這個(gè)世界沒(méi)有絕對(duì)的安全，所有資產(chǎn)要么已經(jīng)被攻破，要么正處在被攻破的路上。而應(yīng)急響應(yīng)能在一定程度上緩解系統(tǒng)被黑客攻擊后帶來(lái)的負(fù)面影響。通常情況下，應(yīng)急響應(yīng)是指通過(guò)評(píng)估網(wǎng)絡(luò)安全事件的嚴(yán)重程度來(lái)確定受影響用戶和資產(chǎn)的范圍，然后提供補(bǔ)救措施阻止攻擊的過(guò)程，以便入侵者不再能夠訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

 

　　當(dāng)下企業(yè)“應(yīng)急響應(yīng)”兩大難題

 

　　在現(xiàn)如今的應(yīng)急響應(yīng)過(guò)程中，安全人員遇到兩大難題：一方面是企業(yè)資產(chǎn)無(wú)限膨脹導(dǎo)致響應(yīng)時(shí)候的精準(zhǔn)定位非常困難，其次是當(dāng)下安全工具誤報(bào)率高導(dǎo)致響應(yīng)的時(shí)候存在大量無(wú)效勞動(dòng)。

 

　　1)資產(chǎn)爆發(fā)式增長(zhǎng)帶來(lái)的困惑

 

　　隨著資產(chǎn)呈幾何級(jí)增長(zhǎng)，傳統(tǒng)安全方案無(wú)法對(duì)復(fù)雜的、不同類(lèi)型的、快速變化的資產(chǎn)攻擊面進(jìn)行管理。而那些暴露的資產(chǎn)就像一個(gè)氣球，企業(yè)的資產(chǎn)越多，面臨的攻擊面也就越大。

 

　　如果沒(méi)有完整的、詳細(xì)的主機(jī)資產(chǎn)清單，應(yīng)急響應(yīng)就是一句空話。任何人都無(wú)法保護(hù)“未知”東西的安全。雖然在過(guò)去很長(zhǎng)一段時(shí)間內(nèi)，在定義網(wǎng)絡(luò)邊界后，在封閉的IT環(huán)境中，對(duì)所有硬件、軟件和網(wǎng)絡(luò)元素進(jìn)行統(tǒng)計(jì)和監(jiān)視還是可控的。但是現(xiàn)在隨著云計(jì)算等新技術(shù)的快速發(fā)展，企業(yè)IT資產(chǎn)呈現(xiàn)幾何級(jí)增長(zhǎng)，很多企業(yè)運(yùn)維人員、安全人員都說(shuō)不清自己到底有多少資產(chǎn)。因此在發(fā)生安全事件后，也很難采取有效的應(yīng)急響應(yīng)。此時(shí)迫切需要一雙“透視鏡”，能夠深入看清、看透企業(yè)資產(chǎn)狀況。

 

　　2)大量誤報(bào)導(dǎo)致的無(wú)效勞動(dòng)

 

　　一般來(lái)說(shuō)，很多企業(yè)安全團(tuán)隊(duì)的規(guī)模都較小，大量誤報(bào)會(huì)消耗它們大量的精力而忽略了那些真正的威脅。比如，IDS/IPS每天可能會(huì)產(chǎn)生好幾萬(wàn)個(gè)個(gè)警報(bào)，這其中包含了大量誤報(bào)。這超出了大多數(shù)事件響應(yīng)人員的處理能力。此外，防火墻作為網(wǎng)絡(luò)安全防護(hù)的外圍墻，通常每分鐘會(huì)以數(shù)萬(wàn)個(gè)事件的速度向syslog的注入大量?jī)?nèi)容。分析處理這些海量數(shù)據(jù)，這對(duì)于安全人員而言這是巨大挑戰(zhàn)。

 

　　在這樣的背景之下，安全人員在做應(yīng)急響應(yīng)時(shí)，需要戴“降噪耳機(jī)”，才能成功地把注意力集中到重要的事情上。即便對(duì)于那些擁有足夠資源的應(yīng)急響應(yīng)團(tuán)隊(duì)，他們也不太可能安排人員調(diào)查來(lái)自SEIM、IPS或其它監(jiān)控方案每一個(gè)警報(bào)。

