從黑客攻擊聊聊事件響應(yīng)與事件管理!
原創(chuàng)作者丨陳峻
策劃丨孫淑娟
不知您是否留意到,我們這邊正在舉國(guó)上下歡慶春節(jié)和冬奧會(huì)開(kāi)幕之時(shí),遠(yuǎn)在歐洲大陸的德國(guó)卻傳來(lái)了,其主要石油儲(chǔ)存公司 Oiltanking,以及礦物油貿(mào)易公司 Mabanaft 的 IT 系統(tǒng)遭到黑客組織的持續(xù)網(wǎng)絡(luò)攻擊。由于他們的儲(chǔ)罐裝 / 卸載過(guò)程,完全依賴于已被攻擊下線的計(jì)算機(jī)系統(tǒng),因此無(wú)法從自動(dòng)化退回到手動(dòng)操作模式。此次中斷預(yù)計(jì)會(huì)給整個(gè)供應(yīng)鏈造成嚴(yán)重的影響。
遙想 2021 年 5 月,DarkSide 黑客集團(tuán)也曾利用勒索軟件,攻擊了美國(guó)最大燃油管道公司 Colonial Pipeline,并引起了油氣管道的計(jì)量系統(tǒng)無(wú)法運(yùn)行,進(jìn)而中斷服務(wù)。面對(duì)這些屢禁不止的惡意安全事件,我不禁利用這個(gè)春節(jié)長(zhǎng)假中,再次思考了事件響應(yīng)與事件管理的相關(guān)問(wèn)題。
事件響應(yīng)與事件管理的區(qū)別?
面對(duì)突發(fā)的各種網(wǎng)絡(luò)安全事件,我們通常考慮的是如何在最短的時(shí)間內(nèi),去消除事件的影響,甚至?xí)济右话炎ァ⒉〖眮y投醫(yī)。不過(guò),實(shí)際上事件響應(yīng)(Incident Response,IR)和事件管理(Incident Management,IM)是兩種截然不同的處置方式。理清它們之間的區(qū)別,將有助于我們從根本上更好的管控安全事件。
從定義上來(lái)看:
- 事件響應(yīng)主要包括對(duì)事件進(jìn)行檢測(cè)分類、深入分析、實(shí)施控制、減少影響、保護(hù)關(guān)鍵數(shù)據(jù)、資產(chǎn)與系統(tǒng)、以及采取技術(shù)恢復(fù)等具體的行動(dòng)要素。
- 事件管理主要涉及到安全事件響應(yīng)團(tuán)隊(duì)在各個(gè)處置階段所采取的不同流程,而且不限于技術(shù)流程。它包含了各種通信交流、升級(jí)轉(zhuǎn)發(fā)、以及事態(tài)報(bào)告等。可以說(shuō),它起到了將整個(gè)響應(yīng)的環(huán)節(jié)串聯(lián)起來(lái),形成一個(gè)有機(jī)整體的作用。
從人員上來(lái)看:
- 事件響應(yīng)是技術(shù)人員的主要職責(zé)。
- 事件管理則需要更廣泛的利益相關(guān)方(例如:法務(wù)部門、公關(guān)團(tuán)隊(duì)、合規(guī)人員、以及后勤保障等)開(kāi)展溝通與協(xié)作。
從目標(biāo)上來(lái)看:
- 事件響應(yīng)需要各個(gè)職能角色各司其職,通過(guò)快速檢測(cè)和修復(fù)損壞,來(lái)達(dá)到預(yù)定的技術(shù)要求。
- 事件管理則著眼于最小化安全事件對(duì)于整個(gè)業(yè)務(wù)的影響,最大程度地降低危害、防止組織因違規(guī)而招致的懲罰。
事件威脅建模?
