国家级APT组织攻击频繁 安全应急响应成救命稻草
The following article is from 虎符智库 Author 低调小飞
点击“蓝字”
关注我们
本文 4609字 阅读约需15分钟
新冠疫情期间,黑客组织趁火打劫,网络攻击活动激增。具有国家背景的黑客组织频繁攻击我国政府与医疗机构。
网络攻击防不胜防,快速响应、最大程度降低数据泄露风险成为当前最迫切需求。
疫情期间,针对我国的网络攻击丝毫没有停滞的迹象,反而出现激增。截至目前,奇安信安全专家组建的抗疫情报团,已发现5起以上国家级APT组织针对我国的攻击事件。
网络攻击已不再是是否发生,而是何时发生的问题,政企机构必须构建有力的安全应急体系,应对不可避免的网络攻击行为和不断演化的网络威胁。
应急响应成为救命稻草
根据马里兰大学的研究,黑客每39秒就发起一次攻击,平均每天进行2244次攻击。奇安信集团发布的《2019年网络安全应急响应分析报告》研究结果也显示,2019年针对我国政府机构、大中型企业的攻击呈逐年上升趋势,网络攻击从未停止过。
在攻击频率提高的同时,网络攻击的手段日益复杂和多样,安全防御难度越来越高,攻击造成的损失也日益严重。
此外,据波耐蒙研究所(Ponemon Institute)发布的《2019年数据泄露成本报告》,过去五年中,全球数据泄露的平均成本已增长12%,达到392万美元。
攻防双方在资源、能力和投入上的明显不对称性,驱动政企机构不断加强应急响应体系建设。
对政企机构的安全人员来说,应急防护体系建设应基于这样的假设:系统或组件已遭受入侵,或者其中包含未发现的安全漏洞,导致出现无法检测的网络入侵。而机构的职能和业务却必须在面临遭受入侵的情况下继续运行。
应急响应体系建设的主要目标就是降低网络攻击的损害、缩短恢复时间。例如,美国国防部每年在网络安全上的支出超过30亿美元,其运营理念是假设其未加密的网络可能会被渗透,因此专注于维持运营、最大程度地减少数据泄露造成的损失。
应急处置机制亟待完善
安全应急重要性的日益凸显,但《2019年网络安全应急响应分析报告》显示,网络安全应急处置机制亟待完善。网络新型威胁和病毒的不断出现,在加大各行业新型安全威胁风险的同时,暴露出行业网络安全存在防护短板、人员缺乏安全意识的问题。
对全球3600位网络安全与IT专业人士的调查也显示,政企机构在安全应急响应体系建设上明显不足:77%的机构仍然没有制定安全应急响应方案。这意味着在遭遇网络攻击之后,大部分机构将不能迅速遏制和消除网络攻击的影响,网络攻击造成的损失将会被显著放大。
《2019数据泄露成本报告》透露,数据泄露事件的平均生命周期为279天。政企机构在发生泄漏后206天才能首次发现,而要遏制数据泄露则还需要73天。
政府机构数据泄露事件的平均识别时间(MTTI)和平均控制时间(MTTC)减少,将会带来数据泄露损失的降低。研究表明,能够快速响应,在30天内有效遏制网络攻击的机构,可将数据泄露成本平均降低100万美元以上。
但《2019数据泄露成本报告》报告显示,从2015年到2019年,这两个数字并未出现逐步改善的趋势。平均控制时间(MTTC)甚至还呈现不断增加的趋势。(从69天到73天)。这两个数字再次说明网络安全应急处置机制亟待完善。
根据《2019年应急响应分析报告》,我国医疗卫生、政府部门、事业单位行业是2019年攻击者攻击的主要目标。从安全事件的影响范围来看,政府机构、大中型企业的业务专网、办公终端、内部业务系统服务器以及数据库是攻击者的主要攻击对象。
各行业应根据自身行业特点,健全网络安全技术支撑体系,通过宣传教育、攻防演练等方式加强网络安全意识培训,完善网络安全应急处突机制。
应急响应呈现两大趋势
1、关口前移,应急响应小时化
随着网络安全环境的越来越复杂,安全事件层出不穷,给企业造成了严重的影响。为了保障企业的业务系统安全、稳定、持续运行,企业需要加强网络安全防护水平,以及网络安全事件应急指挥能力建设,做到关口前移,防患于未然。
应急响应要前移,即在事前做好充分准备,抓住危机发生的关键因素和触发点,进行预防和预警,才能有效地消除矛盾、控制危机。应急管理的重点是危机发生之后的处置,进行24小时监测分析,发生安全事件后,达到重大事件“分钟级”的应急处置、“小时级”的恢复处理——应急小时化。
在“应急小时化”的今天,企业需要进一步加强网络安全防护运行工作,除了采用定期检查和突发事件应急响应等偏被动的常规机制外,还需提升安全防护工作的主动性,根据网络安全法规定的定期开展安全应急演练工作,网络实战攻防演习便是在新的网络安全形势下,通过攻防双方之间的对抗演习,从而实现“防患于未然”。
2、加快人才培养、引入第三方力量
尽管企业对网络安全的关注与投资与日俱增,但是安全事件的数量和影响并没有因此而减少。并且,随着网络攻击形式越来越多,攻击的复杂程度也越来越高。另一方面,网络安全风险加剧,网络安全人才缺口也不断加大。
加强专业应急安全人才队伍的建设是企业应对频发安全事件的关键。应急响应要通过人工去发现、分析、研判、处理突发的安全事件。应急响应人员需要具备一定的攻防能力、数据分析能力、安全逆向能力、网络基础知识等多项关键能力。
面对当前的网络安全人才短缺、传统的技术和产品的脱轨以及安全预算的不足,导致企业面临样式繁多且日益复杂的网络攻击,显得心有余而力不足。引入第三方专业安全公司的力量,能够更好的防御这些安全威胁,保护企业的网络安全。
应急响应的创新与实践
