国家级APT组织攻击频繁 安全应急响应成救命稻草

点击“蓝字”

关注我们

本文 4609字   阅读约需15分钟

新冠疫情期间，黑客组织趁火打劫，网络攻击活动激增。具有国家背景的黑客组织频繁攻击我国政府与医疗机构。

网络攻击防不胜防，快速响应、最大程度降低数据泄露风险成为当前最迫切需求。

疫情期间，针对我国的网络攻击丝毫没有停滞的迹象，反而出现激增。截至目前，奇安信安全专家组建的抗疫情报团，已发现5起以上国家级APT组织针对我国的攻击事件。

网络攻击已不再是是否发生，而是何时发生的问题，政企机构必须构建有力的安全应急体系，应对不可避免的网络攻击行为和不断演化的网络威胁。

应急响应成为救命稻草

根据马里兰大学的研究，黑客每39秒就发起一次攻击，平均每天进行2244次攻击。奇安信集团发布的《2019年网络安全应急响应分析报告》研究结果也显示，2019年针对我国政府机构、大中型企业的攻击呈逐年上升趋势，网络攻击从未停止过。

在攻击频率提高的同时，网络攻击的手段日益复杂和多样，安全防御难度越来越高，攻击造成的损失也日益严重。

此外，据波耐蒙研究所（Ponemon Institute)发布的《2019年数据泄露成本报告》，过去五年中，全球数据泄露的平均成本已增长12％，达到392万美元。 

攻防双方在资源、能力和投入上的明显不对称性，驱动政企机构不断加强应急响应体系建设。

对政企机构的安全人员来说，应急防护体系建设应基于这样的假设：系统或组件已遭受入侵，或者其中包含未发现的安全漏洞，导致出现无法检测的网络入侵。而机构的职能和业务却必须在面临遭受入侵的情况下继续运行。

应急响应体系建设的主要目标就是降低网络攻击的损害、缩短恢复时间。例如，美国国防部每年在网络安全上的支出超过30亿美元，其运营理念是假设其未加密的网络可能会被渗透，因此专注于维持运营、最大程度地减少数据泄露造成的损失。

应急处置机制亟待完善

安全应急重要性的日益凸显，但《2019年网络安全应急响应分析报告》显示，网络安全应急处置机制亟待完善。网络新型威胁和病毒的不断出现，在加大各行业新型安全威胁风险的同时，暴露出行业网络安全存在防护短板、人员缺乏安全意识的问题。

对全球3600位网络安全与IT专业人士的调查也显示，政企机构在安全应急响应体系建设上明显不足：77%的机构仍然没有制定安全应急响应方案。这意味着在遭遇网络攻击之后，大部分机构将不能迅速遏制和消除网络攻击的影响，网络攻击造成的损失将会被显著放大。

《2019数据泄露成本报告》透露，数据泄露事件的平均生命周期为279天。政企机构在发生泄漏后206天才能首次发现，而要遏制数据泄露则还需要73天。

政府机构数据泄露事件的平均识别时间（MTTI）和平均控制时间（MTTC）减少，将会带来数据泄露损失的降低。研究表明，能够快速响应，在30天内有效遏制网络攻击的机构，可将数据泄露成本平均降低100万美元以上。

但《2019数据泄露成本报告》报告显示，从2015年到2019年，这两个数字并未出现逐步改善的趋势。平均控制时间（MTTC）甚至还呈现不断增加的趋势。（从69天到73天）。这两个数字再次说明网络安全应急处置机制亟待完善。

根据《2019年应急响应分析报告》，我国医疗卫生、政府部门、事业单位行业是2019年攻击者攻击的主要目标。从安全事件的影响范围来看，政府机构、大中型企业的业务专网、办公终端、内部业务系统服务器以及数据库是攻击者的主要攻击对象。

