信息來(lái)源：比特網(wǎng)

今年的ISC2017大會(huì)精彩紛呈，9月13日下午召開(kāi)的應(yīng)急響應(yīng)論壇——政企應(yīng)急響應(yīng)的創(chuàng)新與實(shí)踐，匯聚了來(lái)自國(guó)家應(yīng)急中心CNCERT、中國(guó)信息安全測(cè)評(píng)中心、國(guó)家工業(yè)信息安全發(fā)展研究中心、JPCERT/CC、以及政企單位的各路大神，大咖們?cè)跁?huì)上紛紛發(fā)表了價(jià)值觀點(diǎn)。

應(yīng)急響應(yīng)前移，應(yīng)急響應(yīng)即服務(wù)

論壇專(zhuān)家提到了一個(gè)很新穎的觀點(diǎn)：應(yīng)急響應(yīng)要前移，即在事前做好充分準(zhǔn)備，抓住危機(jī)發(fā)生的關(guān)鍵因素和觸發(fā)點(diǎn)，進(jìn)行預(yù)防和預(yù)警，才能有效地消除矛盾、控制危機(jī)。應(yīng)急管理的重點(diǎn)是危機(jī)發(fā)生之后的處置，進(jìn)行24小時(shí)監(jiān)測(cè)預(yù)警，發(fā)生安全事件后，達(dá)到重大事件“分鐘級(jí)”的應(yīng)急處置、“小時(shí)級(jí)”的恢復(fù)處理。

安全應(yīng)急響應(yīng)工作要檢查安全事件來(lái)源、恢復(fù)系統(tǒng)正常工作、進(jìn)行安全事件深度分析、進(jìn)行入侵取證，并發(fā)布安全警報(bào)、安全公告、形成安全建議。在政企單位開(kāi)展應(yīng)急響應(yīng)過(guò)程中，以應(yīng)急服務(wù)的形式邀請(qǐng)專(zhuān)業(yè)安全團(tuán)隊(duì)，將應(yīng)急響應(yīng)工作前移，做好全流量網(wǎng)絡(luò)事件監(jiān)控和分析，主動(dòng)發(fā)現(xiàn)安全攻擊的苗頭，建立應(yīng)急處理機(jī)制或體系，明確應(yīng)急處理預(yù)警等級(jí)劃分，建設(shè)應(yīng)急處理隊(duì)伍，實(shí)行7天×24小時(shí)值班，以專(zhuān)業(yè)化方式處理突發(fā)的安全事件。

在應(yīng)急響應(yīng)前移的思路下，國(guó)家主管機(jī)關(guān)對(duì)應(yīng)急響應(yīng)的指導(dǎo)、運(yùn)營(yíng)商等部門(mén)對(duì)應(yīng)急響應(yīng)的支撐也是關(guān)鍵環(huán)節(jié)。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部主任嚴(yán)寒冰在演講中提到了一個(gè)：2013年8月運(yùn)營(yíng)商對(duì)虛假I(mǎi)P地址進(jìn)行專(zhuān)項(xiàng)整治，整治后，用虛假I(mǎi)P地址進(jìn)行DDOS攻擊的比例由71%大幅度下降為10%、而用真實(shí)地址進(jìn)行攻擊的比例達(dá)到了70%。國(guó)家主管機(jī)關(guān)對(duì)虛假I(mǎi)P地址的整治，給開(kāi)展應(yīng)急響應(yīng)工作提供了非常好的支撐，大幅度提高了安全企業(yè)協(xié)助客戶(hù)記錄真實(shí)攻擊源的概率，也有利于在相關(guān)部門(mén)的授權(quán)下進(jìn)行追蹤溯源。

人才是應(yīng)急響應(yīng)的關(guān)鍵

應(yīng)急響應(yīng)前移，應(yīng)急響應(yīng)成為運(yùn)維服務(wù)的核心，靠的都是人。中國(guó)信息安全測(cè)評(píng)中心的位華專(zhuān)門(mén)以新形勢(shì)下應(yīng)急響應(yīng)的人才需求為主題，提出人在安全中的作用越來(lái)越重要了，萬(wàn)物皆變，不變的是人，應(yīng)急響應(yīng)和處置都需要人來(lái)完成，而且是深度參與，單靠設(shè)備是無(wú)法做好應(yīng)急處置的。這也應(yīng)了ISC大會(huì)的主題：萬(wàn)物皆變，人是安全的尺度。

加強(qiáng)專(zhuān)業(yè)應(yīng)急安全人才隊(duì)伍的建設(shè)是應(yīng)對(duì)頻發(fā)安全事件的關(guān)鍵要素。應(yīng)急服務(wù)主要通過(guò)人工去發(fā)現(xiàn)、分析、研判、處理突發(fā)的安全事件。能不能高質(zhì)量地完成應(yīng)急響應(yīng)服務(wù)，還是看有沒(méi)有合格的安全技術(shù)人才，安全人才的能力和應(yīng)急服務(wù)完成的質(zhì)量有很大關(guān)系。

