開個(gè)腦洞:如果讓復(fù)聯(lián)來響應(yīng)安全事故
原創(chuàng)【51CTO.com原創(chuàng)稿件】《復(fù)仇者聯(lián)盟 4》的戰(zhàn)斗已經(jīng)打響了,費(fèi)了比搶春運(yùn)火車票更大勁兒才搶到電影票的 Tony 同學(xué),此刻心里一直祈禱著......
這次觀影時(shí)不要再出現(xiàn)上次那樣:在滅霸打了響指后,公司的網(wǎng)站服務(wù)系統(tǒng)就鬼使神差地遭到拒絕訪問的攻擊,應(yīng)急電話打到手機(jī)上,催他迅速歸隊(duì)的窘境。
當(dāng)他跑出影院的那一刻,心里居然對(duì)“紫薯怪”的那句“Today,I lost more than you know.”產(chǎn)生了強(qiáng)烈共鳴。
的確,正所謂“事故無假期”。天真爛漫的您是否想過:如果在每次出現(xiàn)安全事故的時(shí)候,都有硬核的復(fù)仇者聯(lián)盟趕過來救場(chǎng),讓您和您的團(tuán)隊(duì)能夠繼續(xù)放飛自我、歡樂地玩耍,該有多好啊。
好吧,如您所愿,讓我們來一起設(shè)想一下,這些超級(jí)英雄們將如何進(jìn)行事故響應(yīng)與處置。下面,我們將從人員、流程、演練,這三個(gè)維度展開暢想與討論。
人員架構(gòu)
如今,隨著安全意識(shí)的增強(qiáng),很多企業(yè)都在他們的內(nèi)部組建了專門的處理團(tuán)隊(duì)。
這些團(tuán)隊(duì)或被稱為計(jì)算機(jī)事故響應(yīng)團(tuán)隊(duì)(CIRTs)、也可以被叫做計(jì)算機(jī)安全事故響應(yīng)團(tuán)隊(duì)(CSIRT)。
那么對(duì)標(biāo)到復(fù)聯(lián)里,我們來具體看看響應(yīng)團(tuán)隊(duì)的成員架構(gòu)、以及職能:
處置流程
沒事的時(shí)候,復(fù)聯(lián)的超級(jí)英雄們可以將史塔克大廈里當(dāng)作應(yīng)急響應(yīng)指揮部(war room)。
他們不但可以一起吃比薩、開轟趴,也可以聚在一起討論和制定應(yīng)急響應(yīng)的處置流程。
就像滅霸夢(mèng)寐以求的那六顆無 限寶石一樣,他們討論得出的如下六個(gè)步驟,同樣對(duì)于安全事故的管控來說也是彌足珍貴的。
①力量寶石:前期準(zhǔn)備
這個(gè)階段主要是由計(jì)劃設(shè)計(jì)師--猩紅女巫來發(fā)揮作用。她需要參考本企業(yè)和系統(tǒng)的以往事故報(bào)告,根據(jù)最 大允許中斷時(shí)間 MTD(應(yīng)保證RTO+WRT
參照業(yè)界常規(guī)的處置標(biāo)準(zhǔn)與方法,來定義事故的級(jí)別(從一般性的事件到嚴(yán)重的災(zāi)難),分類不同的故障中斷種類,并根據(jù)現(xiàn)有的資源,制定相應(yīng)的應(yīng)急響應(yīng)計(jì)劃。
作為輸出,此階段交付成果包括:緊急聯(lián)系人列表、業(yè)務(wù)單元優(yōu)先級(jí)列表、事故界定與分類參考表、嚴(yán)重性矩陣參考表、以及具體的應(yīng)急響應(yīng)計(jì)劃與 BCP 等。
這些結(jié)果應(yīng)及時(shí)得到高級(jí)管理層--尼克·弗瑞,以及其他神盾局的大神,如菲爾·寇森等的批準(zhǔn),并下發(fā)到其他業(yè)務(wù)部門聽取反饋意見。
②空間寶石:檢測(cè)與識(shí)別
這個(gè)階段主要是由值守監(jiān)控員--鷹眼俠來發(fā)揮作用。他可以通過如下兩個(gè)渠道來獲悉安全事故:
