网络安全应急响应的回顾与展望-阿里云开发者社区

开发者社区> 阿里云MVP> 正文
登录阅读全文

网络安全应急响应的回顾与展望

简介: 当前,世界各国纷纷将网络空间安全纳入国家安全战略,制定和完善网络空间安全战略规划和法律法规。我国高度重视网络空间安全,总书记曾明确提出“没有网络安全就没有国家安全”,而网络安全应急工作是网络安全的最后一道防线,完善网络安全应急标准体系,规范网络安全应急工作,提升应急能力,对于捍卫国家安全至关重要。

一.什么是应急响应?

Emergency Response/Incident Response :安全人员在遇到 突发事件 后所采取的措施和行动
突发事件:影响一个系统的正常工作的情况,此处的系统包括主机以及网络范围内的问题,这种”情况“包括常见的黑客入侵、信息窃取,DDOS拒绝攻击、网络流量异常等。

二.网络安全应急响应的启发

1988 Moris - 第一个计算机应急响应组织出现
1988年11月,罗伯特·塔潘·莫里斯(Robert Tappan Morris,著名密码学家Robert Morris Sr.的儿子)当时还是康奈尔大学20多岁的研究生, 
某天,他想知道互联网有多大——也就是连接了多少台设备。

于是他编写了一个程序,可以在计算机间传播,并要求每台机器将信号发送回控制服务器,以进行计数,非常简洁的方案。1988年11月2日该程序被从麻省理工学院(MIT)施放到互联网上(不知是否是要掩盖自己在康奈尔)。
程序运行的效果非常好,其实是太好了以致莫里斯自己很快无法控制,出现了恐慌。
短短12小时内,超过6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪,其中涉及NASA、各主要大学以及未被披露的美国军事基地,不计其数的数据和资料毁于这一夜之间。

最后由普渡和伯克利大学的研究人员花了72个小时来解决制止这种蠕虫。在莫里斯蠕虫病毒数周之后,卡内基梅隆大学建立了世界上第一个网络应急响应小组。1990年,国际网络安全合作组织FIRST(Forum of Incident Response and Security Teams)正式成立。

2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系
2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生
红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 。它会攻击运行微软IIS Web服务器的计算机。
eEye Digital Security员工Marc Maiffret和Ryan Permeh首先发现和研究了红色代码蠕虫,蠕虫利用了Riley Hassell发现的漏洞。他们将其命名为“Code Red”,因为Code Red Mountain Dew是他们当时正在喝的饮料
尽管蠕虫在7月13日开始散布,2001年7月19日就感染了数量最多的计算机。在这一天,受感染的主机数量达到了359,000台。

三.应急响应在安全保障整体工作中的作用

问题:怎么样才算是“安全的”?
如果你有100万两黄金,有两个人地方你可以去放,一个是在沙哈拉沙漠,一个是在人民广场的箱子里,你会选择放在哪里呢?有的人肯定想我要放在沙哈拉沙漠,因为那个地方是一个很少人接触的地方,有的人肯定想,我要放在人民广场的箱子里,因为那个地方的人多,出现了问题可以随时响应,事实证明,空有安全防护,未有安全响应体系的防护安全是没有意义的。

结论:响应时间和抗攻击时间的关系
安全取决于响应时间和抗攻击时间的关系 Rt ≤ ∑Pt (及时响应是安全保障的关键)

推论:
安全保障的各个环节不应该是相互孤立的
安全是相对的,具体要求各不相同
投资多、设备好不一定安全级别高

四.应急响应事件处理的一般阶段

俗话说,道高一尺,魔高一丈,不管我们做了多少的安全方面的工作,攻击者还是有可能在一个夜黑风高的晚上偷偷的潜入到我们的系统,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。以下为应急响应事件处理的一般阶段

第一阶段:准备——严阵以待(策略、防御、程序、人员、工具、基础设施、资金)
第二阶段:确认 ——对情况综合判断 (检测、调查、评价、报告、决策)
第三阶段:封锁——制止事态的扩大 (安全域(地理/层次/人机/业务)、边界控制)
第四阶段:根除——彻底的补救措施 (定位、对症下药、副作用)
第五阶段:恢复——备份,顶上去! (数据恢复、状态恢复、行为恢复、环境恢复)
第六阶段:跟踪 ——还有会第二次吗? (追究责任、改进)

五.安全应急响应的展望

复杂性大幅上升:相互交织越来越深入和密切,单点应急效果有限
更加依赖于大数据:基于大数据建立精准应对能力,没有数据就没有
需要知识积累与应用:知识与威胁情报是关键,否则无法科学响应
需要大范围协同:多领域、大范围、多国家的协同,需要配套的机制和能力
安全需求升级:新基础设施的安全、数据安全壁垒必须解决
“黄金时间”是关键:提前预警,从ER到IR,缩短响应速度、延长时间窗,等等
专业人员:需要足够多的专业人员
媒体管理理:新媒体和自媒体时代,发挥其优势,减少其副作用
素质教育:全民科学和安全素养的提升,需持续进行

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

阿里云最有价值专家,是专注于帮助他人充分了解和使用阿里云技术的意见领袖。

官方博客
官网链接
精彩专题