网络安全应急响应的回顾与展望

---

一.什么是应急响应？

Emergency Response/Incident Response ：安全人员在遇到 突发事件 后所采取的措施和行动
突发事件：影响一个系统的正常工作的情况，此处的系统包括主机以及网络范围内的问题，这种”情况“包括常见的黑客入侵、信息窃取，DDOS拒绝攻击、网络流量异常等。

---

二.网络安全应急响应的启发

• 1988 Moris - 第一个计算机应急响应组织出现

  1988年11月，罗伯特·塔潘·莫里斯（Robert Tappan Morris，著名密码学家Robert Morris Sr.的儿子）当时还是康奈尔大学20多岁的研究生，　
  　
  某天，他想知道互联网有多大——也就是连接了多少台设备。
  

  于是他编写了一个程序，可以在计算机间传播，并要求每台机器将信号发送回控制服务器，以进行计数，非常简洁的方案。1988年11月2日该程序被从麻省理工学院（MIT）施放到互联网上（不知是否是要掩盖自己在康奈尔）。
  程序运行的效果非常好，其实是太好了以致莫里斯自己很快无法控制，出现了恐慌。
  短短12小时内，超过6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪，其中涉及NASA、各主要大学以及未被披露的美国军事基地，不计其数的数据和资料毁于这一夜之间。

  最后由普渡和伯克利大学的研究人员花了72个小时来解决制止这种蠕虫。在莫里斯蠕虫病毒数周之后，卡内基梅隆大学建立了世界上第一个网络应急响应小组。1990年，国际网络安全合作组织FIRST（Forum of Incident Response and Security Teams）正式成立。

• 2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系

  2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生
  红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 。它会攻击运行微软IIS Web服务器的计算机。
  eEye Digital Security员工Marc Maiffret和Ryan Permeh首先发现和研究了红色代码蠕虫，蠕虫利用了Riley Hassell发现的漏洞。他们将其命名为“Code Red”，因为Code Red Mountain Dew是他们当时正在喝的饮料
  尽管蠕虫在7月13日开始散布，2001年7月19日就感染了数量最多的计算机。在这一天，受感染的主机数量达到了359,000台。

三.应急响应在安全保障整体工作中的作用

• 问题：怎么样才算是“安全的”？
  如果你有100万两黄金，有两个人地方你可以去放，一个是在沙哈拉沙漠，一个是在人民广场的箱子里，你会选择放在哪里呢？有的人肯定想我要放在沙哈拉沙漠，因为那个地方是一个很少人接触的地方，有的人肯定想，我要放在人民广场的箱子里，因为那个地方的人多，出现了问题可以随时响应，事实证明，空有安全防护，未有安全响应体系的防护安全是没有意义的。

• 结论：响应时间和抗攻击时间的关系
  安全取决于响应时间和抗攻击时间的关系 Rt ≤ ∑Pt (及时响应是安全保障的关键)

• 推论：

  安全保障的各个环节不应该是相互孤立的
  安全是相对的，具体要求各不相同
  投资多、设备好不一定安全级别高

---

四.应急响应事件处理的一般阶段

俗话说，道高一尺，魔高一丈，不管我们做了多少的安全方面的工作，攻击者还是有可能在一个夜黑风高的晚上偷偷的潜入到我们的系统，拿到我们的Shell，作为对应的安全人员，应有效制定出对应的应急响应流程，做到事件之前的防护，事件之中的检测，以及检测到以后的响应和恢复。以下为应急响应事件处理的一般阶段

• 第一阶段：准备——严阵以待（策略、防御、程序、人员、工具、基础设施、资金）
• 第二阶段：确认 ——对情况综合判断 （检测、调查、评价、报告、决策）
• 第三阶段：封锁——制止事态的扩大 （安全域（地理/层次/人机/业务）、边界控制）
• 第四阶段：根除——彻底的补救措施 （定位、对症下药、副作用）
• 第五阶段：恢复——备份，顶上去！ （数据恢复、状态恢复、行为恢复、环境恢复）
• 第六阶段：跟踪 ——还有会第二次吗？ （追究责任、改进）

---

五.安全应急响应的展望

• 复杂性大幅上升：相互交织越来越深入和密切，单点应急效果有限
• 更加依赖于大数据：基于大数据建立精准应对能力,没有数据就没有
• 需要知识积累与应用:知识与威胁情报是关键，否则无法科学响应
• 需要大范围协同:多领域、大范围、多国家的协同，需要配套的机制和能力
• 安全需求升级:新基础设施的安全、数据安全壁垒必须解决
• “黄金时间”是关键:提前预警，从ER到IR，缩短响应速度、延长时间窗，等等
• 专业人员:需要足够多的专业人员
• 媒体管理理:新媒体和自媒体时代，发挥其优势，减少其副作用
• 素质教育：全民科学和安全素养的提升，需持续进行