應急響應通常是安全事件發生後,或正在發生過程中,採用的一系列延緩攻擊或阻斷攻擊的流程、手段和方法。應急響應也包含前、中、後三個節點。
通常情況下我們將應急響應的階段劃分如下:
應急響應前:應制定應急響應事件的分類分級、預案、響應劇本等,這也是應急響應比較難的一部分。
應急響應中:通過對相應事件的監控,即時發現安全事件,並第一時間啟動應急預案,進行風險的快速阻斷或延緩。
應急響應後:企業應對安全事件進行複盤,並最佳化更新應急響應流程、預案、劇本等。
應急響應的分類分級
雲上的應急響應應該根據不同類別的安全事件進行定義和定級,並通過事前做好的預案和響應劇本進行快速的響應。
根據過往的安全經驗和雲上的安全威脅,應急響應的事件根據攻擊類型可大致分為以下幾類:
應急事件類別目錄 | 樣本 | 樣本描述 | 建議等級 | 參考等級說明 |
應用安全類事件 | Web入侵 | 如伺服器遭受SQL注入攻擊 | 高 | 應用類安全事件可通過WAF等安全裝置進行識別或攔截,WAF警示中會包含該事件的嚴重等級,等級建議根據攻擊事件的類別而定 |
網路安全類事件 | DDoS攻擊 | 伺服器遭受DDoS攻擊或CC攻擊導致業務系統不可用 | 高 | 發生DDoS攻擊事件,從業務影響看一般都可以被定義成高等級事件,DDoS本身會影響業務穩定性和可靠性 |
系統安全類事件 | 勒索病毒 | 系統遭受勒索病毒攻擊,核心資料被加密 | 高 | 系統事件往往會來自Security Center,Security Center同樣會對入侵事件進行定級,建議參考Security Center的定級說明 |
故障穩定性類事件 | 雲穩定性事件 | 網路或應用宕機 | 高 | 穩定性事件通常情況下是高風險事件 |
其他事件 | 資料泄露 | 外部情報監控或輿情顯示內部核心機密外泄 | 高 | 資料泄露需要根據泄露的資料內容、真實性、實際業務風險、輿情風險而定 |
漏洞類事件 | log4j漏洞 | 重大影響漏洞 | 高 | 漏洞建議根據漏洞的影響來判定事件的等級,如Security Center會發布應急漏洞,此類漏洞一旦發現,建議按照高優先順序進行處理 |
應急響應預案
應急響應預案包含應急響應的流程和處理辦法,通常情況下應急響應的流程至少應包含如下階段:
監控和發現應急事件
確認漏洞、事件的真實性
確認漏洞、事件的影響面、責任人和相關業務
確認回應程式案,延緩攻擊或止血方案等
事件分析、溯源、資訊記錄
事件複盤
自動化應急響應執行
自動化應急響應劇本的設計和執行能夠協助企業安全營運和管理員在應急事件發生的第一時間快速行動起來,通常情況下根據應急事件的分類可以設定一些自動化的劇本觸發條件和劇本策略。並將劇本和SIEM等相關事件警示類的產品進行配合。
可以設定自動化應急響應劇本的常見應急事件:
DDoS攻擊類事件:DDoS攻擊事件發生後可觸發DDoS應急,快速的接入阿里雲DDoS高防對攻擊流量進行清洗。
漏洞類事件:漏洞類事件根據漏洞類型、是否涉及系統重啟等條件,可以設定針對一批伺服器進行自動化的漏洞修複,通過設定漏洞更新的時間視窗來執行。
網路攻擊類事件:網路攻擊類事件根據攻擊的嚴重程度可以對攻擊者IP進行自動化封鎖,該情境可以配置自動化處置劇本,對網路攻擊事件的攻擊IP進行提取,並在防火牆、WAF、負載平衡等產品上進行快速攔截。
類比攻擊驗證
為了驗證應急響應的流程、分類、預案和響應劇本,企業還可以採取紅藍軍的方式對核心業務系統發起類比攻擊,從而驗證企業整體的應急響應水平。
企業紅隊:紅隊也稱之為攻擊隊,在類比攻擊驗證過程中,紅隊會扮演攻擊者角色,從駭客攻防視角出發,根據ATT&CK攻擊鏈,對靶標系統進行類比入侵,在入侵過程中不僅可以驗證企業構建的整體安全防禦體系的有效性如何,同樣可以驗證企業安全營運人員對安全事件的識別、監控、和應急的能力。
企業藍隊:藍隊也稱之為防守隊,由企業內的SOC(Security Operations Center,安全營運中心)成員組成,負責對安全事件進行定義定級,事件的識別、監控、分析和應急。在紅藍對抗的過程中,藍隊將根據事前設定的監控規則、分析方法和應急響應流程對攻擊過程中產生的警示進行快速應急,通過類比實戰鍛煉隊伍。
通過類比攻擊來驗證防禦和應急效果,並對其進行最佳化和調整。