- 企業(yè)面向內(nèi)部的服務(wù)幫助臺(tái)(Service desk),以及面向外部的熱線電話(Hot line),都可以接報(bào)從內(nèi)、外部用戶處上報(bào)而來的系統(tǒng)故障、或是服務(wù)中斷事故信息。他們通過詳細(xì)問答的方式,了解并收集到關(guān)于事故的第 一手資料,然后以手工錄入的方式導(dǎo)入統(tǒng)一的管理平臺(tái),以備下一步跟蹤處理。
- 自動(dòng)化工具平臺(tái)對(duì)系統(tǒng)中的各個(gè)服務(wù)模塊、及部件的日志進(jìn)行讀取,然后通過安全信息與事件管理系統(tǒng)(SIEM)中的用戶及實(shí)體行為分析(UEBA)服務(wù),進(jìn)行綜合性的數(shù)據(jù)分析。
面對(duì)用戶告知的帶有主觀色彩的報(bào)告、以及撲面而來的海量平臺(tái)信息,鷹眼哥需要進(jìn)一步根據(jù)自己的經(jīng)驗(yàn)、以及猩紅女巫在上一步制定好的事故分類標(biāo)準(zhǔn),進(jìn)行剔除誤報(bào)和初步分揀定級(jí)等操作。
其中,他可以參考的分類依據(jù)包括:網(wǎng)絡(luò)與云端服務(wù)的中斷,系統(tǒng)漏洞的攻擊,主機(jī)與網(wǎng)站的惡意代碼注入,程序的缺陷與終止,信息的篡改、泄漏與刪除,硬件設(shè)備的故障,以及大面積的災(zāi)害等。
作為輸出,此階段交付的成果包括:安全事故的原始記錄,和事故性質(zhì)與嚴(yán)重性報(bào)告等。
這些結(jié)果應(yīng)及時(shí)流轉(zhuǎn)到響應(yīng)團(tuán)隊(duì)執(zhí)行經(jīng)理--美國(guó)隊(duì)長(zhǎng)處。當(dāng)然,如果情況嚴(yán)重的話,他還應(yīng)迅速通知到高級(jí)管理層--尼克·弗瑞那里。
③現(xiàn)實(shí)寶石:調(diào)查與取證
這個(gè)階段主要是由安全調(diào)查專家--黑寡婦來發(fā)揮作用。她可以從主機(jī)系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)、軟件應(yīng)用、存儲(chǔ)介質(zhì)四個(gè)邏輯層面,以及現(xiàn)場(chǎng)物品等物理層面上,開展調(diào)查與取證工作。
為了保證各種電子證據(jù)與實(shí)物證據(jù)的“三性”原則,寡姐應(yīng)通過設(shè)置只讀和產(chǎn)生消息摘要等手段,嫻熟地捕獲和保護(hù)好證據(jù)鏈,使之滿足電子發(fā)現(xiàn)等合規(guī)的要求。
當(dāng)然,在進(jìn)一步分析的過程中,如果碰到比較棘手或者是涉及到法規(guī)層面的問題,她可以去尋求法律代表--洛基的幫助。
話說回來,我們不能保證洛基是否還對(duì)當(dāng)年與寡姐的相互審問耿耿于懷(請(qǐng)參見《復(fù)聯(lián)1》)。
在取證的同時(shí),定損與跟蹤專家--蟻人開始深入調(diào)查原因,并界定系統(tǒng)的受損程度。
具體說來,他主要是從數(shù)量與程度兩個(gè)維度,分析那些丟失、破壞或暴露了的數(shù)據(jù)與物理資產(chǎn)。當(dāng)然,他的工作也會(huì)涉及到對(duì)一些滯后、間接影響的評(píng)估。
作為輸出,此階段交付的成果包括:寡姐誠(chéng)邀蟻人共同向管理層和美隊(duì)提交取證、調(diào)查和評(píng)估的結(jié)果。
④靈魂寶石:報(bào)告與公關(guān)
再不讓鋼鐵俠出場(chǎng)的話,估計(jì)他要?dú)獗恕W鳛楣碴P(guān)系與溝通角色,他雖然不涉及到使用具體的技術(shù),來處理安全事故所帶來的危害,但是他是整個(gè)處置環(huán)節(jié)中不可缺少的潤(rùn)滑劑。
為了實(shí)現(xiàn)有效的危機(jī)管理,他需要做到如下幾個(gè)方面:
