對于計算機安全事件響應(yīng)(CSIRT)團隊來說，必須時刻準備好應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件。根據(jù)過去的處置經(jīng)驗，在嚴重安全事件后，把握好第一個小時的時間窗口無比重要。當事件發(fā)生后，快速制定應(yīng)急方案，充分調(diào)動內(nèi)外部團隊資源，并讓所有成員搞清楚自己的分工是一項艱巨但重要的任務(wù)。此刻，保持頭腦冷靜、行動周全對于成功處理安全事件至關(guān)重要，而如果陷入到焦慮不安的恐慌中，將會嚴重影響事件響應(yīng)團隊做出正確的決策。

通過對成功應(yīng)急案例的分析，本文總結(jié)了把握安全事件響應(yīng)黃金一小時的幾個關(guān)鍵點，可以幫助企業(yè)提升安全事件響應(yīng)的效果。

要點一：快速了解事件相關(guān)信息

在嚴重安全事件突然發(fā)生后，如果要充分利用好最關(guān)鍵的黃金一小時，不僅需要現(xiàn)場的預(yù)案與準確處置，更需要事先全面了解資產(chǎn)和潛在對手，提前設(shè)置好處置任務(wù)的優(yōu)先級，這樣才能在需要時迅速做出決策，并在必要時通過使用排除法來發(fā)現(xiàn)真相。

在開啟突發(fā)安全事件處置流程之前，安全分析師要盡可能全面了解事件相關(guān)信息，這需要他們在日常工作中充分熟悉自身的角色和職責?？焖僮兓腎T環(huán)境經(jīng)常需要分析師實時同步更新自己的技能組合，比如了解云計算、大數(shù)據(jù)等。在安全事件實際發(fā)生后，分析師應(yīng)迅速識別其負責的所有資產(chǎn)運行狀態(tài)，并積極參與到漏洞管理和掃描發(fā)現(xiàn)過程。

所收集的安全事件信息質(zhì)量決定了事件響應(yīng)的結(jié)果，幫助分析師準確了解他們面臨威脅的程度與可能后果。需要指出的是，由于很多攻擊團伙在現(xiàn)在使用“攻擊即服務(wù)”的Saas化商業(yè)模式，這些攻擊技術(shù)并不復(fù)雜，CSIRT團隊通過日常積累，就可以對可能面臨的主要威脅提前進行準備。但是在一些比較敏感的場景(比如能源等關(guān)鍵基礎(chǔ)設(shè)施部門受到攻擊)中，安全分析師需要留意是否存在更多的非常規(guī)性攻擊方法。

要點二：和時間賽跑，跳過卡住的問題

警鈴響起，安全團隊需要迅速冷靜下來，準備回答第一個問題：“我在第一個小時應(yīng)該做什么?”嚴重事件的第一個小時又叫危機階段，其特點是混亂、恐慌、趕到現(xiàn)場和陷入僵局。但是訓(xùn)練有素的安全分析師會展開細致入微的調(diào)查工作。

另一方面，在許多情況下，分析師可能往往信息不全、無法在有限的時間內(nèi)實施解決方案以及缺少相應(yīng)的權(quán)限。在這種情況下，事件響應(yīng)團隊必須清楚地表述其專業(yè)知識，并推動工作開展下去。

在進行調(diào)查和根本原因分析時，事件響應(yīng)團隊常常陷入尋找遺失的線索這種困境。這又導(dǎo)致懷疑和猶豫。在嚴重事件后的第一個小時，時間很寶貴。就像參加時間限定的考試一樣，先跳過卡住的問題。

如今，由于很多企業(yè)組織廣泛采用了威脅檢測和響應(yīng)技術(shù)，事件響應(yīng)遏制流程常常得到簡化，這類技術(shù)或產(chǎn)品，甚至只需按一下按鈕，即可快速實現(xiàn)網(wǎng)絡(luò)遏制功能。然而，如果使用傳統(tǒng)的網(wǎng)絡(luò)遏制工具，其效果可能并不那么容易實現(xiàn)，此時安全人員需要盡快找到穩(wěn)妥并可靠的實現(xiàn)辦法。

要點三：找出真相，堵住缺口

也許一小時后，仍有很多問題沒有被解決。現(xiàn)在應(yīng)該花一些時間思考種種可能性，并列出一份清單。以筆者實際處理過的一起安全事件為例：攻擊者在服務(wù)器上啟動了反向shell。我們決定立即決定遏制這臺服務(wù)器，并收集所有攻擊證據(jù)。但是，我們無法弄清楚這臺服務(wù)器是如何被闖入的，于是列出了所有可訪問的服務(wù)，仔細檢查了每個服務(wù)的相關(guān)日志。

我們起初以為一款I(lǐng)T操作工具是攻陷指標。但最終排除所有可能性，推翻了這種猜測，得出了Web服務(wù)存在固有的安全漏洞這一結(jié)論。

有時在事后分析期間，安全分析師在了解事件相互之間的關(guān)系時可能遇到挫折。但只要有足夠的耐心和合理的心態(tài)，真相總會浮出水面。