：ServiceNow 和 OnPage 等。響應(yīng)團隊不但可以在 PC 端上使用它們，還能夠通過智能手持設(shè)備接收到其推送的通知，并通過友好的界面，隨時隨地參與事件的協(xié)同處理。

事件回顧總結(jié)?

我們常說，沒有總結(jié)就沒有進步。事后分析是事件管理的最后一個環(huán)節(jié)，也是不可或缺的部分。團隊成員可以查閱過往的處置記錄，回顧在整個響應(yīng)過程中，本應(yīng)該實施、卻由于某種原因并未能實現(xiàn)或拖延執(zhí)行的任務(wù)，以及由此導(dǎo)致的失誤。據(jù)此，我們可以提高組織在如下方面的事件應(yīng)對能力：

• 以“左移”的方式提高事故預(yù)防能力
• 減少或消除服務(wù)中斷的停機時間
• 改善 MTTD、MTTA、以及 MTTR 等指標
• 提高相關(guān)數(shù)據(jù)的保存與使用能力
• 通過頻繁廣泛的內(nèi)外部溝通，提供客戶的知情能力

與此同時，通過撰寫事后分析報告，主要利益相關(guān)方不但可以審查、并了解安全事件發(fā)生的根本原因，以及下一步相關(guān)部門與團隊將如何通過整理，來防止此類事件的復(fù)發(fā)，而且能夠督促響應(yīng)團隊不斷改進事件的響應(yīng)流程，優(yōu)化事件的管理效果，將這些“增量”知識變?yōu)椤按媪俊奔寄堋?/p>

小結(jié)?

綜上所述，無論事件響應(yīng)計劃、威脅建模、嚴重性劃分、團隊處置能力、以及指標與工具的使用，都會是一個需要不斷查缺補漏的動態(tài)更新過程。無論您是事件響應(yīng)團隊成員，還是事件管理的相關(guān)方，都應(yīng)該練就“不怕事，不避事，善處事”的心態(tài)，不要將安全事件視為挫折，而將其看作歷練的機會。

作者介紹?

陳 峻 (Julian Chen)，51CTO 社區(qū)編輯，具有十多年的 IT 項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗;持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知;經(jīng)常以線上、線下等方式，開展信息安全類培訓(xùn)與授課。

編輯招募?

如果您是一名具有獨到見解并樂于分享的技術(shù)人，有時間、精力以及激情改變和提升自我，邀請您加盟 51CTO 社區(qū)編輯團隊，成為一名社區(qū)編輯。

請發(fā)送郵件到 editor@51cto.com，做下自我介紹，包括但不限于您所在公司，職位，關(guān)注的技術(shù)領(lǐng)域，建立的微信公眾號 / 博客 / 網(wǎng)站等，之前撰寫或翻譯的文章或者書籍，個人 Github 鏈接等。