眾所周知,事件響應(yīng)離不開(kāi)響應(yīng)團(tuán)隊(duì)成員和應(yīng)手的工具。常言道:“知己知彼,百戰(zhàn)不殆。”一套清晰全面的威脅模型,可以被用來(lái)詳細(xì)定義不同類型的安全威脅,概述組織會(huì)采取哪些略有區(qū)別地響應(yīng)措施,以及涉及到的角色和責(zé)任等。面對(duì)可以預(yù)見(jiàn)的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用等維度的安全威脅,業(yè)界常用 STRIDE 威脅建模,來(lái)識(shí)別潛在的漏洞,并建立響應(yīng)機(jī)制。該模型包含了六種不同的威脅類別:
- 欺騙身份(Spoofing identity),主要針對(duì)的是系統(tǒng)的身份認(rèn)證機(jī)制。攻擊者偽造的身份既可以是合法用戶本身,又可以是合法的技術(shù)調(diào)用或進(jìn)程。例如,典型的中間人攻擊(MIM)、網(wǎng)站木馬、郵件偽造等都屬于此類威脅。一旦獲得了易受攻擊系統(tǒng)的訪問(wèn)權(quán)限,攻擊者便可以截取敏感信息,進(jìn)而執(zhí)行深層次的攻擊。
- 篡改數(shù)據(jù)(Tampering with data),主要針對(duì)的是數(shù)據(jù)的完整性。攻擊者通過(guò)未經(jīng)授權(quán)的數(shù)據(jù)篡改,可以更改系統(tǒng)或應(yīng)用的配置文件,以獲得控制權(quán)、插入惡意代碼、甚至刪除日志。例如,數(shù)據(jù)包傳輸過(guò)程中的注入攻擊,以及由于執(zhí)行了錯(cuò)誤的代碼,而導(dǎo)致完整數(shù)據(jù)被損壞等都屬于此類威脅。對(duì)此,我們可以通過(guò)文件完整性監(jiān)控(File Integrity Monitoring,F(xiàn)IM),根據(jù)已創(chuàng)建的基線,去判斷和識(shí)別關(guān)鍵日志、配置與存儲(chǔ)文件是否被篡改。
- 否認(rèn)(Repudiation), 主要體現(xiàn)在攻擊者在執(zhí)行了非法操作后,隱匿其行蹤,以達(dá)到抵賴的效果。對(duì)此,我們可以通過(guò)審計(jì)用戶的登錄與執(zhí)行,采取簽名和哈希等手段,來(lái)增強(qiáng)追蹤惡意活動(dòng)的識(shí)別能力。
- 信息泄露(Information disclosure),主要體現(xiàn)在應(yīng)用或網(wǎng)站向未經(jīng)授權(quán)的用戶泄露敏感數(shù)據(jù)。例如,在有漏洞的系統(tǒng)進(jìn)行調(diào)用,可能會(huì)遭遇緩沖區(qū)溢出攻擊。同時(shí),中間人對(duì)于傳輸數(shù)據(jù)的截獲也屬于此類威脅。值得注意的是,它與前面提到的“欺騙身份”威脅不同,攻擊者是直接獲取到不該泄露的信息,而不需要通過(guò)假扮或欺騙合法用戶來(lái)得到。
- 拒絕服務(wù)(Denial of Service,DoS),主要體現(xiàn)在攻擊者迫使目標(biāo)系統(tǒng)的資源(如:處理或存儲(chǔ)能力等方面)不可被訪問(wèn)與使用、或完全無(wú)法受理正常服務(wù)請(qǐng)求。例如,各種 SYN 泛洪攻擊、TCP 復(fù)位攻擊、緩沖區(qū)溢出等都屬于此類威脅。對(duì)此,我們可以通過(guò)采用安全協(xié)議,完善配置,增加檢查等方式,來(lái)予以防范。
- 特權(quán)提升(Elevation of Privilege),主要體現(xiàn)在攻擊者在系統(tǒng)管理員不知情的狀態(tài)下,通過(guò)普通用戶獲得特殊訪問(wèn)權(quán),進(jìn)而破壞目標(biāo)系統(tǒng)。例如,用戶代碼超越緩沖區(qū),以更高權(quán)限執(zhí)行敏感操作。或是由于訪問(wèn)檢查的缺失或不當(dāng),導(dǎo)致攻擊者未經(jīng)授權(quán)地運(yùn)行了可執(zhí)行文件等。
盡管 STRIDE 是目前最為流行且有效的威脅建模與安全設(shè)計(jì)框架,不過(guò)如果您覺(jué)得它有些陳舊的話,則可以參考最新的零信任網(wǎng)絡(luò)(zero trust networks,ZTN)安全模型。它秉承的是“從不信任,始終驗(yàn)證”的概念,即:在任何用戶、資源或資產(chǎn)都是不可信的前提下,通過(guò)消除隱含的信任關(guān)系,并不斷驗(yàn)證每個(gè)階段的交互過(guò)程,來(lái)保護(hù)目標(biāo)組織和應(yīng)用系統(tǒng)。
無(wú)論是被部署在云端,還是在本地,零信任網(wǎng)絡(luò)作為一種持續(xù)評(píng)估和驗(yàn)證的關(guān)鍵性流程組件,可以在檢測(cè)過(guò)程中,為響應(yīng)團(tuán)隊(duì)提供有關(guān)的可疑訪問(wèn)請(qǐng)求、以及事件本身的詳細(xì)信息。我們可以通過(guò)如下方面對(duì)各類網(wǎng)絡(luò)攻擊,做出及時(shí)響應(yīng),并最大限度地減少損害。
