應急響應前移：從事後到事前

今年的ISC2017大會精彩紛呈，9月13日下午召開的應急響應論壇——政企網絡安全應急響應的創新與實踐，彙聚了來自國家網際網路應急中心CNCERT、中國資訊安全測評中心、國家工業資訊安全發展研究中心、JPCERT/CC、以及政企機關的各路大神，大咖們在會上紛紛發表了價值觀點。

應急響應前移，應急響應即服務

論壇專家提到了一個很新穎的觀點：應急響應要前移，即在事前做好充分準備，抓住危機發生的關鍵因素和觸發點，進行預防和預警，才能有效地消除沖突、控制危機。應急管理的重點是危機發生之後的處置，進行24小時監測預警，發生安全事件後，達到重大事件“分鐘級”的應急處置、“小時級”的恢複處理。

安全應急響應工作要檢查安全事件來源、恢複系統正常工作、進行安全事件深度分析、進行入侵驗證，并釋出安全警報、安全公告、形成安全建議。在政企機關開展應急響應過程中，以應急服務的形式邀請專業安全團隊，将應急響應工作前移，做好全流量網絡事件監控和分析，主動發現安全攻擊的苗頭，建立應急處理機制或體系，明确應急處理預警等級劃分，建設應急處理隊伍，實行7天×24小時值班，以專業化方式處理突發的安全事件。

在應急響應前移的思路下，國家主管機關對應急響應的指導、營運商等部門對應急響應的支撐也是關鍵環節。國家網際網路應急中心運作部主任嚴寒冰在演講中提到了一個資料：2013年8月營運商對虛假IP位址進行專項整治，整治後，用虛假IP位址進行DDOS攻擊的比例由71%大幅度下降為10%、而用真實位址進行攻擊的比例達到了70%。國家主管機關對虛假IP位址的整治，給開展應急響應工作提供了非常好的支撐，大幅度提高了安全企業協助客戶記錄真實攻擊源的機率，也有利于在相關部門的授權下進行追蹤溯源。

人才是應急響應的關鍵

應急響應前移，應急響應成為運維服務的核心，靠的都是人。中國資訊安全測評中心的位華專門以新形勢下應急響應的人才需求為主題，提出人在安全中的作用越來越重要了，萬物皆變，不變的是人，應急響應和處置都需要人來完成，而且是深度參與，單靠裝置是無法做好應急處置的。這也應了ISC大會的主題：萬物皆變，人是安全的尺度。

加強專業應急安全人才隊伍的建設是應對頻發安全事件的關鍵要素。應急服務主要通過人工去發現、分析、研判、處理突發的安全事件。能不能高品質地完成應急響應服務，還是看有沒有合格的安全技術人才，安全人才的能力和應急服務完成的品質有很大關系。

提高安全團隊的應急能力以面對越來越多的網絡攻擊，應急響應服務人員需要具備資料分析能力、安全逆向能力、安全實踐能力、網絡基礎知識等多項關鍵能力。安全需要實戰型人才，位華提到，應急響應的人才培養更需要以創新的理念去開展，以政企的實際需求為根本，建立安全人才生态圈，形成政府、企業和教育機構深度合作的實戰型人才培養機制。

應急響應前移的行業實踐和落地

來自貴陽大資料委、國家工業資訊安全發展研究中心、石化盈科的三位專家，分别從貴陽大資料應急演練、工控安全應急、央企營運響應的次元，解讀了前移的應急響應如何落地。

貴陽建設了全國首個政府資料共享開放平台、梳理政府資料資源目錄、統一存儲、統一管理的城市級大資料系統。對貴陽大資料系統的應急處置來說，資料的安全是最重要、最核心的問題。貴陽大資料委提出應急管理的着力點“向前移”，抓住危機發生的關鍵因素和觸發點，進行預防和預警，才能有效地消除沖突、控制危機。為了檢驗貴陽大資料系統的應急處置能力，貴陽邀請到國内頂尖的20支網絡安全攻擊隊伍和12支防守隊伍參加攻防和應急演練，針對100個重點攻擊目标和10000個網站進行了真實的攻防及應急檢測，檢驗了應急響應前置的效果。

