应急响应是既紧急又重要的工作,对工程师的技术与意识都有一定的要求,比如很多安全工程师接到业务系统被黑的情报后,可能会联系业务负责人要到服务器账户,然后登录到服务器中检查被渗透的痕迹与后门。这段时间非常宝贵,反映太慢可能会使一些本来可以快速平息的安全小事件发酵成造成重大的损失安全事故。对于应急响应,首先要了解应急响应的指导原则与方法论,只关注技术的话,可能会本末倒置。其次要求应急人员有较高的入侵检测能力,否则在排查被入侵的系统时,上去查了半天啥也发现不了,最后给出的结论是安全的。
应急响应的准备阶段:有条件的话,自上而下达成应急响应共识,建立应急响应流程与应急响应小组,由应急小组全权负责对紧急安全事件的处理、资源协调工作,应急小组的成员除了技术负责人外,还要有公关负责人,方便在必要的时候,根据安全团队的建议对外进行公关。 对于没有条件建立应急响应流程的安全部门来说,最基本的要做好以下准备: 至少要有入侵检测的能力及具备相应技能的应急响应人员,否则登录上去也查不出啥,甚至给出错误的结论,最好能准备一套有效的入侵检测工具; 维护一份各业务系统的资产列表,应急联系人列表,否则出事了后,安全工程师自下而上找一圈也找不到相应的负责人配合处理,会错过最佳处理时机。
应急响应准备的工作内容主要有2个:一是对信息系统进行初始化的快照;二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。在恢复阶段,恢复方式包含2种:一是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化;二是在应急处理方案中未列明所有系统变化的情况下,重装系统。跟进阶段的目的是通过对系统的审计(进行完整的检测流程),确认系统有没有被再入侵。
上一篇:工控安全服务的相关介绍
下一篇:开源情报的介绍及其技术特点