各行业应根据自身行业特点，健全网络安全技术支撑体系，通过宣传教育、攻防演练等方式加强网络安全意识培训，完善网络安全应急处突机制。

应急响应呈现两大趋势

1、关口前移，应急响应小时化

随着网络安全环境的越来越复杂，安全事件层出不穷，给企业造成了严重的影响。为了保障企业的业务系统安全、稳定、持续运行，企业需要加强网络安全防护水平，以及网络安全事件应急指挥能力建设，做到关口前移，防患于未然。

应急响应要前移，即在事前做好充分准备，抓住危机发生的关键因素和触发点，进行预防和预警，才能有效地消除矛盾、控制危机。应急管理的重点是危机发生之后的处置，进行24小时监测分析，发生安全事件后，达到重大事件“分钟级”的应急处置、“小时级”的恢复处理——应急小时化。

在“应急小时化”的今天，企业需要进一步加强网络安全防护运行工作，除了采用定期检查和突发事件应急响应等偏被动的常规机制外，还需提升安全防护工作的主动性，根据网络安全法规定的定期开展安全应急演练工作，网络实战攻防演习便是在新的网络安全形势下，通过攻防双方之间的对抗演习，从而实现“防患于未然”。

2、加快人才培养、引入第三方力量

尽管企业对网络安全的关注与投资与日俱增，但是安全事件的数量和影响并没有因此而减少。并且，随着网络攻击形式越来越多，攻击的复杂程度也越来越高。另一方面，网络安全风险加剧，网络安全人才缺口也不断加大。

加强专业应急安全人才队伍的建设是企业应对频发安全事件的关键。应急响应要通过人工去发现、分析、研判、处理突发的安全事件。应急响应人员需要具备一定的攻防能力、数据分析能力、安全逆向能力、网络基础知识等多项关键能力。

面对当前的网络安全人才短缺、传统的技术和产品的脱轨以及安全预算的不足，导致企业面临样式繁多且日益复杂的网络攻击，显得心有余而力不足。引入第三方专业安全公司的力量，能够更好的防御这些安全威胁，保护企业的网络安全。

应急响应的创新与实践

随着网络空间安全概念的形成，网络安全事件呈现高危频发的新态势，应急响应理念也在发生变化，NIST于2014年启动关于网络空间安全框架（Cybersecurity Framework）的标准研究，并于2016年12月发布了NIST SP 800-184 《网络空间安全事件恢复指南》，提出了从防范事故向威胁预警的应急响应理念的转变。

在网络安全应急响应方面，我国也制定了相关标准。比如：2007年发布《信息技术安全技术信息安全事件管理指南》，对信息安全事件发现、报告、评估、总结进行了规范，并提出应当将应急方案形成文件。2009年，发布了《信息安全技术信息安全应急响应计划规范》，该标准主要对应急响应的总体流程进行了规范。

1987年，美国宾夕法尼亚匹兹堡软件工程研究所提出了PDCERF方法，将应急响应分成准备、检测、抑制、根除、恢复、跟踪等六个阶段的工作，并根据网络安全应急响应总体策略，对每个阶段定义适当的目的，明确响应顺序和过程。目前DCERF模型被国际上视为权威的处置网络安全事件的应急响应方法论。

应急响应PDCERF模型

应急响应PDCERF模型六个阶段：

No.1

准备阶段

此阶段以预防为主。主要工作涉及识别公司的风险，建立安全政策，建立协作体系和应急制度；按照安全政策配置安全设备和软件，为应急响应与恢复做准备。通过网络安全措施，为网络安全进行一些准备工作，比如：扫描、风险分析、打补丁。如有条件且得到许可，建立监控设施，建立数据汇总分析的体系和能力；制定能够实现应急响应目标的策略和规程，建立信息沟通渠道；建立能够集合起来处理突发事件的体系。

No.2

检测阶段

检测阶段主要是检测事件是已经发生还是在进行中，以及事件产生的原因和性质。确定事件性质和影响的严重程度，预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，并预估安全事件的范围。通过汇总，确定是否发生了全网的大规模事件；确定应急等级，决定启动哪一级应急方案。

