1.3　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力與方法

1.3.1　機(jī)構(gòu)、企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)應(yīng)具備的能力

網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，其中重大、特別重大的網(wǎng)絡(luò)安全事件也隨時(shí)有可能發(fā)生。因此，我們必須做好應(yīng)急準(zhǔn)備工作，建立快速、有效的現(xiàn)代化應(yīng)急協(xié)同機(jī)制，確保一旦發(fā)生網(wǎng)絡(luò)安全事件，能夠快速根據(jù)相關(guān)信息，進(jìn)行組織研判，迅速指揮調(diào)度相關(guān)部門執(zhí)行應(yīng)急方案，做好應(yīng)對(duì)，避免造成重大影響和重大損失。機(jī)構(gòu)、企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)應(yīng)具備以下能力。

1）數(shù)據(jù)采集、存儲(chǔ)和檢索能力

（1）能對(duì)全流量數(shù)據(jù)協(xié)議進(jìn)行還原；

（2）能對(duì)還原的數(shù)據(jù)進(jìn)行存儲(chǔ)；

（3）能對(duì)存儲(chǔ)的數(shù)據(jù)快速檢索。

2）事件發(fā)現(xiàn)能力

（1）能發(fā)現(xiàn)高級(jí)可持續(xù)威脅（Advanced Persistent Threat，APT）攻擊；

（2）能發(fā)現(xiàn)Web攻擊；

（3）能發(fā)現(xiàn)數(shù)據(jù)泄露；

（4）能發(fā)現(xiàn)失陷主機(jī)；

（5）能發(fā)現(xiàn)弱密碼及企業(yè)通用密碼；

（6）能發(fā)現(xiàn)主機(jī)異常行為。

3）事件分析能力

（1）能進(jìn)行多維度關(guān)聯(lián)分析；

（2）能還原完整殺傷鏈；

（3）能結(jié)合具體業(yè)務(wù)進(jìn)行深度分析。

4）事件研判能力

（1）能確定攻擊者的動(dòng)機(jī)及目的；

（2）能確定事件的影響面及影響范圍；

（3）能確定攻擊者的手法。

5）事件處置能力

（1）能在第一時(shí)間恢復(fù)業(yè)務(wù)正常運(yùn)行；

（2）能對(duì)發(fā)現(xiàn)的病毒、木馬進(jìn)行處置；

（3）能對(duì)攻擊者所利用的漏洞進(jìn)行修復(fù)；

（4）能對(duì)問(wèn)題機(jī)器進(jìn)行安全加固。

6）攻擊溯源能力

（1）具備安全大數(shù)據(jù)能力；

（2）能根據(jù)已有線索（IP地址、樣本等）對(duì)攻擊者的攻擊路徑、攻擊手法及背后組織進(jìn)行還原。

1.3.2　PDCERF（6階段）方法

PDCERF方法最早于1987年提出，該方法將應(yīng)急響應(yīng)流程分成準(zhǔn)備階段、檢測(cè)階段、抑制階段、根除階段、恢復(fù)階段、總結(jié)階段。根據(jù)應(yīng)急響應(yīng)總體策略為每個(gè)階段定義適當(dāng)?shù)哪康模鞔_響應(yīng)順序和過(guò)程。

但是，PDCERF方法不是安全事件應(yīng)急響應(yīng)的唯一方法。在實(shí)際應(yīng)急響應(yīng)過(guò)程中，不一定嚴(yán)格存在這6個(gè)階段，也不一定嚴(yán)格按照這6個(gè)階段的順序進(jìn)行。但它是目前適用性較強(qiáng)的應(yīng)急響應(yīng)通用方法。PDCERF方法模型如圖1.3.1所示。

1）準(zhǔn)備階段

準(zhǔn)備階段以預(yù)防為主。主要工作涉及識(shí)別機(jī)構(gòu)、企業(yè)的風(fēng)險(xiǎn)，建立安全政策，建立協(xié)作體系和應(yīng)急制度。按照安全政策配置安全設(shè)備和軟件，為應(yīng)急響應(yīng)與恢復(fù)準(zhǔn)備主機(jī)。依照網(wǎng)絡(luò)安全措施，進(jìn)行一些準(zhǔn)備工作，例如，掃描、風(fēng)險(xiǎn)分析、打補(bǔ)丁等。如有條件且得到許可，可建立監(jiān)控設(shè)施，建立數(shù)據(jù)匯總分析體系，制定能夠?qū)崿F(xiàn)應(yīng)急響應(yīng)目標(biāo)的策略和規(guī)程，建立信息溝通渠道，建立能夠集合起來(lái)處理突發(fā)事件的體系。

