应急响应通常是安全事件发生后,或正在发生过程中,采用的一系列延缓攻击或阻断攻击的流程、手段和方法。应急响应也包含前、中、后三个节点。
通常情况下我们将应急响应的阶段划分如下:
应急响应前:应制定应急响应事件的分类分级、预案、响应剧本等,这也是应急响应比较难的一部分。
应急响应中:通过对相应事件的监控,实时发现安全事件,并第一时间启动应急预案,进行风险的快速阻断或延缓。
应急响应后:企业应对安全事件进行复盘,并优化更新应急响应流程、预案、剧本等。
应急响应的分类分级
云上的应急响应应该根据不同类别的安全事件进行定义和定级,并通过事前做好的预案和响应剧本进行快速的响应。
根据过往的安全经验和云上的安全威胁,应急响应的事件根据攻击类型可大致分为以下几类:
应急事件类别 | 示例 | 示例描述 | 建议等级 | 参考等级说明 |
应用安全类事件 | Web入侵 | 如服务器遭受SQL注入攻击 | 高 | 应用类安全事件可通过WAF等安全设备进行识别或拦截,WAF告警中会包含该事件的严重等级,等级建议根据攻击事件的类别而定 |
网络安全类事件 | DDoS攻击 | 服务器遭受DDoS攻击或CC攻击导致业务系统不可用 | 高 | 发生DDoS攻击事件,从业务影响看一般都可以被定义成高等级事件,DDoS本身会影响业务稳定性和可靠性 |
系统安全类事件 | 勒索病毒 | 系统遭受勒索病毒攻击,核心数据被加密 | 高 | 系统事件往往会来自云安全中心,云安全中心同样会对入侵事件进行定级,建议参考云安全中心的定级说明 |
故障稳定性类事件 | 云稳定性事件 | 网络或应用宕机 | 高 | 稳定性事件通常情况下是高风险事件 |
其他事件 | 数据泄露 | 外部情报监控或舆情显示内部核心机密外泄 | 高 | 数据泄露需要根据泄露的数据内容、真实性、实际业务风险、舆情风险而定 |
漏洞类事件 | log4j漏洞 | 重大影响漏洞 | 高 | 漏洞建议根据漏洞的影响来判定事件的等级,如云安全中心会发布应急漏洞,此类漏洞一旦发现,建议按照高优先级进行处理 |
应急响应预案
应急响应预案包含应急响应的流程和处理办法,通常情况下应急响应的流程至少应包含如下阶段:
监控和发现应急事件
确认漏洞、事件的真实性
确认漏洞、事件的影响面、责任人和相关业务
确认响应方案,延缓攻击或止血方案等
事件分析、溯源、信息记录
事件复盘
自动化应急响应执行
自动化应急响应剧本的设计和执行能够帮助企业安全运营和管理人员在应急事件发生的第一时间快速行动起来,通常情况下根据应急事件的分类可以设定一些自动化的剧本触发条件和剧本策略。并将剧本和SIEM等相关事件告警类的产品进行配合。
可以设定自动化应急响应剧本的常见应急事件:
DDoS攻击类事件:DDoS攻击事件发生后可触发DDoS应急,快速的接入阿里云DDoS高防对攻击流量进行清洗。
漏洞类事件:漏洞类事件根据漏洞类型、是否涉及系统重启等条件,可以设定针对一批服务器进行自动化的漏洞修复,通过设定漏洞更新的时间窗口来执行。
网络攻击类事件:网络攻击类事件根据攻击的严重程度可以对攻击者IP进行自动化封禁,该场景可以配置自动化处置剧本,对网络攻击事件的攻击IP进行提取,并在防火墙、WAF、负载均衡等产品上进行快速拦截。
模拟攻击验证
为了验证应急响应的流程、分类、预案和响应剧本,企业还可以采取红蓝军的方式对核心业务系统发起模拟攻击,从而验证企业整体的应急响应水平。
企业红队:红队也称之为攻击队,在模拟攻击验证过程中,红队会扮演攻击者角色,从黑客攻防视角出发,根据ATT&CK攻击链,对靶标系统进行模拟入侵,在入侵过程中不仅可以验证企业构建的整体安全防御体系的有效性如何,同样可以验证企业安全运营人员对安全事件的识别、监控、和应急的能力。
企业蓝队:蓝队也称之为防守队,由企业内的SOC(Security Operations Center,安全运营中心)成员组成,负责对安全事件进行定义定级,事件的识别、监控、分析和应急。在红蓝对抗的过程中,蓝队将根据事前设定的监控规则、分析方法和应急响应流程对攻击过程中产生的告警进行快速应急,通过模拟实战锻炼队伍。
通过模拟攻击来验证防御和应急效果,并对其进行优化和调整。