- 參考猩紅女巫整理的聯(lián)系人列表,以郵件、電話、微信、甚至是廣播的形式,通知該安全事故所波及到的內(nèi)部相關(guān)人員。
- 按照“快報(bào)事實(shí)、慎報(bào)原因”的原則,向客戶、合作方以及外部調(diào)查部門提供事故情況說明、以及必要的技術(shù)問題解答。
- 在披露的時(shí)間與頻率、以及可能帶有當(dāng)事人隱私等方面,他應(yīng)誠(chéng)邀洛基協(xié)助審閱。當(dāng)然,心眼小的洛基也可能為了當(dāng)年鋼鐵俠的那句“小鹿斑比”,而直接目送他“入坑”(請(qǐng)參見《復(fù)聯(lián) 1》)。
- 還需要和洛基“牽手”一次的是,他們應(yīng)共同整理核對(duì)相關(guān)合同與約定,特別是那些其中涉及到的責(zé)任賠付條款。
⑤時(shí)間寶石:補(bǔ)救與恢復(fù)
真正的系統(tǒng)補(bǔ)救戰(zhàn)斗,在這個(gè)階段才正式打響。此時(shí)出場(chǎng)的是“黑綠紅藍(lán)組合”,他們是:
- 負(fù)責(zé)基礎(chǔ)設(shè)施的保障與恢復(fù)工作的黑豹
- 負(fù)責(zé)系統(tǒng)與主機(jī)恢復(fù)工作的綠巨人
- 負(fù)責(zé)網(wǎng)絡(luò)搭建與恢復(fù)工作的蜘蛛俠
- 以及負(fù)責(zé)軟件應(yīng)用恢復(fù)與調(diào)試工作的幻視
不言而喻,在此環(huán)節(jié)中,他們會(huì)根據(jù)寡姐和蟻人的階段性成果,各司其職展開抑制、恢復(fù)、及根除等工作。
其中,值得他們注意方面包括如下四點(diǎn):
- 針對(duì)猩紅女巫給定的業(yè)務(wù)單元優(yōu)先級(jí)列表,制定帶有時(shí)間節(jié)點(diǎn)的抑制與補(bǔ)救策略。
- 在恢復(fù)的過程中,各路英雄要注意溝通與交流,應(yīng)避免在自顧不暇時(shí),忙中出錯(cuò)、產(chǎn)生衍生破壞、甚至是“坑害”隊(duì)友的情況。
- 在取得階段性成果(milestone)后,要請(qǐng)業(yè)務(wù)單位負(fù)責(zé)人、以及美隊(duì)予以確認(rèn)。
- 碰到技術(shù)難題,Hold 不住的時(shí)候,可以請(qǐng)出外部技術(shù)專家--錘哥。讓他調(diào)用自己的神族資源,另辟蹊徑地解決問題。
不過,該過程最怕的是:人人都以為自己是大牛,都能掌控全局,因此需要美隊(duì)從中協(xié)調(diào)。
特別是對(duì)于那些耗時(shí)耗力的恢復(fù)任務(wù),大家要做到既有條不紊、又協(xié)作推進(jìn)。
不然,正如《復(fù)聯(lián) 3》最 后那樣,滅霸還被沒咋地,聯(lián)盟就已經(jīng)自損過半、CP 東南飛。
⑥心靈寶石:總結(jié)與整改
正如電影劇情安排的那樣,消失了將近 30 年的事后整改牽頭人--驚奇隊(duì)長(zhǎng)雖然出場(chǎng)較晚,但是她的實(shí)力能夠起到一定的“兜底”作用(請(qǐng)參見《復(fù)聯(lián) 3》)。
在安全事故處理已畢,大家正準(zhǔn)備“領(lǐng)盒飯”時(shí),她卻“開掛”了。下面我們來看看這位女戰(zhàn)士是如何展現(xiàn)她的超強(qiáng)執(zhí)行力:
- 回顧并文檔化整個(gè)事故的處置過程。
- 對(duì)前面各個(gè)階段的響應(yīng)速度和處理效果進(jìn)行評(píng)審,重點(diǎn)分析在實(shí)戰(zhàn)中偏離了猩紅女巫既定的應(yīng)急響應(yīng)計(jì)劃的部分。
- 向尼克·弗瑞等管理層提交問題根除的整改方案。
- 定期對(duì)當(dāng)前系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估(RA),引導(dǎo)相關(guān)團(tuán)隊(duì)進(jìn)行有針對(duì)性的自查,防止類似事故的復(fù)發(fā)。
