【51CTO.com原創稿件】常言道：屋漏偏逢連夜雨，我同學所供職的公司最近真是禍不單行。月頭遭遇了與合作商討論對接的網站被莫名灌入了海量的垃圾帖子和信息之后;月中某位好奇害死貓的銷售部員工點開了不明郵件的鏈接，導致了存有重要銷售數據的文件被勒索軟件鎖定且高度加密;而月底則又有某位員工在離職之時批量導出項目文件和郵件，其高流量致使內網一度癱瘓、業務全部中斷的惡果。他和所在的團隊被迫持續地既充當“救火隊員”又當“炊(bei)事(le)班(hei)長(guo)”，風風火火地經歷了數個不眠之夜，可到頭來還是被公司管理層責備。

怎么說呢?我覺得此事既在情理之中，又在意料之外。多年來，我們信息安全應急響應團隊身處于整個管控環節的末端，只有在安全事件發生之后才能被告知到。因此長期以來我們所形成的固定思維便是：唯有精湛的技術和第一時間到達現場的熱情才能體現我們的價值。可是現如今，無論是技術水平還是企業生存環境都已經發生了翻天覆地變化，我們光靠那種傳統的“猛虎式”的快速響應顯然只會給本來“干燥氛圍”帶去“火星”，而往往產生所謂的“次生事件效應”。但是，如果我們能夠在注重溝通與報告的基礎上，有計劃、分步驟地以“蟻群式”協作推進，則會在帶去“濕潤空氣”的同時，收獲到讓各方都能滿意的效果。

下面我從新的角度，提出實現安全事件管控能力的五步走流程(見下圖)。在每一步里，我都羅列了階段目標、目標時間和關鍵行動。不過要提醒大家注意的是：所謂每個階段的目標時間都并非是固定的，它們將完全取決于安全事件的性質、嚴重程度和團隊的完成進度。而關鍵行動，也并非需要強制性地去逐條執行。

第一階段：識別和分類(兄弟們，有人要搞事情，擼起袖子，加油沖過去吧!)

階段目標：

識別潛在或正在發生的信息安全事件，初步確定波及范圍和嚴重程度，進行事件的初始分類，保全第一手證據，激活事件反應小組，并按需引入相關領域的專家。

目標時間：

發現安全事件后立即進入該階段，并以24 - 48小時內完成為目標。

參考文檔：

1. 緊急聯系人列表

2. 嚴重性矩陣參考表

3. 第一階段動作分解檢查表

4. 預設安全事件報告模板

關鍵行動：

1. 當事員工應當立即向直屬領導報告任何可疑的安全事件，直屬領導參考《緊急聯系人列表》的內容將事件升級到安全團隊。

2. 安全團隊應采取措施保護證據，具體內容包括：指導員工在不關閉電源的情況下斷開被感染的系統連接，保存的截屏圖像、日志文件、以及其他潛在的有用信息。

3. 安全團隊應進行初步的技術分析，根據《嚴重性矩陣參考表》評估事故的嚴重性。

4. 安全團隊應為該安全事件創建或分配一個唯一的案件號，以便后期跟蹤。

5. 安全團隊應根據《預設安全事件處置流程》或臨時對策采取必要、合理的措施來初步抑制事件的持續。團隊應注意減少所影響到的個人和系統的損失，并最大限度保全證據或信息。其中，預設安全事件處置流程至少應涵括如下安全事件類型：

·端點及移動計算設備的惡意軟件感染

·移動計算設備的遺失或被盜

·DDoS攻擊

·網站被篡改與滲透

·魚叉式網絡釣魚或捕鯨

·目標性社會工程學

更詳盡的分類請見下圖：

6. 安全團隊應記錄事件和相應所采取的措施，并保留技術措施的日常記錄，直至事件被解決。

7. 安全團隊按需激活和組建事件響應小組，分配職責，并讓組員明確安全事件的狀態、嚴重性，且明確溝通渠道與方式。

8. 響應小組回顧并填寫《第一階段動作分解檢查表》。

第二階段：調查和取證(木已成舟，匆忙恢復的話，不但可能事倍功半，甚至可能造成忙中出錯。像柯南那樣think twice，利用調查來對事件進行深入分析，磨刀不誤砍柴工。)

階段目標：

通過進行調查與取證，識別根本原因并著手恢復。

目標時間：

開始于發現信息安全事件的24小時之內。根據事件的性質，該階段可能在幾小時或幾天內完成，或可能持續幾個月(一般不超過3個月)。根據復雜程度，響應小組可能需要多輪復查。

關鍵行動：

1. 響應小組應與取證專家交流，確保控制策略不會在無意中刪除證據或對徹底的調查與修復過程造成阻礙。

2. 使用預設的和經測試的流程進行調查取證，主要包括：

a. 在網絡邏輯上阻斷進出可疑設備的網絡流量，必要時更改啟動或登錄密碼等。

b. 在物理上更換鎖芯，檢查或更新門禁卡設置等。

3. 妥善保存收集到的證據，主要包括：

a. 保留所有相關日志、電子和實物文檔。所有的文檔都應該清楚、真實且有時間特征。

b. 日志和記錄應遵循適當的證據鏈的實時監護程序。

4. 響應小組通過開始初步的調查工作，并與業務或資產所有人的溝通，評估如下方面：

a. 定位根本原因：如是否是外部黑客攻破了系統;哪些登錄名/密碼被黑掉了;丟失的具體設備或被破壞的基礎設施;惡意軟件是病毒、蠕蟲還是木馬;網絡攻擊是DDoS、掃描還是嗅探;物理盜竊的具體位置;惡意員工或承包商是誰;社會工程(如釣魚)的具體手段。

