应急响应前移:从事后到事前

本文涉及的产品
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
简介:

今年的ISC2017大会精彩纷呈,9月13日下午召开的应急响应论坛——政企网络安全应急响应的创新与实践,汇聚了来自国家互联网应急中心CNCERT、中国信息安全测评中心、国家工业信息安全发展研究中心、JPCERT/CC、以及政企单位的各路大神,大咖们在会上纷纷发表了价值观点。

应急响应前移:从事后到事前

应急响应前移,应急响应即服务

论坛专家提到了一个很新颖的观点:应急响应要前移,即在事前做好充分准备,抓住危机发生的关键因素和触发点,进行预防和预警,才能有效地消除矛盾、控制危机。应急管理的重点是危机发生之后的处置,进行24小时监测预警,发生安全事件后,达到重大事件“分钟级”的应急处置、“小时级”的恢复处理。

安全应急响应工作要检查安全事件来源、恢复系统正常工作、进行安全事件深度分析、进行入侵取证,并发布安全警报、安全公告、形成安全建议。在政企单位开展应急响应过程中,以应急服务的形式邀请专业安全团队,将应急响应工作前移,做好全流量网络事件监控和分析,主动发现安全攻击的苗头,建立应急处理机制或体系,明确应急处理预警等级划分,建设应急处理队伍,实行7天×24小时值班,以专业化方式处理突发的安全事件。

在应急响应前移的思路下,国家主管机关对应急响应的指导、运营商等部门对应急响应的支撑也是关键环节。国家互联网应急中心运行部主任严寒冰在演讲中提到了一个数据:2013年8月运营商对虚假IP地址进行专项整治,整治后,用虚假IP地址进行DDOS攻击的比例由71%大幅度下降为10%、而用真实地址进行攻击的比例达到了70%。国家主管机关对虚假IP地址的整治,给开展应急响应工作提供了非常好的支撑,大幅度提高了安全企业协助客户记录真实攻击源的概率,也有利于在相关部门的授权下进行追踪溯源。

人才是应急响应的关键

应急响应前移,应急响应成为运维服务的核心,靠的都是人。中国信息安全测评中心的位华专门以新形势下应急响应的人才需求为主题,提出人在安全中的作用越来越重要了,万物皆变,不变的是人,应急响应和处置都需要人来完成,而且是深度参与,单靠设备是无法做好应急处置的。这也应了ISC大会的主题:万物皆变,人是安全的尺度。

加强专业应急安全人才队伍的建设是应对频发安全事件的关键要素。应急服务主要通过人工去发现、分析、研判、处理突发的安全事件。能不能高质量地完成应急响应服务,还是看有没有合格的安全技术人才,安全人才的能力和应急服务完成的质量有很大关系。

提高安全团队的应急能力以面对越来越多的网络攻击,应急响应服务人员需要具备数据分析能力、安全逆向能力、安全实践能力、网络基础知识等多项关键能力。安全需要实战型人才,位华提到,应急响应的人才培养更需要以创新的理念去开展,以政企的实际需求为根本,建立安全人才生态圈,形成政府、企业和教育机构深度合作的实战型人才培养机制。

应急响应前移的行业实践和落地

来自贵阳大数据委、国家工业信息安全发展研究中心、石化盈科的三位专家,分别从贵阳大数据应急演练、工控安全应急、央企运营响应的维度,解读了前移的应急响应如何落地。

贵阳建设了全国首个政府数据共享开放平台、梳理政府数据资源目录、统一存储、统一管理的城市级大数据系统。对贵阳大数据系统的应急处置来说,数据的安全是最重要、最核心的问题。贵阳大数据委提出应急管理的着力点“向前移”,抓住危机发生的关键因素和触发点,进行预防和预警,才能有效地消除矛盾、控制危机。为了检验贵阳大数据系统的应急处置能力,贵阳邀请到国内顶尖的20支网络安全攻击队伍和12支防守队伍参加攻防和应急演练,针对100个重点攻击目标和10000个网站进行了真实的攻防及应急检测,检验了应急响应前置的效果。

工控安全系统的应急工作与传统的信息系统安全应急既有相同也有不同。工控系统利用信息技术实现深度网络化、智能化,系统从单机走向互联、从封闭走向开放、从自动化走向智能化。在改进生产模式,提高管理水平和生产效率的同时,也面临着日益严峻的信息安全风险,自2010年震网病毒出现后,每年都有特别引人注目的工控安全事件发生,频度越来越高,影响范围也越来越大。信息系统的安全应急为工控应急工作提供了借鉴与参考,但是由于工控系统自身的一些特点、局限和不足,导致工控应急面临着一些不同的挑战。