随着网络空间安全概念的形成,网络安全事件呈现高危频发的新态势,应急响应理念也在发生变化,NIST于2014年启动关于网络空间安全框架(Cybersecurity Framework)的标准研究,并于2016年12月发布了NIST SP 800-184 《网络空间安全事件恢复指南》,提出了从防范事故向威胁预警的应急响应理念的转变。
在网络安全应急响应方面,我国也制定了相关标准。比如:2007年发布《信息技术安全技术信息安全事件管理指南》,对信息安全事件发现、报告、评估、总结进行了规范,并提出应当将应急方案形成文件。2009年,发布了《信息安全技术信息安全应急响应计划规范》,该标准主要对应急响应的总体流程进行了规范。
1987年,美国宾夕法尼亚匹兹堡软件工程研究所提出了PDCERF方法,将应急响应分成准备、检测、抑制、根除、恢复、跟踪等六个阶段的工作,并根据网络安全应急响应总体策略,对每个阶段定义适当的目的,明确响应顺序和过程。目前DCERF模型被国际上视为权威的处置网络安全事件的应急响应方法论。
应急响应PDCERF模型
应急响应PDCERF模型六个阶段:
No.1
准备阶段
此阶段以预防为主。主要工作涉及识别公司的风险,建立安全政策,建立协作体系和应急制度;按照安全政策配置安全设备和软件,为应急响应与恢复做准备。通过网络安全措施,为网络安全进行一些准备工作,比如:扫描、风险分析、打补丁。如有条件且得到许可,建立监控设施,建立数据汇总分析的体系和能力;制定能够实现应急响应目标的策略和规程,建立信息沟通渠道;建立能够集合起来处理突发事件的体系。
No.2
检测阶段
检测阶段主要是检测事件是已经发生还是在进行中,以及事件产生的原因和性质。确定事件性质和影响的严重程度,预计采用什么样的专用资源来修复。选择检测工具,分析异常现象,提高系统或网络行为的监控级别,并预估安全事件的范围。通过汇总,确定是否发生了全网的大规模事件;确定应急等级,决定启动哪一级应急方案。
No.3
抑制阶段
抑制阶段的主要任务是限制攻击/破坏所波及的范围,同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。
No.4
根除阶段
根除阶段的主要任务是通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同手段攻击系统,引发安全事件。并加强宣传,公布危害性和解决办法,呼吁用户解决终端问题;加强监测工作,发现和清理行业与重点部门问题。
No.5
恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。
No.6
跟踪阶段
跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。
政企单位需增强四大能力
网络攻击事件无时无刻都在发生,我们要做的是提高攻击成本,缩短响应时间,在不固定的时间点,做好应对安全事件的准备。提前做好准备工作既有助于减少网络安全事件的发生,也有助于网络安全突发事件的及时处理,减少不必要的损失。
完整的应急响应流程可以保障企业在出现重大安全事件时,能有条不紊的进行处置,及时把破坏范围缩小。建立良好的网络安全应急保障体系,使其能够真正有效地服务于网络安全保障工作,因此,企业应该重点加强以下几方面的能力:
1、综合分析与汇聚能力
网络安全领域的应急保障,有其自身较为明显的特点,其对象灵活多变、信息复杂海量,难以完全靠人力进行综合分析决策,需要依靠自动化的现代分析工具,实现对不同来源海量信息的自动采集、识别和关联分析,形成态势分析结果,为指挥机构和专家提供决策依据。完整、高效、智能化,是满足现实需求的必然选择。因此,应有效建立以信息汇聚(采集、接入、过滤、范化、归并)、管理(存储、利用、管理)、分析(基础分析、统计分析、业务关联性分析、技术关联性分析)、发布(多维展现)等为核心的完整能力体系,在重大信息安全事件发生时,能够迅速汇集各类最新信息,形成易于辨识的态势分析结果,最大限度地为应急指挥机构提供决策参考依据。
2、综合管理能力
伴随着互联网的飞速发展,网络安全领域相关的技术手段不断翻新,对应急指挥的能力、效率、准确程度要求更高。在实现网络与信息安全应急指挥业务的过程中,应注重用信息化手段建立完整的业务流程,注重建立集网络安全综合管理、动态监测、预警、应急响应为一体的网络安全综合管理能力。
要切实认识到数据资源管理的重要性,结合日常应急演练和管理工作,做好应急资源库、专家库、案例库、预案库等重要数据资源的整合、管理工作,在应急处理流程中,能够依托自动化手段,针对具体事件的研判处置推送关联性信息,不断丰富数据资源。
3、协同作战能力
研判、处置重大网络信息安全事件,需要多个单位、部门和应急队伍进行支撑和协调,需要建设良好的通信保障基础设施,建立顺畅的信息沟通机制,并通过经常开展应急演练工作,使各单位、个人能够在面对不同类型的事件时,熟悉所承担的应急响应角色,熟练开展协同保障工作。
4、网络安全日常管理能力
网络安全日常管理与应急工作不可简单割裂。两者都需要建立在对快速变化的信息进行综合分析、研判、辅助决策的基础之上,拥有很多相同的信息来源和自动化汇聚、分析手段。同时,日常工作中的应急演练管理、预案管理等工作,本身也是应急响应能力建设的一部分。
因此,在流程机制设计、自动化平台支撑等方面,应充分考虑2种工作状态的联系,除对重大突发网络安全事件应急响应业务进行能力设计实现外,还应注重强化对日常业务的支撑能力,以能够最大限度地发挥管理机构能力和效力。
关于作者
低调小飞:虎符智库专家、资深白帽子。