工控安全系統的應急工作與傳統的資訊系統安全應急既有相同也有不同。工控系統利用資訊技術實作深度網絡化、智能化，系統從單機走向互聯、從封閉走向開放、從自動化走向智能化。在改進生産模式，提高管理水準和生産效率的同時，也面臨着日益嚴峻的資訊安全風險，自2010年震網病毒出現後，每年都有特别引人注目的工控安全事件發生，頻度越來越高，影響範圍也越來越大。資訊系統的安全應急為工控應急工作提供了借鑒與參考，但是由于工控系統自身的一些特點、局限和不足，導緻工控應急面臨着一些不同的挑戰。

國家工業資訊安全發展研究中心的張洪認為，工控應急的挑戰主要來自四個方面：攻防形勢不對稱、技術要求不對稱、人員素質不對稱以及投入産出不對稱。據中心監測發現，暴露在網際網路上的主流工控系統數量高達72,000個，系統類型有近20種。與此同時，很多工控裝置都存在各種軟硬體漏洞，FireEye統計2000-2015年全球共發現1490個工業控制系統漏洞。近年來工業控制系統成為國家級網絡部隊、黑客組織以及極端勢力的主要攻擊目标，攻擊工具數量之多、涉及的工業相關領域之廣等充分表明，針對工業控制系統的攻擊工具已經成為新的威懾手段。今年6月份我國釋出的《工業控制系統資訊安全事件應急管理工作指南》，要求建立健全工控安全事件應急工作機制、提升工控安全事件應急處置能力。張洪認為，加強重要工控系統的線上安全監測能力、工控網絡安全威脅捕獲能力，形成工控系統安全資訊共享機制，通過主被動結合的方式，監測工控系統的安全情況，支撐開展對工控系統的前置應急響應處置。

石化盈科的李超提出了資料驅動的安全營運應急響應體系的建設思路。他以中國石化如何應對“永恒之藍”勒索病毒的應急事件為案例，提出了前置的應急響應工作體系化地協同防禦作戰模式，從對事件的預警、通知、提出防護要求、安排7*24小時值班和響應、到自動化監測，實作了零台機器被勒索的目标。以處置郵件詐騙攻擊的應急事件為案例，提出如何依據蛛絲馬迹進行攻擊者畫像，結合威脅情報進行深度安全分析，找出已經被攻陷的機器及賬戶，确定并封鎖黑客竊取商業秘密的資料通路，直至開展追蹤溯源的整個應急處置流程。通過建設

“資料+平台+團隊”的安全營運體系，實作資料驅動的應急響應,達到應急響應工作前置的目标。

資料驅動的前置式應急響應

來自360企業安全的專家龔玉山特别強調了大資料在應急響應中的應用。複雜的網絡結構、紛繁多變的外部威脅、防不勝防的内部威脅，都是政企機關在開展應急響應工作中的痛點。資料驅動的應急響應是近年來提出的安全理念，安全大資料發揮的作用取決于在各個階段做的工作是否到位，隻有在各個環節上充分準備，才能支撐整個事件的處置。檢測階段的資料采集、協定分類、持續檢測能力，分析階段的分析研判能力、可監控能力，處置階段的影響範圍判斷能力、感染裝置定位能力、處置能力，都是決定應急響應成敗的關鍵能力。龔玉山還提出，政企機關開展前置的應急響應,需具備五個能力：事件的發現能力、事件的分析能力、事件的研判能力、事件的處置能力、資料采集以及存儲能力。應急響應所需的資料要涵蓋流量資料、終端資料、SIEM資料、以及結合第三方資料進行分析研判。

在當天上午的網際網路安全領袖峰會上，譚曉生特别強調“應急響應即服務”。“防不住”已成共識，應急響應在網絡安全防禦中處于重要的地位，是系統運作的一部分，系統運作中出現了問題就需要高效的應急處置。論壇各位專家從理念、監管、實踐、服務等不同次元提出的應急響應手段，都在支撐一個觀點：應急響應，從事後到事前，前移的應急響應，讓我們處置安全事件更加從容、更加主動。

原文釋出時間為：2017年9月20日

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。