No.3

抑制阶段

抑制阶段的主要任务是限制攻击/破坏所波及的范围，同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。

No.4

根除阶段

根除阶段的主要任务是通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同手段攻击系统，引发安全事件。并加强宣传，公布危害性和解决办法，呼吁用户解决终端问题；加强监测工作，发现和清理行业与重点部门问题。

No.5

恢复阶段

恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说，要成功地恢复被破坏的系统，需要维护干净的备份系统，编制并维护系统恢复的操作手册，而且在系统重装后需要对系统进行全面的安全加固。

No.6

跟踪阶段

跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵，基于入侵的严重性和影响，确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要，参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

政企单位需增强四大能力

网络攻击事件无时无刻都在发生，我们要做的是提高攻击成本，缩短响应时间，在不固定的时间点，做好应对安全事件的准备。提前做好准备工作既有助于减少网络安全事件的发生，也有助于网络安全突发事件的及时处理，减少不必要的损失。

完整的应急响应流程可以保障企业在出现重大安全事件时，能有条不紊的进行处置，及时把破坏范围缩小。建立良好的网络安全应急保障体系，使其能够真正有效地服务于网络安全保障工作，因此，企业应该重点加强以下几方面的能力：

1、综合分析与汇聚能力

网络安全领域的应急保障，有其自身较为明显的特点，其对象灵活多变、信息复杂海量，难以完全靠人力进行综合分析决策，需要依靠自动化的现代分析工具，实现对不同来源海量信息的自动采集、识别和关联分析，形成态势分析结果，为指挥机构和专家提供决策依据。完整、高效、智能化，是满足现实需求的必然选择。因此，应有效建立以信息汇聚（采集、接入、过滤、范化、归并）、管理（存储、利用、管理）、分析（基础分析、统计分析、业务关联性分析、技术关联性分析）、发布（多维展现）等为核心的完整能力体系，在重大信息安全事件发生时，能够迅速汇集各类最新信息，形成易于辨识的态势分析结果，最大限度地为应急指挥机构提供决策参考依据。

2、综合管理能力

伴随着互联网的飞速发展，网络安全领域相关的技术手段不断翻新，对应急指挥的能力、效率、准确程度要求更高。在实现网络与信息安全应急指挥业务的过程中，应注重用信息化手段建立完整的业务流程，注重建立集网络安全综合管理、动态监测、预警、应急响应为一体的网络安全综合管理能力。

要切实认识到数据资源管理的重要性，结合日常应急演练和管理工作，做好应急资源库、专家库、案例库、预案库等重要数据资源的整合、管理工作，在应急处理流程中，能够依托自动化手段，针对具体事件的研判处置推送关联性信息，不断丰富数据资源。

3、协同作战能力

研判、处置重大网络信息安全事件，需要多个单位、部门和应急队伍进行支撑和协调，需要建设良好的通信保障基础设施，建立顺畅的信息沟通机制，并通过经常开展应急演练工作，使各单位、个人能够在面对不同类型的事件时，熟悉所承担的应急响应角色，熟练开展协同保障工作。

4、网络安全日常管理能力

网络安全日常管理与应急工作不可简单割裂。两者都需要建立在对快速变化的信息进行综合分析、研判、辅助决策的基础之上，拥有很多相同的信息来源和自动化汇聚、分析手段。同时，日常工作中的应急演练管理、预案管理等工作，本身也是应急响应能力建设的一部分。

因此，在流程机制设计、自动化平台支撑等方面，应充分考虑2种工作状态的联系，除对重大突发网络安全事件应急响应业务进行能力设计实现外，还应注重强化对日常业务的支撑能力，以能够最大限度地发挥管理机构能力和效力。

关于作者

低调小飞：虎符智库专家、资深白帽子。