国家工业信息安全发展研究中心的张洪认为,工控应急的挑战主要来自四个方面:攻防形势不对称、技术要求不对称、人员素质不对称以及投入产出不对称。据中心监测发现,暴露在互联网上的主流工控系统数量高达72,000个,系统类型有近20种。与此同时,很多工控设备都存在各种软硬件漏洞,FireEye统计2000-2015年全球共发现1490个工业控制系统漏洞。近年来工业控制系统成为国家级网络部队、黑客组织以及极端势力的主要攻击目标,攻击工具数量之多、涉及的工业相关领域之广等充分表明,针对工业控制系统的攻击工具已经成为新的威慑手段。今年6月份我国发布的《工业控制系统信息安全事件应急管理工作指南》,要求建立健全工控安全事件应急工作机制、提升工控安全事件应急处置能力。张洪认为,加强重要工控系统的在线安全监测能力、工控网络安全威胁捕获能力,形成工控系统安全信息共享机制,通过主被动结合的方式,监测工控系统的安全情况,支撑开展对工控系统的前置应急响应处置。

石化盈科的李超提出了数据驱动的安全运营应急响应体系的建设思路。他以中国石化如何应对“永恒之蓝”勒索病毒的应急事件为案例,提出了前置的应急响应工作体系化地协同防御作战模式,从对事件的预警、通知、提出防护要求、安排7*24小时值班和响应、到自动化监测,实现了零台机器被勒索的目标。以处置邮件诈骗攻击的应急事件为案例,提出如何依据蛛丝马迹进行攻击者画像,结合威胁情报进行深度安全分析,找出已经被攻陷的机器及账户,确定并封锁黑客窃取商业秘密的数据通路,直至开展追踪溯源的整个应急处置流程。通过建设 “数据+平台+团队”的安全运营体系,实现数据驱动的应急响应,达到应急响应工作前置的目标。

数据驱动的前置式应急响应

来自360企业安全的专家龚玉山特别强调了大数据在应急响应中的应用。复杂的网络结构、纷繁多变的外部威胁、防不胜防的内部威胁,都是政企单位在开展应急响应工作中的痛点。数据驱动的应急响应是近年来提出的安全理念,安全大数据发挥的作用取决于在各个阶段做的工作是否到位,只有在各个环节上充分准备,才能支撑整个事件的处置。检测阶段的数据采集、协议分类、持续检测能力,分析阶段的分析研判能力、可监控能力,处置阶段的影响范围判断能力、感染设备定位能力、处置能力,都是决定应急响应成败的关键能力。龚玉山还提出,政企单位开展前置的应急响应,需具备五个能力:事件的发现能力、事件的分析能力、事件的研判能力、事件的处置能力、数据采集以及存储能力。应急响应所需的数据要涵盖流量数据、终端数据、SIEM数据、以及结合第三方数据进行分析研判。

在当天上午的互联网安全领袖峰会上,谭晓生特别强调“应急响应即服务”。“防不住”已成共识,应急响应在网络安全防御中处于重要的地位,是系统运行的一部分,系统运行中出现了问题就需要高效的应急处置。论坛各位专家从理念、监管、实践、服务等不同维度提出的应急响应手段,都在支撑一个观点:应急响应,从事后到事前,前移的应急响应,让我们处置安全事件更加从容、更加主动。



原文发布时间为:2017年9月20日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
相关文章
|
运维 Prometheus 监控
ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
本文主要介绍了ARMS 助力极氪提效服务应急响应,重点介绍整体方案中围绕“告警、接手”两项落地的“以事件为中心的告警全生命周期管理”解决方案。
444 14
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
1038 0
|
云安全 监控 安全
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践(1)
企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件:木马程序。”就不高速运转的脑神经,突然一阵抽搐……
3652 0
|
存储 监控 安全
安全应急响应的一些经验总结
本文讲的是安全应急响应的一些经验总结,在2016年,我尽可能的参与到了事件响应的工作中,并且我还花费了超过300小时的时间去作为今年很多安全事件或者数据泄露事件的顾问。这些工作中包括我目前正在进行的工作,协调事件受害者与事件响应人员的关系。
2379 0
|
安全 黑灰产治理
有重奖!阿里安全应急响应中心“2018 专项情报收集计划”
我们发布《2018专项情报收集计划》,相关情报我们有更强的意愿接收及给出更好的奖励,并根据提交情况在年末为卓越情报专家颁发“年度情报之星”荣誉。
2565 0
|
安全
安全应急响应工作中易犯的5大错误
本文讲的是安全应急响应工作中易犯的5大错误,转行或开启一份新工作的最大挑战之一,不是了解该做什么,而是学会不能做什么。
1268 0