2）檢測(cè)階段

檢測(cè)階段主要檢測(cè)事件是已經(jīng)發(fā)生的還是正在進(jìn)行中的，以及事件產(chǎn)生的原因。確定事件性質(zhì)和影響的嚴(yán)重程度，以及預(yù)計(jì)采用什么樣的專用資源來(lái)修復(fù)。選擇檢測(cè)工具，分析異常現(xiàn)象，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別，估計(jì)安全事件的范圍。通過(guò)匯總，查看是否發(fā)生了全網(wǎng)的大規(guī)模事件，從而確定應(yīng)急等級(jí)及其對(duì)應(yīng)的應(yīng)急方案。

一般典型的事故現(xiàn)象包括：

（1）賬號(hào)被盜用；

（2）騷擾性的垃圾信息；

（3）業(yè)務(wù)服務(wù)功能失效；

（4）業(yè)務(wù)內(nèi)容被明顯篡改；

（5）系統(tǒng)崩潰、資源不足。

3）抑制階段

抑制階段的主要任務(wù)是限制攻擊/破壞波及的范圍，同時(shí)也是在降低潛在的損失。所有的抑制活動(dòng)都是建立在能正確檢測(cè)事件的基礎(chǔ)上的，抑制活動(dòng)必須結(jié)合檢測(cè)階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。

抑制策略通常包含以下內(nèi)容：

（1）完全關(guān)閉所有系統(tǒng)；

（2）從網(wǎng)絡(luò)上斷開主機(jī)或斷開部分網(wǎng)絡(luò)；

（3）修改所有的防火墻和路由器的過(guò)濾規(guī)則；

（4）封鎖或刪除被攻擊的登錄賬號(hào)；

（5）加強(qiáng)對(duì)系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控；

（6）設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息；

（7）關(guān)閉受攻擊的系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù)。

4）根除階段

根除階段的主要任務(wù)是通過(guò)事件分析找出根源并徹底根除，以避免攻擊者再次使用相同的手段攻擊系統(tǒng)，引發(fā)安全事件。并加強(qiáng)宣傳，公布危害性和解決辦法，呼吁用戶解決終端問(wèn)題。加強(qiáng)監(jiān)測(cè)工作，發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門問(wèn)題。

5）恢復(fù)階段

恢復(fù)階段的主要任務(wù)是把被破壞的信息徹底還原到正常運(yùn)作狀態(tài)。確定使系統(tǒng)恢復(fù)正常的需求內(nèi)容和時(shí)間表，從可信的備份介質(zhì)中恢復(fù)用戶數(shù)據(jù)，打開系統(tǒng)和應(yīng)用服務(wù)，恢復(fù)系統(tǒng)網(wǎng)絡(luò)連接，驗(yàn)證恢復(fù)系統(tǒng)，觀察其他的掃描，探測(cè)可能表示入侵者再次侵襲的信號(hào)。一般來(lái)說(shuō)，要想成功地恢復(fù)被破壞的系統(tǒng)，需要干凈的備份系統(tǒng)，編制并維護(hù)系統(tǒng)恢復(fù)的操作手冊(cè)，而且在系統(tǒng)重裝后需要對(duì)系統(tǒng)進(jìn)行全面的安全加固。

6）總結(jié)階段

總結(jié)階段的主要任務(wù)是回顧并整合應(yīng)急響應(yīng)過(guò)程的相關(guān)信息，進(jìn)行事后分析總結(jié)和修訂安全計(jì)劃、政策、程序，并進(jìn)行訓(xùn)練，以防止入侵的再次發(fā)生。基于入侵的嚴(yán)重性和影響，確定是否進(jìn)行新的風(fēng)險(xiǎn)分析，給系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)制作一個(gè)新的目錄清單。這一階段的工作對(duì)于準(zhǔn)備階段工作的開展起到重要的支持作用。

總結(jié)階段的工作主要包括以下3方面的內(nèi)容：

（1）形成事件處理的最終報(bào)告；

（2）檢查應(yīng)急響應(yīng)過(guò)程中存在的問(wèn)題，重新評(píng)估和修改事件響應(yīng)過(guò)程；

（3）評(píng)估應(yīng)急響應(yīng)人員相互溝通在事件處理上存在的缺陷，以促進(jìn)事后進(jìn)行更有針對(duì)性的培訓(xùn)。