提高安全團(tuán)隊(duì)的應(yīng)急能力以面對(duì)越來(lái)越多的網(wǎng)絡(luò)攻擊，應(yīng)急響應(yīng)服務(wù)人員需要具備數(shù)據(jù)分析能力、安全逆向能力、安全實(shí)踐能力、網(wǎng)絡(luò)基礎(chǔ)知識(shí)等多項(xiàng)關(guān)鍵能力。安全需要實(shí)戰(zhàn)型人才，位華提到，應(yīng)急響應(yīng)的人才培養(yǎng)更需要以創(chuàng)新的理念去開(kāi)展，以政企的實(shí)際需求為根本，建立安全人才生態(tài)圈，形成政府、企業(yè)和教育機(jī)構(gòu)深度合作的實(shí)戰(zhàn)型人才培養(yǎng)機(jī)制。

應(yīng)急響應(yīng)前移的行業(yè)實(shí)踐和落地

來(lái)自貴陽(yáng)大數(shù)據(jù)委、國(guó)家工業(yè)信息安全發(fā)展研究中心、石化盈科的三位專(zhuān)家，分別從貴陽(yáng)大數(shù)據(jù)應(yīng)急演練、工控安全應(yīng)急、央企運(yùn)營(yíng)響應(yīng)的維度，解讀了前移的應(yīng)急響應(yīng)如何落地。

貴陽(yáng)建設(shè)了全國(guó)首個(gè)政府?dāng)?shù)據(jù)共享開(kāi)放平臺(tái)、梳理政府?dāng)?shù)據(jù)資源目錄、統(tǒng)一存儲(chǔ)、統(tǒng)一管理的城市級(jí)大數(shù)據(jù)系統(tǒng)。對(duì)貴陽(yáng)大數(shù)據(jù)系統(tǒng)的應(yīng)急處置來(lái)說(shuō)，數(shù)據(jù)的安全是最重要、最核心的問(wèn)題。貴陽(yáng)大數(shù)據(jù)委提出應(yīng)急管理的著力點(diǎn)“向前移”，抓住危機(jī)發(fā)生的關(guān)鍵因素和觸發(fā)點(diǎn)，進(jìn)行預(yù)防和預(yù)警，才能有效地消除矛盾、控制危機(jī)。為了檢驗(yàn)貴陽(yáng)大數(shù)據(jù)系統(tǒng)的應(yīng)急處置能力，貴陽(yáng)邀請(qǐng)到國(guó)內(nèi)頂尖的20支網(wǎng)絡(luò)安全攻擊隊(duì)伍和12支防守隊(duì)伍參加攻防和應(yīng)急演練，針對(duì)100個(gè)重點(diǎn)攻擊目標(biāo)和10000個(gè)網(wǎng)站進(jìn)行了真實(shí)的攻防及應(yīng)急檢測(cè)，檢驗(yàn)了應(yīng)急響應(yīng)前置的效果。

工控安全系統(tǒng)的應(yīng)急工作與傳統(tǒng)的系統(tǒng)安全應(yīng)急既有相同也有不同。工控系統(tǒng)利用信息技術(shù)實(shí)現(xiàn)深度網(wǎng)絡(luò)化、智能化，系統(tǒng)從單機(jī)走向互聯(lián)、從封閉走向開(kāi)放、從自動(dòng)化走向智能化。在改進(jìn)生產(chǎn)模式，提高管理水平和生產(chǎn)效率的同時(shí)，也面臨著日益嚴(yán)峻的信息安全風(fēng)險(xiǎn)，自2010年震網(wǎng)病毒出現(xiàn)后，每年都有特別引人注目的工控安全事件發(fā)生，頻度越來(lái)越高，影響范圍也越來(lái)越大。信息系統(tǒng)的安全應(yīng)急為工控應(yīng)急工作提供了借鑒與參考，但是由于工控系統(tǒng)自身的一些特點(diǎn)、局限和不足，導(dǎo)致工控應(yīng)急面臨著一些不同的挑戰(zhàn)。

國(guó)家工業(yè)信息安全發(fā)展研究中心的張洪認(rèn)為，工控應(yīng)急的挑戰(zhàn)主要來(lái)自四個(gè)方面：攻防形勢(shì)不對(duì)稱(chēng)、技術(shù)要求不對(duì)稱(chēng)、人員素質(zhì)不對(duì)稱(chēng)以及投入產(chǎn)出不對(duì)稱(chēng)。據(jù)中心監(jiān)測(cè)發(fā)現(xiàn)，暴露在互聯(lián)網(wǎng)上的主流工控系統(tǒng)數(shù)量高達(dá)72,000個(gè)，系統(tǒng)類(lèi)型有近20種。與此同時(shí)，很多工控設(shè)備都存在各種軟硬件漏洞，F(xiàn)ireEye統(tǒng)計(jì)2000-2015年全球共發(fā)現(xiàn)1490個(gè)工業(yè)控制系統(tǒng)漏洞。近年來(lái)工業(yè)控制系統(tǒng)成為國(guó)家級(jí)網(wǎng)絡(luò)部隊(duì)、黑客組織以及極端勢(shì)力的主要攻擊目標(biāo)，攻擊工具數(shù)量之多、涉及的工業(yè)相關(guān)領(lǐng)域之廣等充分表明，針對(duì)工業(yè)控制系統(tǒng)的攻擊工具已經(jīng)成為新的威懾手段。今年6月份我國(guó)發(fā)布的《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》，要求建立健全工控安全事件應(yīng)急工作機(jī)制、提升工控安全事件應(yīng)急處置能力。張洪認(rèn)為，加強(qiáng)重要工控系統(tǒng)的在線安全監(jiān)測(cè)能力、工控網(wǎng)絡(luò)安全威脅捕獲能力，形成工控系統(tǒng)安全信息共享機(jī)制，通過(guò)主被動(dòng)結(jié)合的方式，監(jiān)測(cè)工控系統(tǒng)的安全情況，支撐開(kāi)展對(duì)工控系統(tǒng)的前置應(yīng)急響應(yīng)處置。

