应急响应:CIO实施工作的锦囊妙计
计算机网络安全应急小组要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
网络安全的“木桶原理”是每位CIO最熟悉也最担心的问题,大家都在寻找网络中的“短板”,但CIO会发现这只木桶变大了,因为它里面盛的水(网络应用)越来越多,“短板漏水现象”自然而然地频繁发生在CIO的身边。
由于很多企业对信息系统的依赖程度越来越高,纷纷根据自己的业务重要程度建立起自己的应急响应中心,面对这些突来的网络攻击与安全事件。这些围绕在CIO身边的安全工程师是如何建立起主动防御体系?如何第一时间做出反应?是一个棘手的问题。
报告的分量
随着资源共享和网络的发展,计算机安全问题初步显露。1967年秋,美国国防部委托兰德公司为首的多个研究机构和企业,进行了美国历史上第一次大规模的计算机安全风险评估,历时数年。1970年初出版了一个长达数百页的机密报告《计算机安全控制》,这也就是现在信息安全的基础,这为信息安全应急响应小组的出现作了充分的理论基础准备。
1995年12月美国国防部提出了信息安全的动态模型,即“防护→监测→反应”多环节保障体系,后通称“PDR模型”,这是确定应急响应在安全防护体系中决定地位的标志。
应急响应(Emergency Response或Incident Response),其含义是指:安全技术人员在遇到突发事件后所采取的措施和行动。例如:黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。随着历史车轮的前进,应急响应也从主机范畴的问题,发展到网络范畴内的问题,一直到2000年之后出现的大量带有情感因素的员工事件。
一般来讲,应急响应是在攻击开始之后,但CSIRT(计算机网络安全应急小组)的建立是在安全事件之前。因为,如果能够做到在系统被攻克之前发现,就可以实现主动地安全防护,提升信息系统的安全等级。
可见,弱点扫描和安全评估、对员工的信息安全教育等,都是CIO需要CSIRT作的第一件事,一份包含企业所有信息平台上的漏洞报告和处理意见是一个信息主管决胜“短板”的法宝。
CSIRT依据有关信息安全技术与管理标准,对组织的信息系统及其传输和存储的信息,针对机密性、完整性和可用性等安全属性进行评价。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
很多时候,由于信息系统的庞大,CSIRT都会舍弃手工整理,进而采用弱点扫描软件和设备进行。早期的手工阶段,在工作量没有减少多少的情况下,经常会漏掉一两个设备,而且由于漏洞扫描工具的不同,安全报告需要重新整理。尤其是国内用户,还需要花大量时间进行文档翻译。
在与很多网络安全服务公司工程师的接触中,发现他们很多人都是利用公司自行研发的,或者利用一些操作系统(网络设备厂商)自带的安全诊断程序进行扫描,然后再手工生成报告,比如常见的漏洞扫描(Vulnerability Scanning)工具:ISS Internet Scanner、Qualys Guarde、Eye Retina以及Microsoft 安全评估工具。这些软件不但能够对弱点扫描,而且还会生成一份如何修补的实施报告。
CSIRT与IDS如何相处
虽然信息安全的意识概念早已植入了CIO的大脑,但一些使用信息系统的员工风险意识依旧淡薄,他们信息安全知识不足,却津津乐道“太平盛世”。尤其是一些主管财务的人员经常对花费大量人力和财力维持的防御系统视之为“鸡肋”。
这种想法会随着时间效应,潜移默化地感染着CSIRT,比如:很多网络中的IDS都可能出现误报,而误报几次之后,CSIRT紧急会议是否需要召开就成了CIO的“鸡肋”。随着“狼来了”次数增多,当真的是“狼”已经吃掉了“羊”,恐怕就不是为时已晚的问题了。
几乎所有的IDS都会提供对报警事件的详细描述,报警事件的描述一般包括:事件名称、事件介绍、发布日期、影响的平台和解决的方法。对于缺乏安全经验的网络管理员来说,可能觉得每个警报日志都必须汇报给信息安全主管,而反复几次出现无用功的话,大多数人可能都对IDS的警报冷眼旁观了。
这就为IDS设备和管理员提出了更高的要求。例如:升级IDS检测代码加强预报的准确性,更改IDS的报警阀值,更改警报筛选策略等。
很多IDS提供了防火墙联动的功能,但是在事件的描述中只字不提如何利用联动阻止攻击,管理员应当充分和厂商技术支持人员保持在线联系,将IDS的联动功能与其他网络设备配置使用。只有这样才能在真正出现安全攻击的时候,将损失抑制到最小。应急响应中的抑制措施十分重要,因为太多的安全事件可能会在你的网络中迅速失控,典型的例子就是具有蠕虫特征的恶意代码的感染。
零时间恢复与证据收集的矛盾
最新的一项调查数据表明,证券金融行业平均可容忍的最大停机时间是2天,没有实施灾难备份措施的公司在遇到灾难后60%将在2~3年内破产。所以,应急响应的第一项任务就是要尽快恢复系统或网络的正常运转。
在有些情况下,用户最关心的是多长时间能恢复正常,因为系统或网络的中断是带来损失的主要因素。很多机构的信息传达和通报系统一旦出现突发的信息中断,会导致大部分业务暂时或者长时间无法继续运行,将给整个业务带来无法挽回的损失,“零”时间恢复似乎成了大家追捧的响应策略。
恢复阶段是指在出现破坏事件后处理事务和数据恢复的全面状态,是对于紧急事件的应对过程。
最直接而快速的恢复方法当然是通过备份,在一个时间段内恢复主站的正常运行,使企业的损失最小化,这个时间段的长短是CSIRT技术水平与存储备份系统的恢复速度的体现。很多企业可以迅速恢复被破坏的系统,例如建立双机热备等。
