互联网企业安全高级指南3.12　关于应急响应

很多人认为应急响应就是SSH连上被黑的机器去查rootkit，直到今天我也基本不漏读那些思路清晰的入侵分析的paper，只不过工程师关注的跟CSO关注的还是有些不一样。10年前，我是乙方工程师时去客户机器上查后门，虽然没有犯过明显的大错误，但有时候还是很怕把系统搞垮了，毕竟人家也没备份数据，所以总归心里不踏实。如果你在SRC接到白帽子报漏洞，打开一看人已经入侵到系统了，然后就突然心里一沉，慌慌张张就要了个root账号SSH连上去了，这种状态其实很不好，搞不好反添乱，一个不小心就发生了点小意外把什么东西搞挂了，然后莫名其名自己就变成罪魁祸首了。

 

图3-6 应急响应的PDCERF模型

应急响应有一个PDCERF模型（也可以参考NIST SP800-61），如图3-6所示。简单说来就是一连串步骤。P是指Preparation（准备），之前要做各种准备工具，具体一点的比如应急工具：静态编译的ls、ifconfig、ps等总归是要事前准备好。D是指Detection（诊断），初步诊断发生了什么类型的问题，以助于后续工作展开，同样是大规模流量，L4 DDoS，CC还是蠕虫爆发，对应的应急手段不一样。C是指Containment（抑制），这是被大多数人忽略的一步，首先应该是抑制受害范围，隔离使受害面不继续扩大，再追求根治，而不是一边任其蔓延，一边去查后门，到头来你查完这台机器，入侵者在这时间档里又搞到了另外两台，然后你就干瞪眼吧。这跟ITIL的思路是一样的，问题发生时首先是用事件管理以平息事件，恢复SLA为目标，至于到底是什么原因可以先放一放，等恢复服务了，再用问题管理来解决根因的事情。接下来就是大多数人最熟悉的那一步，E是指Eradication（根除），寻找根因，封堵攻击源。R是指Recovery（恢复），把业务恢复至正常水平。最后，F是指follow-up（跟踪），监控有无异常，报告，管理环节的自省和改进措施，现在俗称安全运营的持续改进环节。

ITSM的思路贯穿于企业安全建设的方方面面，了解攻防技术只是说你具备了参与企业安全建设的技术理论基础，但并不代表你具备了企业安全建设的正确方法。之前说到抑制的环节，首先要了解业务、数据流、各服务接口调用关系，这些都是日常的积累，否则随便一个隔离又把什么服务搞挂了。反过来倒推，如果安全团队平时连个数据流图都没有的，发现单点出现问题症状时大致的系统间影响和潜在的最大受害范围都估计不出来的，那安全建设即便是救火也肯定是一团糟啦。

数据安全审查综合解读|如何从被动合规到主动战略风控？ 8月27日，《数据安全法》解读与阿里云三大合规方案线上直播活动完美收官。阿里云高级安全咨询专家李娜对数据安全相关法律法规做了综合解读，她指出，数据安全合规不能仅看片面，需要有整体的数据安全观，知其然也要知其所以然，真正做到从被动合规到主动战略风控。
信息安全-应急响应-阿里云安全应急响应服务 虽然企业已对业务系统进行了安全防护，如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品，但随着攻击方法的发展，以及新的安全漏洞的出现等情况，业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险，企业需要通过应急响应，来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍，并结合阿里云“安全应急响应服务”进行分析
网络安全应急响应的回顾与展望 当前，世界各国纷纷将网络空间安全纳入国家安全战略，制定和完善网络空间安全战略规划和法律法规。我国高度重视网络空间安全，总书记曾明确提出“没有网络安全就没有国家安全”，而网络安全应急工作是网络安全的最后一道防线，完善网络安全应急标准体系，规范网络安全应急工作，提升应急能力，对于捍卫国家安全至关重要。
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践（1） 企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件：木马程序。”就不高速运转的脑神经，突然一阵抽搐……
有重奖！阿里安全应急响应中心“2018 专项情报收集计划” 我们发布《2018专项情报收集计划》，相关情报我们有更强的意愿接收及给出更好的奖励，并根据提交情况在年末为卓越情报专家颁发“年度情报之星”荣誉。
动态 | 绿盟科技发布下一代网络安全预警决策体系 本文讲的是动态 | 绿盟科技发布下一代网络安全预警决策体系，绿盟科技整合多个服务推出下一代网络安全预警决策系统，通过多模块态势感知、攻击溯源以及BSA大数据分析系统，提供云服务与控制决策支持。