- 假設(shè)違規(guī)。由于凡事都不可信,因此我們能夠從網(wǎng)絡(luò)中已存在著攻擊者的角度出發(fā),更加專注于阻止各種違規(guī)行為。
- 完整的可見(jiàn)性。我們能夠通過(guò)管理各種憑證、訪問(wèn)、操作、端點(diǎn)環(huán)境、以及基礎(chǔ)設(shè)施,來(lái)監(jiān)控用戶請(qǐng)求所對(duì)應(yīng)的身份、設(shè)備、應(yīng)用和數(shù)據(jù),這四種元素的詳細(xì)信息。而在驗(yàn)證過(guò)程中,一旦發(fā)現(xiàn)任何異常的訪問(wèn)嘗試,響應(yīng)團(tuán)隊(duì)都能準(zhǔn)確地關(guān)聯(lián)到特定的實(shí)體、應(yīng)用和數(shù)據(jù)上。
- 自動(dòng)化響應(yīng)。由于處于零信任狀態(tài),因此有待檢查的節(jié)點(diǎn)會(huì)更多。我們往往需要實(shí)施自動(dòng)化的檢測(cè)與緩解手段,并通過(guò)事件關(guān)聯(lián)來(lái)剔除誤報(bào),并自動(dòng)更改網(wǎng)絡(luò)訪問(wèn)規(guī)則,進(jìn)而構(gòu)建比手動(dòng)響應(yīng)更為有效的反應(yīng)機(jī)制。
當(dāng)然,沒(méi)有一種完全模型能夠完美到“團(tuán)滅”所有的威脅、或“包治百病”。我們應(yīng)當(dāng)根據(jù)實(shí)際情況,選用、調(diào)整或自定義某一種、或混用各種安全模型的用例,通過(guò)縮小信任區(qū)域范圍,制定出更快、更有效的響應(yīng)計(jì)劃。
事件嚴(yán)重級(jí)別?
光有定性的識(shí)別模型顯然是不夠的,我們?cè)趯?shí)踐中還需要有定量的指標(biāo)等級(jí),以便濾除“噪聲”,界定和分析事件。
從表面上看,嚴(yán)重性高的事件通常需要快速的響應(yīng),但是實(shí)際情況并非一成不變。由于在事件響應(yīng)的過(guò)程中,我們往往推崇的是“快速生效”。因此,對(duì)于某些低嚴(yán)重性事件而言,如果它們需要調(diào)用的資源較少,能夠立竿見(jiàn)影,起到迅速遏制事件在范圍與程度的效果,那么我們就可以將其視為高優(yōu)先級(jí)的處置目標(biāo),予以快速修復(fù)。可見(jiàn),事件的嚴(yán)重程度并不能完全決定了事件的優(yōu)先級(jí),我們需要從業(yè)務(wù)的角度,多方面綜合考慮。
當(dāng)然,最為穩(wěn)妥的方法應(yīng)該是:以事件對(duì)于業(yè)務(wù)的影響程度,來(lái)界定嚴(yán)重性級(jí)別。無(wú)論是服務(wù)級(jí)別目標(biāo)(Service Level Object,SLO)也好,還是服務(wù)級(jí)別約定(Service Level Agreement,SLA)也罷,它們都直接影響著我們?nèi)ゴ_定安全事件的嚴(yán)重性與優(yōu)先級(jí),并且會(huì)影響到如何配置人員與資源,以及是否按需升級(jí)響應(yīng)等級(jí)。在此,我以一個(gè) APP 的頁(yè)面平均加載時(shí)間為例,向您展示嚴(yán)重性與響應(yīng)的關(guān)系:
嚴(yán)重程度 | 狀況 | 客戶影響 | 涉及到利益相關(guān)方 |
1 | 頁(yè)面無(wú)法加載 | 客戶無(wú)法使用應(yīng)用服務(wù)違反SLA | 響應(yīng)團(tuán)隊(duì)執(zhí)行應(yīng)急方案,各部門展開(kāi)排查,告知管理層 |
2 | 頁(yè)面加載速度慢200% | 服務(wù)響應(yīng)極慢,客戶失去使用意愿 | 應(yīng)急響應(yīng)團(tuán)隊(duì)協(xié)同運(yùn)維團(tuán)隊(duì)排查,并向客戶發(fā)出警告 |
3 | 頁(yè)面加載速度慢50% | 服務(wù)響應(yīng)緩慢,客戶產(chǎn)生抱怨 | 運(yùn)維團(tuán)隊(duì)排查 |
4 | 頁(yè)面加載速度慢1%-10% | 大部分客戶未注意到 | 將事件錄入事件管理系統(tǒng),但無(wú)需立即升級(jí)或發(fā)出警告 |
通常,我們應(yīng)當(dāng)事先制定好一個(gè)包含了事件影響范圍和程度的等級(jí)關(guān)系矩陣。運(yùn)維人員和應(yīng)急響應(yīng)人員可以將收集到的指標(biāo)參數(shù),對(duì)應(yīng)到事先明確定義好的取值范圍中,進(jìn)而通過(guò)客觀且公式化結(jié)合方式(或是相乘、或是相加),來(lái)確定其嚴(yán)重性。
事件管理團(tuán)隊(duì)?
