【安全】事件响应

安全包括保护、检测和响应，缺一不可。不过，业界过了很长时间后才达到这个阶段。上世纪90年代是高举保护大旗的时代。安全行业到处是保护计算机和网络的产品。到2000年，我们意识到检测也需要正式化，结果业界到处是检测产品和服务。

这十年是响应唱主角的时代。在过去的几年，我们已开始看到安全事件响应产品和服务。由于计算机行业出现的三大趋势，安全团队正将它们整合到工具库中。

第一个趋势是，我们对计算环境失去了控制权。我们的更多数据由其他公司存放在云端，我们的更多实际网络外包出去。由于我们可能无法了解自己的关键网络基础设施的某些部分，这加大了响应的难度。

第二个趋势是，攻击正变得越来越狡猾。APT（高级持续性威胁）大行其道，随之带来了一批新的攻击者，这就需要一种新的威胁模型。APT这种攻击非常有针对性，其目的并不局限于简单的金融盗窃牟利，此外，由于黑客攻击成为地缘政治中更不可或缺的一部分，毫不相干的网络日益成为国家与国家对抗的间接受害者。

第三个趋势是，许多公司在保护和检测方面继续投入不足，即便在最好的情况下，这两个方面也不尽如人意，从而迫使响应方收拾残局。

早在90年代的时候我就说过“安全是一个过程，而非产品”（security is aprocess, not a product）。这句势，你需要不断地重新评估自身的安全状况。

在战术层面，安全既是产品，又是过程。确实，安全结合了人员、过程和技术。变化的只是三者的比例而话道出了这个谬论：以为安全工作可以一蹴而就。面对不断变化的威胁形已。保护系统几乎就是技术，而人员和过程提供了一些帮助。检测需要比例差不多的人员、过程和技术。响应基本上由人员完成，过程和技术提供了关键的帮助。

可用性方面的专家Lorrie Faith Cranor 曾写道：“只要有可能，安全系统设计师应想方设法不需要人员介入。”这是明智的建议，可是你无法让事件响应实现自动化。每个人的网络不一样，所有攻击也不一样，每个人的安全环境不一样，监管环境不一样，所有企业都不一样，政治和经济方面的考量往往比技术方面的考量更重要。事件响应需要人员，因为成功的安全事件响应需要思考。

这是安全行业的新局势，这意味着响应产品和服务看上去有所不同。就大部分时期而言，安全行业一直饱受柠檬市场（lemons market）问题的困惑。这个经济学术语是指买家无法区别好产品和坏产品的市场。在这种市场，平庸的产品将优秀的产品逐出市场，凭借的正是价格，因为没有好的方法来检验质量。反病毒领域是这样，防火墙领域是这样，入侵检测系统（IDS）领域是这样，其他方面也是这样。但由于事件响应注重人员，保护和检测则不然，所以这个领域不存在柠檬市场问题。更好的产品会做得更好，因为买家很快能够确定它们更胜一筹。

事件响应成功的关键在于Cranor的下一句话：“不过就一些任务而言，除了人员外，没有切实可行或经济高效的办法来完成。在这种情况下，系统设计师设计的系统应支持让人员介入的理念，并且最大限度地提高人员成功履行安全职能的可能性。”我们需要的就是帮助人员的技术，而不是取代人员的技术。

我发觉这方面最好的办法就是OODA循环。OODA代表“观察、适应、决定和行动”（observe, orient, decide, act），这是考虑实时对抗情形的一种方式，由美国空军军事战略家John Boyd研发而成。他当时考虑的是战斗机，但总体思路已广泛应用于从合同谈判到拳击、乃至计算机和网络事件响应的各个领域。

速度非常重要。这种情形下的人在脑子里不断进行OODA循环。如果你进行OODA循环的速度比别人快，如果你能进入“对方的OODA循环”，那你就获得了巨大优势。

我们需要为所有这些步骤提供便利的工具：

•观察：这意味着实时知道我们的网络上发生了什么情况。这包括来自IDS的实时威胁检测信息、日志监控及分析数据、网络和系统性能数据、标准网络管理数据，甚至物理安全信息，然后工具知道使用哪些工具来综合并呈现采用有用格式的信息。事件并不是标准化；它们都不一样。事件响应团队对网络上发生的事情观察越仔细，对攻击的了解就越透彻。这意味着，事件响应团队需要能够跨整个企业运作。

•适应：这意味着理解在具体环境下的意义，包括在企业环境下以及在更广泛的互联网社区环境下。光了解攻击还不够；安全事件响应团队要知道攻击意味着什么。网络犯罪分子是不是使用了一种新的恶意软件？企业在部署一个新的软件包还是计划裁员？该企业之前有没有见过来自这一个IP地址的攻击？网络有没有向新的战略性合作伙伴敞开？要回答这些问题，就意味着将来自网络的数据与来自新闻的信息、网络情报内容以及来自企业的其他信息关联起来。在事件响应中，企业发生的事情常常比攻击的技术细节本身来得重要。

•决定：这意味着搞清楚某一刻该怎么做。这其实很难，因为这需要知道谁有权决定，然后需要为他们提供迅速决定的信息。安全事件响应决定常常少不了高管的意见，所以能够迅速、高效地为那些人提供所需的信息显得很重要。所有决定都需要事后可以辩护，并记录在案。监控环境和诉讼环境都已变得错综复杂，在做出决定时需考虑到可辩护性。

•行动：这意味着能够在我们的网络上迅速、高效地进行更改。安全事件响应团队需要访问企业网络――企业的所有网络。还是那一句话，事件不一样；不可能事先知道安全事件响应团队需要哪一种访问。不过最终，他们需要广泛的访问权；安全来自审计，而不是来自访问控制。他们还需要反复培训，因为没有什么比实践更能加强人员的行动能力。

把所有这些工具纳入到统一框架下，就可以让安全事件响应奏效。而让事件响应奏效是让安全奏效的根本秘诀。这里的目标是以我们之前在网络安全领域从未见过的方式，把人员、过程和技术结合起来。为了继续有效地防御威胁，我们需要这么做。

回复：QQ群，微信群，可加群交流。