准备阶段是应急响应流程中时间最长、要素最多、任务最杂的阶段,需要花费大量的时间和资源进行部署。应急响应是一种被动的安全体系,对于防御方来说,下次安全事件的发生时间、发生地点、事件类型及影响程度都是无法提前预估的。充足的准备是为了确保应急响应人员在安全事件发生时,能够迅速、高效地处置各类网络安全事件,应对响应过程中的各种突发状况。
维护网络安全,需要从两个方面进行准备:一是“未雨绸缪”,在安全事件发生前,针对防御目标网络中可能出现的风险,制定相应的安全策略和制度,降低安全事件发生的可能;二是“亡羊补牢”,就是提前制定安全事件发生后的应对措施,建立起能够处理突发安全事件的体系,将安全事件的影响降到最低。
应急响应准备工作主要从以下六个方面展开:
1.制定网络安全策略
网络安全策略指的是在网络安全领域内用于与安全相关活动的一套规则,这些规则定义了如何管理和保护网络系统软硬件、网络中数据信息等一系列与网络安全相关的内容。
常见的网络安全策略:保护网络硬件设备免受自然灾害、人为破坏和搭线攻击的物理安全策略;及时修复操作系统和应用软件漏洞,降低计算机被网络攻击的风险的漏洞修复策略;使用终端安全软件及时发现并清理计算机恶意代码和漏洞的安全防杀策略;在网络边界建立通信监控系统,隔离控制内部网络和外部网络的防火墙策略;通过设置用户权限,排除非法访问,保护信息安全的访问控制策略;通过加密软件和算法,保护数据信息存储和传输安全的数据加密策略等。
2.制定网络安全制度
当理想状态下的计算机网络逻辑缜密、运行可靠时(事实上并非如此),操作计算机网络运行的人就成为最大的漏洞。操作人员对网络安全配置不当造成的安全漏洞,用户安全意识不强、口令设置强度不足,维修人员整修线路时操作失误导致的内网外联等一系列行为都会为网络安全埋下隐患,甚至直接产生不可估量的损失。
如果说安全策略是从技术上保护计算机网络及信息数据的钢铁长城,那么网络安全制度就是从管理上规范用户行为,降低人为因素诱发网络安全风险的森严壁垒。制定健全的网络安全管理制度,配备网络安全管理专职人员,构建网络安全防范体系,提高网络抵御安全风险的能力,才能有效保证网络的安全运行。
3.制定应急响应预案
针对不同类型网络安全事件的特性,依据“迅速反应,协同应对”的原则,提前做好专类安全事件的应急响应预案,可以帮助应急响应人员在安全事件发生后,按照预案有序地开展响应工作,有助于在情况混乱的状态下迅速恢复对网络的控制。
应急响应预案需要明确不同类型的安全事件所要动用的人员和装备的方案、检测安全事件的方案、遏制和根除安全事件影响的方案、收集安全事件相关信息和数据的方案、评估安全事件造成损失的方案、恢复受影响系统和数据的方案、响应完成后总结优化安全策略的方案、响应过程中可能出现的突发情况和处置的方案等多方面内容。越是周到细致的预案越能够协助应急响应人员在面对各类突发状况时,有条不紊地对安全事件进行处置。
4.准备应急响应工具
应急响应对时效性有着严格的要求,高效的应急响应可以大大减少安全事件造成的系统暴露时间,降低安全事件的威胁。完善的应急响应工具能够代替人工操作、简化处置流程、降低响应人员的培训成本,对提高应急响应效率至关重要。
应急响应工具需要支撑应急响应处置流程中各个阶段工作任务的需求,可以归纳为两类:一类为安全应急处置工具,提供文件扫描、木马后门查找、病毒查杀、进程管理、注册表管理、系统恢复等功能;一类为数据处置保护工具,提供现场保护、数据恢复、信息取证、数据脱密、防护加固等功能。现有的应急响应工具大都功能较为单一,这需要应急响应组织准备和研究高度集成化的应急响应工具。
5.组建应急响应团队
应急响应工作具有很强的技术性,组建和训练高效的应急响应团队对提高应急响应能力至关重要。组建专业的应急响应团队需要从人员组建和人员培训两个方面展开工作。
一个成熟的应急响应团队应该至少包含领导小组、策略小组和技术小组三个构成要素。领导小组主要负责组织管理应急响应团队、指导应急响应工作的开展、审批应急预案的项目设置、监督已经通过的应急预案执行等工作;策略小组主要负责收集和整理相关知识材料、制定安全事件应急响应预案、制定安全事件预防措施和安全注意事项、及时修订补充和完善应急预案体系等工作;技术小组主要负责收集和整理辖区内资产信息、分析辖区内资产存在的风险与威胁、调查处置安全事件、技术支援等工作。
人员培训是提高应急响应人员的业务素质和能力的必由之路,培训主要是培养应急响应人员应对安全事件的处置能力,包括应急响应预案涉及的相关内容、应急响应工具的使用、事件处置过程中需要的技术知识和手段等多方面的能力。做好培训工作,是使得应急响应团队中的各个要素明确自身职责,提升网络安全事件的应变能力,做好应急响应工作的基础与前提。
6.建立支持应急响应的平台
当应急响应中心下辖地区广、主机数目庞大时,建立支持应急响应的平台就显得非常必要。
应急响应平台是应急响应中心对外发布安全情报、安全动态、漏洞公告、政策法规等一系列文件的门户网站,也是应急响应中心与用户之间沟通的一座桥梁;是用户获取安全资讯的便捷之所,也是应急响应中心接收用户提交漏洞、上报威胁的一个通道。应急响应平台使得用户在发生安全事件时求助有门,通过平台提供的大量安全策略,指导用户在安全事件发生时完成“自救”。
应急响应平台也可支持网络安全事件的集中管理和处置,协助应急响应人员对安全事件的检测、创建、处置、完结等全生命周期进行管理,支持过往安全事件的查询,帮助应急响应人员集中、统一管理各类网络安全事件。