如前文所述,事件管理比事件響應(yīng)更加“高屋建瓴”,是一整套實(shí)踐流程和解決方案。它不但需要組織能夠管理好安全事件的發(fā)展走勢(shì),而且可以滿足所處環(huán)境中日益嚴(yán)苛的數(shù)據(jù)合規(guī)要求。此外,它還能夠讓各個(gè)利益相關(guān)方通過(guò)規(guī)范化的流程,避免同類事件的復(fù)發(fā)。
常言道:“凡事預(yù)則立,不預(yù)則廢。”事件管理切忌臨時(shí)抱佛腳。我們應(yīng)當(dāng)事先構(gòu)建好一個(gè)“召之即來(lái),來(lái)之能戰(zhàn)”的團(tuán)隊(duì)。在實(shí)踐中,一些組織會(huì)片面地認(rèn)為安全事件處理只和那些諳熟日常運(yùn)維的技術(shù)大咖有關(guān)。但其實(shí),若要真正管理好事件,少不了安全、基礎(chǔ)架構(gòu)與運(yùn)營(yíng)(I&O)、以及管理層的調(diào)兵遣將與有效溝通。
事件管理指標(biāo)?
如今已是大數(shù)據(jù)時(shí)代,我們擔(dān)心的不再是得不到必要的數(shù)據(jù)指標(biāo),而是向我們涌來(lái)的數(shù)據(jù)是否有用、是否能夠協(xié)助我們實(shí)施事件管理。以下便是一些常見(jiàn)的指標(biāo)類別,它們有助于隨著事件響應(yīng)的逐步推進(jìn),各方更好地把控安全事件的全局:
- 各類警告數(shù)量:我們可以通過(guò)衡量事件警告的不同類型、級(jí)別和數(shù)量,從宏觀上直接了解當(dāng)前的任務(wù)積壓。
- 平均檢測(cè)時(shí)間(Mean time to detect,MTTD):我們可以用來(lái)了解監(jiān)控工具的事件觸發(fā)效率,以及運(yùn)維人員對(duì)于事件威脅的敏感程度。
- 平均確認(rèn)時(shí)間(Mean time to acknowledge,MTTA):我們既可以用來(lái)判定對(duì)于事件分類的合理性,又能夠獲悉響應(yīng)團(tuán)隊(duì)剔除誤報(bào)的專業(yè)程度。
- 平均解決時(shí)間(Mean time to resolve,MTTR):指從事件響應(yīng)開(kāi)始,到業(yè)務(wù)服務(wù)完全恢復(fù)所需要的平均時(shí)間。它是組織在事件管理能力方面的直接體現(xiàn)。
- 預(yù)算消耗比例。這反映了團(tuán)隊(duì)在事先制定響應(yīng)計(jì)劃,并申請(qǐng)資源配置方面的規(guī)劃能力。為了避免出現(xiàn)“時(shí)間未半,卻已花光預(yù)算”的情況,團(tuán)隊(duì)?wèi)?yīng)當(dāng)實(shí)時(shí)根據(jù)該指標(biāo),靈活地調(diào)整事件處置的策略。
事件管理工具?