 

　　如何快速、輕松地完成應(yīng)急響應(yīng)的解決方案

 

　　青藤云安全提供豐富的專(zhuān)家級(jí)應(yīng)急響應(yīng)任務(wù)平臺(tái)，可通過(guò)統(tǒng)一管理平臺(tái)靈活分配響應(yīng)任務(wù)，在幾分鐘內(nèi)完成應(yīng)急響應(yīng)工作。從本質(zhì)上講，青藤應(yīng)急響應(yīng)模型通過(guò)為每個(gè)事件添加上下文，并精確定位異常行為，來(lái)幫助安全人員進(jìn)行應(yīng)急響應(yīng)，包括三個(gè)主要問(wèn)題：

 

　　(1)用戶是誰(shuí)?

 

　　(2)它們?cè)L問(wèn)哪些主機(jī)?

 

　　(3)用戶在這些主機(jī)上運(yùn)行哪些進(jìn)程?

 

　　一旦填充了這些數(shù)據(jù)集，應(yīng)用響應(yīng)模型就能得到很好應(yīng)用。例如，用戶從一個(gè)新的外國(guó)IP地址登錄，大多數(shù)SIEM解決方案都會(huì)發(fā)出警告，實(shí)際上僅憑這一條信息很難確認(rèn)該活動(dòng)是惡意的還是良性的。通過(guò)青藤的應(yīng)急響應(yīng)模型，自動(dòng)導(dǎo)入用戶、主機(jī)和進(jìn)程的上下文數(shù)據(jù)，以幫助驗(yàn)證警報(bào)。

 

　　下面以一個(gè)黑客入侵為例，還原整體入侵操作過(guò)程。在整個(gè)入侵過(guò)程中，Webshell文件的操作記錄已被刪除，而二次產(chǎn)生的Rootkit十分隱蔽，給應(yīng)急響應(yīng)工作帶去極大麻煩。

 

　　(1)黑客利用Web漏洞入侵。

 

　　(2)上傳Webshell。

 

　　(3)利用Webshell制造高級(jí)后門(mén)Rootkit。

 

　　(4)清除日志并刪除上傳的Webshell。

 

　　通過(guò)青藤云安全快速應(yīng)急響應(yīng)平臺(tái)，通過(guò)將大數(shù)據(jù)中的進(jìn)程、服務(wù)、端口創(chuàng)建的過(guò)程、及訪問(wèn)連接關(guān)系還原入侵過(guò)程。讓?xiě)?yīng)急響應(yīng)者清楚知道黑客是通過(guò)哪臺(tái)主機(jī)進(jìn)來(lái)，進(jìn)來(lái)后都進(jìn)行了哪些操作，可根據(jù)webshell訪問(wèn)的時(shí)間節(jié)點(diǎn)，對(duì)時(shí)間節(jié)點(diǎn)前后服務(wù)器上新增的文件及被篡改的文件進(jìn)行檢索和展示，快速定位可疑文件。

 

　　寫(xiě)在最后

 

　　由青藤統(tǒng)一應(yīng)急響應(yīng)平臺(tái)進(jìn)行快速響應(yīng)，能大幅度縮減響應(yīng)周期，可對(duì)安全入侵事件進(jìn)行快速反擊。同時(shí)，在響應(yīng)時(shí)可快速定位被入侵服務(wù)器所運(yùn)行的業(yè)務(wù)應(yīng)用及存在的漏洞風(fēng)險(xiǎn)，為應(yīng)急響應(yīng)提供更多思路。此外，青藤還提供應(yīng)急響應(yīng)任務(wù)庫(kù)，將安全專(zhuān)家的應(yīng)急思維邏輯沉淀成各個(gè)任務(wù)項(xiàng)，讓普通安全運(yùn)維人員也可進(jìn)行快速應(yīng)急響應(yīng)。