石化盈科的李超提出了數(shù)據(jù)驅(qū)動(dòng)的安全運(yùn)營(yíng)應(yīng)急響應(yīng)體系的建設(shè)思路。他以中國(guó)石化如何應(yīng)對(duì)“永恒之藍(lán)”勒索病毒的應(yīng)急事件為案例，提出了前置的應(yīng)急響應(yīng)工作體系化地協(xié)同防御作戰(zhàn)模式，從對(duì)事件的預(yù)警、通知、提出防護(hù)要求、安排7*24小時(shí)值班和響應(yīng)、到自動(dòng)化監(jiān)測(cè)，實(shí)現(xiàn)了零臺(tái)機(jī)器被勒索的目標(biāo)。以處置郵件詐騙攻擊的應(yīng)急事件為案例，提出如何依據(jù)蛛絲馬跡進(jìn)行攻擊者畫(huà)像，結(jié)合威脅情報(bào)進(jìn)行深度安全分析，找出已經(jīng)被攻陷的機(jī)器及賬戶(hù)，確定并封鎖黑客竊取商業(yè)秘密的數(shù)據(jù)通路，直至開(kāi)展追蹤溯源的整個(gè)應(yīng)急處置流程。通過(guò)建設(shè) “數(shù)據(jù)+平臺(tái)+團(tuán)隊(duì)”的安全運(yùn)營(yíng)體系，實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的應(yīng)急響應(yīng),達(dá)到應(yīng)急響應(yīng)工作前置的目標(biāo)。

數(shù)據(jù)驅(qū)動(dòng)的前置式應(yīng)急響應(yīng)

來(lái)自360企業(yè)安全的專(zhuān)家龔玉山特別強(qiáng)調(diào)了大數(shù)據(jù)在應(yīng)急響應(yīng)中的應(yīng)用。復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)、紛繁多變的外部威脅、防不勝防的內(nèi)部威脅，都是政企單位在開(kāi)展應(yīng)急響應(yīng)工作中的痛點(diǎn)。數(shù)據(jù)驅(qū)動(dòng)的應(yīng)急響應(yīng)是近年來(lái)提出的安全理念，安全大數(shù)據(jù)發(fā)揮的作用取決于在各個(gè)階段做的工作是否到位，只有在各個(gè)環(huán)節(jié)上充分準(zhǔn)備，才能支撐整個(gè)事件的處置。檢測(cè)階段的數(shù)據(jù)采集、協(xié)議分類(lèi)、持續(xù)檢測(cè)能力，分析階段的分析研判能力、可監(jiān)控能力，處置階段的影響范圍判斷能力、感染設(shè)備定位能力、處置能力，都是決定應(yīng)急響應(yīng)成敗的關(guān)鍵能力。龔玉山還提出，政企單位開(kāi)展前置的應(yīng)急響應(yīng),需具備五個(gè)能力：事件的發(fā)現(xiàn)能力、事件的分析能力、事件的研判能力、事件的處置能力、數(shù)據(jù)采集以及存儲(chǔ)能力。應(yīng)急響應(yīng)所需的數(shù)據(jù)要涵蓋流量數(shù)據(jù)、終端數(shù)據(jù)、SIEM數(shù)據(jù)、以及結(jié)合第三方數(shù)據(jù)進(jìn)行分析研判。

在當(dāng)天上午的互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)上，譚曉生特別強(qiáng)調(diào)“應(yīng)急響應(yīng)即服務(wù)”?！胺啦蛔　币殉晒沧R(shí)，應(yīng)急響應(yīng)在網(wǎng)絡(luò)安全防御中處于重要的地位，是系統(tǒng)運(yùn)行的一部分，系統(tǒng)運(yùn)行中出現(xiàn)了問(wèn)題就需要高效的應(yīng)急處置。論壇各位專(zhuān)家從理念、監(jiān)管、實(shí)踐、服務(wù)等不同維度提出的應(yīng)急響應(yīng)手段，都在支撐一個(gè)觀點(diǎn)：應(yīng)急響應(yīng)，從事后到事前，前移的應(yīng)急響應(yīng)，讓我們處置安全事件更加從容、更加主動(dòng)。