- 與猩紅女巫合作,通過變更流程來按需更新應(yīng)急響應(yīng)中的步驟要點(diǎn)。
- 向“地球民眾”發(fā)放滿意度調(diào)查問卷,或接受管理層對(duì)于響應(yīng)績(jī)效的考評(píng)(請(qǐng)參見《美隊(duì) 3:內(nèi)戰(zhàn)》)。
測(cè)試演練
眾所周知,上面教科書式的處置流程,最怕出現(xiàn)計(jì)劃與現(xiàn)實(shí)相脫節(jié)的情況。
因此,為了保證復(fù)聯(lián)英雄們?cè)陉P(guān)鍵時(shí)候能夠招之即來、來之能戰(zhàn)、戰(zhàn)之能勝,他們需要定期、以及按需地開展測(cè)試演練。
測(cè)試演練的好處與內(nèi)容包括如下方面:
- 讓團(tuán)隊(duì)的每個(gè)成員都能夠明確、熟悉并掌握,自己在應(yīng)急處理中的角色與職能,進(jìn)而彌補(bǔ)或改進(jìn)手頭上的技能短板。
- 通過模擬戰(zhàn)斗,發(fā)現(xiàn)猩紅女巫在計(jì)劃設(shè)計(jì)中的不足之處,以及找到需要互動(dòng)協(xié)調(diào)的地方。
- 以 PDCA 的方式,對(duì)現(xiàn)有的行動(dòng)方案進(jìn)行推陳出新,讓每個(gè)成員都能樹立成功處置安全事故的信心。
- 在應(yīng)對(duì)事故時(shí),考察各一項(xiàng)人力物力資源的調(diào)配情況。如果出現(xiàn)上述主要崗位的超級(jí)英雄沒滅掉(請(qǐng)參見《復(fù)聯(lián) 3》)的情況,則需要按照接班人計(jì)劃(Line of succession)及時(shí)補(bǔ)上新的英雄。
- 當(dāng)然,就是全部被消滅了的話,我們地球人不是還有 DC 的正義者聯(lián)盟嗎?(漫威迷們不要噴我…)
結(jié)語
英雄和我們凡人一樣,也會(huì)有各種小脾氣,他們之間甚至?xí)榱撕没讯a(chǎn)生內(nèi)部摩擦,甚至?xí)蚱?ldquo;內(nèi)戰(zhàn)”。
但是在面對(duì)共同的敵人--滅霸所造成的系統(tǒng)安全事故時(shí),大家應(yīng)當(dāng)能夠摒棄前嫌,生死看淡,不服就干才是。
知否?知否?現(xiàn)實(shí)工作中,復(fù)聯(lián)并不會(huì)真的飛來為我們企業(yè)的安全事故“接盤”。
為了不再出現(xiàn) Tony 觀影時(shí)被緊急電話叫走的尷尬,也為了避免匆忙地將事故處理成“比悲傷更悲傷的故事”,我們需要從上述人員架構(gòu)、處置流程、以及測(cè)試演練,這三個(gè)維度貫徹到事故響應(yīng)的整個(gè)生命周期之中。
作者:陳峻
陳峻(Julian Chen) ,有著十多年的 IT 項(xiàng)目、企業(yè)運(yùn)維和風(fēng)險(xiǎn)管控的從業(yè)經(jīng)驗(yàn),日常工作深入系統(tǒng)安全各個(gè)環(huán)節(jié)。作為 CISSP 證書持有者,他在各專業(yè)雜志上發(fā)表了《IT運(yùn)維的“六脈神劍”》、《律師事務(wù)所IT服務(wù)管理》 和《股票交易網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)計(jì)》等論文。他還持續(xù)分享并更新《廉環(huán)話》系列博文和各種外文技術(shù)翻譯,曾被(ISC)2 評(píng)為第九屆亞太區(qū)信息安全成就表彰計(jì)劃的“信息安全踐行者”和 Future-S 中國(guó) IT 治理和管理的 2015 年度踐行人物。
【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】
