隨著電子商務和在線交易已經成為當今商業社會的一部分,越來越多的公司被發現網絡中存在安全隱患而遭受計算機罪犯勒索。當企業的網絡中出現安全漏洞時,公司的核心商業信息和業務的機密信息會被盜竊。另外與在線銀行有關的詐騙也逐漸增加,零售商的后臺數據庫被攻擊,信用卡信息被盜竊。越來越多的公司因受到拒絕服務攻擊的不斷增加而丟失利潤和生產力。
計算機犯罪、蠕蟲病毒事件不斷發生,企業應該怎樣做好計算機應急響應工作,以保證企業在受到攻擊時遭受最少的經濟損失。葉子在下面的文章中談談自己的看法。
在1988年的莫里斯蠕蟲事件后,美國就建立了全球最早的計算機應急響應組織(CERT)。我國自1999年成立第一個應急響應組織以來,在處理幾次大規模網絡安全事件中發揮出明顯的作用。那么企業應該怎樣建立應急響應組織呢?我們還是先來了解一下什么是應急響應。
什么是應急響應呢?
通常來說,應急響應泛指安全技術人員在遇到突發事件后所采取的措施和行為。而突發事件則是指影響一個系統正常工作的情況。這里的系統包括主機范疇內的問題,也包括網絡范疇內的問題,例如黑客入侵、信息竊取、拒絕服務攻擊、網絡流量異常等。
應急處理的兩個根本性目標:確保恢復、追究責任。
除非是“事后”處理的事件,否則應急處理人員首先要解決的問題是如何確保受影響的系統恢復正常的功能。在確保恢復的工作中,應急處理人員需要保存各種必要的證據,以供將來其他工作使用。追究責任涉及到法律問題,一般用戶單位或第三方支援的應急處理人員主要起到配合分析的作用,因為展開這樣的調查通常需要得到司法許可。
多數企業都建立了應急響應的獨立團隊,通常稱為計算機安全應急響應小組(Computer Security Incident Response Team,CSIRT),以響應計算機安全事件。應急響應涉及多門學科,要求多種能力:通常要求從公司的不同部分獲取資源。人力資源部人員、法律顧問、技術專家、安全專家、公共安全官員、商業管理人員、最終用戶、技術支持人員和其他涉及計算機安全應急響應的人員。當然這些人員大部分是兼職的,需要在應急響應工作中進行配合。
企業有了獨立的應急響應小組后,應該開始做哪些工作呢?
根據應急響應的PDCERF方法,我們分為六個階段來處理,分別是準備(Preparation)、檢測(Detection)、遏制(Containment)、根除(Eradication)、恢復(Recovery)、跟蹤(Follow-up)。如下所示:
第一階段:準備(Preparation)
此階段以預防為主。主要工作涉及識別公司的風險,建立安全政策,建立協作體系和應急制度;按照安全政策配置安全設備和軟件,為應急響應與恢復準備主機。通過網絡安全措施,為網絡進行一些準備工作,比如掃描、風險分析、打補丁,如有條件且得到許可,建立監控設施,建立數據匯總分析的體系和能力;制訂能夠實現應急響應目標的策略和規程,建立信息溝通渠道和通報機制,有關法律法規的制定;創建能夠使用的響應工作包;建立能夠集合起來處理突發事件的CSIRT。
第二階段:檢測(Detection)
檢測事件是已經發生還是在進行中,以及事件產生的原因和性質。確定事件性質和影響的嚴重程度,預計采用什么樣的專用資源來修復。選擇檢測工具,分析異常現象,提高系統或網絡行為的監控級別,估計安全事件的范圍。通過匯總,確定是否發生了全網的大規模事件;確定應急等級,決定啟動哪一級應急方案。
第三階段:遏制(Containment)
及時采取行動遏制事件發展。初步分析,重點確定適當的遏制方法,如隔離網絡,修改所有防火墻和路由器的過濾規則,刪除攻擊者的登錄賬號,關閉被利用的服務或者關閉主機等;咨詢安全政策;確定進一步操作的風險,控制損失保持最小;列出若干選項,講明各自的風險,應該由服務對象來做決定。確保封鎖方法對各網業務影響最小;通過協調爭取各網一致行動,實施隔離;匯總數據,估算損失和隔離效果。
第四階段:根除(Eradication)
徹底解決問題隱患。分析原因和漏洞;進行安全加固;改進安全策略。加強宣傳,公布危害性和解決辦法,呼吁用戶解決終端問題;加強檢測工作,發現和清理行業與重點部門的問題。
第五階段:恢復(Recovery)
被攻擊的系統由備份來恢復;做一個新的備份;對所有安全上的變更作備份;服務重新上線并持續監控。持續匯總分析,解各網的運行情況;根據各網的運行情況判斷隔離措施的有效性;通過匯總分析的結果判斷仍然受影響的終端的規模;發現重要用戶及時通報解決;適當的時候解除封鎖措施。
第六階段:跟蹤(Follow-up)
關注系統恢復以后的安全狀況,特別是曾經出問題的地方;建立跟蹤文檔,規范記錄跟蹤結果;對響應效果給出評估;對進入司法程序的事件,進行進一步的調查,打擊違法犯罪活動。
以上就是企業在發生應急響應時應該參照的響應方法,具體業務相關的,可以進一步細化響應過程。另外企業發生重大安全事件,如果內部應急響應小組無法處理,可上報國家計算機應急響應協調中心(CNCERT)來處理。