b. 人員與部門的受影響程度，

c. 丟失、破壞或暴露的數據與資產的數量與程度。

d. 對人員、數據和資產的殘留威脅的嚴重程度。

e. 如果安全事件發生在第三方服務提供者處，應及時聯系以獲取初步報告，并請求定時地更新進展。

5. 向管理層報告取證、調查和評估的結果。

第三階段：抑制、根除和恢復(要用“深耕”的態度去刨根問底，不要犯那種“你以為的就是你以為的”錯誤。只有在確認抑制策略成功后方可實施根除與恢復。)

階段目標：

全面制定執行抑制策略與步驟，采取措施來根除風險，使信息、資產和基礎設施恢復正常運轉。

目標時間：

開始于發現信息安全事件的24- 48小時之內，可與調查階段同時進行。不過根據事件的性質不同，如出現了APT攻擊的話，則全面抑制、根除和恢復可能需要數小時或數天的時間。

關鍵行動：

1. 實施和驗證抑制。

a. 回顧取證環節的發現和確認安全事件已被充分調查和評估。

b. 根據發現，以點對點的方式，制定具有“時間點”和“里程碑”的抑制策略。

c. 協調相關人員在避免次生破壞的情況下實施抑制。

d. 監控和評估抑制的有效性，驗證是否成功。

e. 如果需要改進抑制策略，則可反復迭代，直至最終確認成功。

2. 實施和驗證根除與恢復。

a. 根據抑制報告，逐條列出安全漏洞與弱點，并以點對點的方式制定根除策略。

b. 策略制定過程應具有前瞻性，要充分考慮到類似事件的再次發生、其他攻擊方式的應對、根除對將來業務運行的影響等方面。

c. 根除與恢復的內容包括：卸載惡意軟件、刪除被感染且確認不再可用的文件和文件夾、阻止某個或某段IP地址、禁止對某個URL地址的訪問、永久禁用或刪除某個帳戶、修復/重建/更新操作系統或軟件。

d. 監控和評估根除的有效性，驗證是否成功。

e. 記錄執行的整個過程，并形成報告。

第四階段：通知和公關/外部通信(這不是你一個人的戰場，本階段是很多技術人員的短板，多數情況下會匆忙應對。記住，作家波西格曾說：倉促本身就是最要不得的態度。當你做某件事的時候，一旦想要求快，就表示你再也不關心它，而想去做別的事。)

階段目的：

將事件全部過程通知到管理層;從公司形象角度配合公關和外部通信。

目標時間：

從上述的第一到三階段都可以開始，但要盡早。

關鍵行動：

1. 識別需要通知到的人群，例如：當事人、受影響的客戶或雇員、商業銀行、信用卡中心和媒體等。

2. 響應小組與PR或市場部門協作，準備一個完備的計劃來減輕事件對客戶關系的影響。在事件波及一個以上客戶或合作方的時候，注意通信的關聯性和次序。

3. 響應小組委派專門人員負責對客戶、合作方以及外部調查部門提供技術細節解答和支持。

4. 響應小組根據安全事件，對既定合同中涉及的責任條款予以技術核實，并提供必要的解釋。

5. 起草在外部網站上和/或呼叫中心熱線電話里發布的官方內容，并為各方提供持續的更新，常見問題解答，進一步溝通方式等。

6. 定期監控呼叫中心收到的電話數量和問題類型，提供必要的改進。

7. 如果安全事件發生在第三方服務提供者處，應從技術層面審查相關合同的責任條款，評估賠償或其他索賠的權利。

第五階段：事后工作(喬布斯曾說過：Keep looking. Don't settle. 此階段就像是砌墻，你堆好了磚頭、填進了水泥，但總要再給點時間讓水泥風干，以及必要的后期修補，墻才能夠結實)

階段目標：

將安全事件和恢復過程進行最終文檔化，在放置復發的同時，以供監管部門的檢查和必要的訴訟。

目標時間：

第三階段完成后，可常規化。

關鍵行動：

1. 評審上述四個階段的響應和執行效果，分析與原定計劃的偏離部分及其原因，并提出改進方案。

2. 安全團隊根據事件所涉及的既定服務級別，標注出需要調整和改進之處。

3. 引導內部相關職能部門開展信息安全方面的自查工作，防止類似事件的復發。

4. 安全團隊總結經驗教訓報告，增強日常的監控、改善事件響應演練、有針對性的對其他部門開展培訓和意識增強等工作。

總結

通過對上述五個階段的詳解，您應該能看出，我在此所提出的安全事件響應的新思路主要體現在：

1. 增加 “通知和公關/外部通信”階段，體現溝通與盡責。

2. 每個階段設定目標時間，有利于團隊在進度上的張弛掌控。

3. 各個階段都通過審查和驗證來確認工作的成效。

4. 通過各種報告來實現雁過留痕。

可見，隨著各個行業的國際化和規范化，許多企業的日常運營都會受到監管和披露的要求，所以加強溝通與報告顯得尤為重要。我們不要做那頭只會低頭拉車不會抬頭看路的老黃牛。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】