【安全】事件响应
安全包括保护、检测和响应,缺一不可。不过,业界过了很长时间后才达到这个阶段。上世纪90年代是高举保护大旗的时代。安全行业到处是保护计算机和网络的产品。到2000年,我们意识到检测也需要正式化,结果业界到处是检测产品和服务。
这十年是响应唱主角的时代。在过去的几年,我们已开始看到安全事件响应产品和服务。由于计算机行业出现的三大趋势,安全团队正将它们整合到工具库中。
第一个趋势是,我们对计算环境失去了控制权。我们的更多数据由其他公司存放在云端,我们的更多实际网络外包出去。由于我们可能无法了解自己的关键网络基础设施的某些部分,这加大了响应的难度。
第二个趋势是,攻击正变得越来越狡猾。APT(高级持续性威胁)大行其道,随之带来了一批新的攻击者,这就需要一种新的威胁模型。APT这种攻击非常有针对性,其目的并不局限于简单的金融盗窃牟利,此外,由于黑客攻击成为地缘政治中更不可或缺的一部分,毫不相干的网络日益成为国家与国家对抗的间接受害者。
第三个趋势是,许多公司在保护和检测方面继续投入不足,即便在最好的情况下,这两个方面也不尽如人意,从而迫使响应方收拾残局。
早在90年代的时候我就说过“安全是一个过程,而非产品”(security is aprocess, not a product)。这句势,你需要不断地重新评估自身的安全状况。
在战术层面,安全既是产品,又是过程。确实,安全结合了人员、过程和技术。变化的只是三者的比例而话道出了这个谬论:以为安全工作可以一蹴而就。面对不断变化的威胁形已。保护系统几乎就是技术,而人员和过程提供了一些帮助。检测需要比例差不多的人员、过程和技术。响应基本上由人员完成,过程和技术提供了关键的帮助。
可用性方面的专家Lorrie Faith Cranor 曾写道:“只要有可能,安全系统设计师应想方设法不需要人员介入。”这是明智的建议,可是你无法让事件响应实现自动化。每个人的网络不一样,所有攻击也不一样,每个人的安全环境不一样,监管环境不一样,所有企业都不一样,政治和经济方面的考量往往比技术方面的考量更重要。事件响应需要人员,因为成功的安全事件响应需要思考。
这是安全行业的新局势,这意味着响应产品和服务看上去有所不同。就大部分时期而言,安全行业一直饱受柠檬市场(lemons market)问题的困惑。这个经济学术语是指买家无法区别好产品和坏产品的市场。在这种市场,平庸的产品将优秀的产品逐出市场,凭借的正是价格,因为没有好的方法来检验质量。反病毒领域是这样,防火墙领域是这样,入侵检测系统(IDS)领域是这样,其他方面也是这样。但由于事件响应注重人员,保护和检测则不然,所以这个领域不存在柠檬市场问题。更好的产品会做得更好,因为买家很快能够确定它们更胜一筹。
事件响应成功的关键在于Cranor的下一句话:“不过就一些任务而言,除了人员外,没有切实可行或经济高效的办法来完成。在这种情况下,系统设计师设计的系统应支持让人员介入的理念,并且最大限度地提高人员成功履行安全职能的可能性。”我们需要的就是帮助人员的技术,而不是取代人员的技术。
我发觉这方面最好的办法就是OODA循环。OODA代表“观察、适应、决定和行动”(observe, orient, decide, act),这是考虑实时对抗情形的一种方式,由美国空军军事战略家John Boyd研发而成。他当时考虑的是战斗机,但总体思路已广泛应用于从合同谈判到拳击、乃至计算机和网络事件响应的各个领域。
速度非常重要。这种情形下的人在脑子里不断进行OODA循环。如果你进行OODA循环的速度比别人快,如果你能进入“对方的OODA循环”,那你就获得了巨大优势。
我们需要为所有这些步骤提供便利的工具:
•观察:这意味着实时知道我们的网络上发生了什么情况。这包括来自IDS的实时威胁检测信息、日志监控及分析数据、网络和系统性能数据、标准网络管理数据,甚至物理安全信息,然后工具知道使用哪些工具来综合并呈现采用有用格式的信息。事件并不是标准化;它们都不一样。事件响应团队对网络上发生的事情观察越仔细,对攻击的了解就越透彻。这意味着,事件响应团队需要能够跨整个企业运作。
•适应:这意味着理解在具体环境下的意义,包括在企业环境下以及在更广泛的互联网社区环境下。光了解攻击还不够;安全事件响应团队要知道攻击意味着什么。网络犯罪分子是不是使用了一种新的恶意软件?企业在部署一个新的软件包还是计划裁员?该企业之前有没有见过来自这一个IP地址的攻击?网络有没有向新的战略性合作伙伴敞开?要回答这些问题,就意味着将来自网络的数据与来自新闻的信息、网络情报内容以及来自企业的其他信息关联起来。在事件响应中,企业发生的事情常常比攻击的技术细节本身来得重要。
•决定:这意味着搞清楚某一刻该怎么做。这其实很难,因为这需要知道谁有权决定,然后需要为他们提供迅速决定的信息。安全事件响应决定常常少不了高管的意见,所以能够迅速、高效地为那些人提供所需的信息显得很重要。所有决定都需要事后可以辩护,并记录在案。监控环境和诉讼环境都已变得错综复杂,在做出决定时需考虑到可辩护性。
•行动:这意味着能够在我们的网络上迅速、高效地进行更改。安全事件响应团队需要访问企业网络――企业的所有网络。还是那一句话,事件不一样;不可能事先知道安全事件响应团队需要哪一种访问。不过最终,他们需要广泛的访问权;安全来自审计,而不是来自访问控制。他们还需要反复培训,因为没有什么比实践更能加强人员的行动能力。
把所有这些工具纳入到统一框架下,就可以让安全事件响应奏效。而让事件响应奏效是让安全奏效的根本秘诀。这里的目标是以我们之前在网络安全领域从未见过的方式,把人员、过程和技术结合起来。为了继续有效地防御威胁,我们需要这么做。
回复:QQ群,微信群,可加群交流。