俗話說(shuō):“工欲善其事,必先利其器。”優(yōu)秀的工具往往能夠協(xié)助我們進(jìn)行事件的跟蹤、記錄、處置、以及最終的績(jī)效考評(píng)。在管理事件時(shí),我們通常會(huì)用到如下兩類工具:
- 即時(shí)通訊工具。在實(shí)踐中,許多組織都會(huì)通過(guò)此類工具,方便團(tuán)隊(duì)實(shí)時(shí)地以協(xié)同和會(huì)診的方式,去分析事件。各種圖文并茂的交流記錄,不但為事件的響應(yīng)和決策過(guò)程提供了豐富的第一手資料,而且方便了響應(yīng)過(guò)程的后期復(fù)盤。
- 事件管理工具。除了團(tuán)隊(duì)之間的人員溝通,我們也離不開(kāi)事件從生成時(shí)的捕獲,到原始信息的轉(zhuǎn)存,以及任務(wù)的分派等自動(dòng)化流轉(zhuǎn)的過(guò)程。在實(shí)踐中,我們常用到的此類工具包括:ServiceNow 和 OnPage 等。響應(yīng)團(tuán)隊(duì)不但可以在 PC 端上使用它們,還能夠通過(guò)智能手持設(shè)備接收到其推送的通知,并通過(guò)友好的界面,隨時(shí)隨地參與事件的協(xié)同處理。
事件回顧總結(jié)?
我們常說(shuō),沒(méi)有總結(jié)就沒(méi)有進(jìn)步。事后分析是事件管理的最后一個(gè)環(huán)節(jié),也是不可或缺的部分。團(tuán)隊(duì)成員可以查閱過(guò)往的處置記錄,回顧在整個(gè)響應(yīng)過(guò)程中,本應(yīng)該實(shí)施、卻由于某種原因并未能實(shí)現(xiàn)或拖延執(zhí)行的任務(wù),以及由此導(dǎo)致的失誤。據(jù)此,我們可以提高組織在如下方面的事件應(yīng)對(duì)能力:
- 以“左移”的方式提高事故預(yù)防能力
- 減少或消除服務(wù)中斷的停機(jī)時(shí)間
- 改善 MTTD、MTTA、以及 MTTR 等指標(biāo)
- 提高相關(guān)數(shù)據(jù)的保存與使用能力
- 通過(guò)頻繁廣泛的內(nèi)外部溝通,提供客戶的知情能力
與此同時(shí),通過(guò)撰寫(xiě)事后分析報(bào)告,主要利益相關(guān)方不但可以審查、并了解安全事件發(fā)生的根本原因,以及下一步相關(guān)部門與團(tuán)隊(duì)將如何通過(guò)整理,來(lái)防止此類事件的復(fù)發(fā),而且能夠督促響應(yīng)團(tuán)隊(duì)不斷改進(jìn)事件的響應(yīng)流程,優(yōu)化事件的管理效果,將這些“增量”知識(shí)變?yōu)椤按媪俊奔寄堋?/p>
小結(jié)?
綜上所述,無(wú)論事件響應(yīng)計(jì)劃、威脅建模、嚴(yán)重性劃分、團(tuán)隊(duì)處置能力、以及指標(biāo)與工具的使用,都會(huì)是一個(gè)需要不斷查缺補(bǔ)漏的動(dòng)態(tài)更新過(guò)程。無(wú)論您是事件響應(yīng)團(tuán)隊(duì)成員,還是事件管理的相關(guān)方,都應(yīng)該練就“不怕事,不避事,善處事”的心態(tài),不要將安全事件視為挫折,而將其看作歷練的機(jī)會(huì)。
作者介紹?
陳 峻 (Julian Chen),51CTO 社區(qū)編輯,具有十多年的 IT 項(xiàng)目實(shí)施經(jīng)驗(yàn),善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控,專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn);持續(xù)以博文、專題和譯文等形式,分享前沿技術(shù)與新知;經(jīng)常以線上、線下等方式,開(kāi)展信息安全類培訓(xùn)與授課。
編輯招募?
如果您是一名具有獨(dú)到見(jiàn)解并樂(lè)于分享的技術(shù)人,有時(shí)間、精力以及激情改變和提升自我,邀請(qǐng)您加盟 51CTO 社區(qū)編輯團(tuán)隊(duì),成為一名社區(qū)編輯。
請(qǐng)發(fā)送郵件到 editor@51cto.com,做下自我介紹,包括但不限于您所在公司,職位,關(guān)注的技術(shù)領(lǐng)域,建立的微信公眾號(hào) / 博客 / 網(wǎng)站等,之前撰寫(xiě)或翻譯的文章或者書(shū)籍,個(gè)人 Github 鏈接等。
