安全響應
應急響應通常是安全事件發生后,或正在發生過程中,采用的一系列延緩攻擊或阻斷攻擊的流程、手段和方法。應急響應也包含前、中、后三個節點。
通常情況下我們將應急響應的階段劃分如下:
應急響應前:應制定應急響應事件的分類分級、預案、響應劇本等,這也是應急響應比較難的一部分。
應急響應中:通過對相應事件的監控,實時發現安全事件,并第一時間啟動應急預案,進行風險的快速阻斷或延緩。
應急響應后:企業應對安全事件進行復盤,并優化更新應急響應流程、預案、劇本等。
應急響應的分類分級
云上的應急響應應該根據不同類別的安全事件進行定義和定級,并通過事前做好的預案和響應劇本進行快速的響應。
根據過往的安全經驗和云上的安全威脅,應急響應的事件根據攻擊類型可大致分為以下幾類:
應急事件類別 | 示例 | 示例描述 | 建議等級 | 參考等級說明 |
應用安全類事件 | Web入侵 | 如服務器遭受SQL注入攻擊 | 高 | 應用類安全事件可通過WAF等安全設備進行識別或攔截,WAF告警中會包含該事件的嚴重等級,等級建議根據攻擊事件的類別而定 |
網絡安全類事件 | DDoS攻擊 | 服務器遭受DDoS攻擊或CC攻擊導致業務系統不可用 | 高 | 發生DDoS攻擊事件,從業務影響看一般都可以被定義成高等級事件,DDoS本身會影響業務穩定性和可靠性 |
系統安全類事件 | 勒索病毒 | 系統遭受勒索病毒攻擊,核心數據被加密 | 高 | 系統事件往往會來自云安全中心,云安全中心同樣會對入侵事件進行定級,建議參考云安全中心的定級說明 |
故障穩定性類事件 | 云穩定性事件 | 網絡或應用宕機 | 高 | 穩定性事件通常情況下是高風險事件 |
其他事件 | 數據泄露 | 外部情報監控或輿情顯示內部核心機密外泄 | 高 | 數據泄露需要根據泄露的數據內容、真實性、實際業務風險、輿情風險而定 |
漏洞類事件 | log4j漏洞 | 重大影響漏洞 | 高 | 漏洞建議根據漏洞的影響來判定事件的等級,如云安全中心會發布應急漏洞,此類漏洞一旦發現,建議按照高優先級進行處理 |
應急響應預案
應急響應預案包含應急響應的流程和處理辦法,通常情況下應急響應的流程至少應包含如下階段:
監控和發現應急事件
確認漏洞、事件的真實性
確認漏洞、事件的影響面、責任人和相關業務
確認響應方案,延緩攻擊或止血方案等
事件分析、溯源、信息記錄
事件復盤
自動化應急響應執行
自動化應急響應劇本的設計和執行能夠幫助企業安全運營和管理人員在應急事件發生的第一時間快速行動起來,通常情況下根據應急事件的分類可以設定一些自動化的劇本觸發條件和劇本策略。并將劇本和SIEM等相關事件告警類的產品進行配合。
可以設定自動化應急響應劇本的常見應急事件:
DDoS攻擊類事件:DDoS攻擊事件發生后可觸發DDoS應急,快速的接入阿里云DDoS高防對攻擊流量進行清洗。
漏洞類事件:漏洞類事件根據漏洞類型、是否涉及系統重啟等條件,可以設定針對一批服務器進行自動化的漏洞修復,通過設定漏洞更新的時間窗口來執行。
網絡攻擊類事件:網絡攻擊類事件根據攻擊的嚴重程度可以對攻擊者IP進行自動化封禁,該場景可以配置自動化處置劇本,對網絡攻擊事件的攻擊IP進行提取,并在防火墻、WAF、負載均衡等產品上進行快速攔截。
模擬攻擊驗證
為了驗證應急響應的流程、分類、預案和響應劇本,企業還可以采取紅藍軍的方式對核心業務系統發起模擬攻擊,從而驗證企業整體的應急響應水平。
企業紅隊:紅隊也稱之為攻擊隊,在模擬攻擊驗證過程中,紅隊會扮演攻擊者角色,從黑客攻防視角出發,根據ATT&CK攻擊鏈,對靶標系統進行模擬入侵,在入侵過程中不僅可以驗證企業構建的整體安全防御體系的有效性如何,同樣可以驗證企業安全運營人員對安全事件的識別、監控、和應急的能力。
企業藍隊:藍隊也稱之為防守隊,由企業內的SOC(Security Operations Center,安全運營中心)成員組成,負責對安全事件進行定義定級,事件的識別、監控、分析和應急。在紅藍對抗的過程中,藍隊將根據事前設定的監控規則、分析方法和應急響應流程對攻擊過程中產生的告警進行快速應急,通過模擬實戰鍛煉隊伍。
通過模擬攻擊來驗證防御和應急效果,并對其進行優化和調整。