网络安全行业经常被拿来和医疗健康类比。两者最大的区别在于诊治对象的不同。网络安全更多的是包含数据的IT资产,而医疗健康则是以人为主。在面对严重的突发恶性疾病时,虽然医院的处理能力更强,但是时间上则相对滞后。这也是为什么急救服务会出现的重要原因。
无论是人的生命还是企业的数字业务,在遭遇严重威胁需要紧急“救护”时,经验丰富的应急团队和能够以最短时间抵达现场进行紧急处理避免进一步恶化,这两点能力是所有存在潜在风险的客户关注的核心。
早在2017年,奇安信就已经凭借其在WannaCry事件中应急响应工作的突出表现受到了大量客户和相关机构的认可。经过两年多客户侧的实践积累,奇安信不仅建立健全了相对完善的应急响应机制,服务团队方面也到达了一定规模。基于此,奇安信决定在今年12月正式将其7*24小时的网络安全应急响应服务面向全社会推出,不局限于奇安信原有客户,让更多企业在遭遇紧急、重大的安全事件时,(除了其安全供应商外)还有更多、更专业的选择。
应急响应的四个等级与应对机制
奇安信应急响应服务负责人张永印,首先从服务内容,即奇安信应急响应的服务范畴以及相应的响应机制,对此次正式推出的应急响应服务进行了整体的介绍。
据了解,此次公开接受的服务列表中,“勒索软件、挖矿木马、蠕虫、APT攻击、网站挂马/暗链/篡改、安全漏洞、数据泄露”等常见安全事件均在奇安信的应急响应服务之列。匹配的响应机制,则要根据事件的不同等级来确认。
结合客户的描述以及现场一线应急响应人员的初步判断,安全事件被初步分为红、橙、黄、蓝四个等级(级别依次递减),不同颜色也对应着应急响应预案不同级别的资源投入。
- 红色——特别重大事件,例如WannaCry,不仅对事发单位业务产生危害,而且在社会层面影响广泛。可以这样量化描述:业务系统中断8小时以上、资产损失达到1000万元以上的信息安全事件。
- 橙色——重大事件,相比红色次之,针对某些特定行业,业务系统中断8小时以内,或者资产损失达到300万元以上的信息安全事件。
- 黄色——较大事件,影响一般局限在事发单位内部,对正常工作和单位形象造成一定影响,业务系统中断4小时以内,或资产损失达50万元以上的信息安全事件。
- 蓝色——一般事件,只对事发单位产生一定影响或破坏,例如只是部分人员的正常工作秩序受到影响,业务系统中断2小时以内,或者资产在50万元以内的信息安全事件。
因为应急响应服务的目标在于,帮助政企客户第一时间采取紧急措施,恢复业务,同时兼顾后续的攻击溯源和取证。所以,相对完整的多级事件研判机制至关重要。这得益于奇安信自身多年为客户应急响应实践的积累。
此外,响应机制还应包括对应的资源投入以及整体流程。
奇安信的应急响应主要流程分为准备、研判和抑制三个阶段。
准备阶段是事前的,包括人力、工具和安全资料三个方面的准备。接到客户的应急响应需求后,则进入研判阶段。主要从安全事件的类型、危害程度、利用门槛、传播特征、影响范围等角度做出初步研判。如有必要(黄色事件及以上),则第一时间上升至安服研判组,甚至启动集团级专家研判。在抑制,也就是处置阶段,如果是已发生过的安全事件,则根据对应操作手册,利用专杀工具处理,如果是新型事件,则调动多部门协同处置,并将处置结果和安全建议反馈给客户。
不同等级预案对应的资源投入
当然,应急响应的目的,如果只是清除IT环境内的安全威胁,恢复业务,则不免显得局限。虽然应急响应的主要工作在抑制阶段就已经结束,但还存在后续的”恢复“阶段。毕竟,谁也不愿意总在同一个坑里摔倒。后续企业需要以应急响应中发现的问题、疏漏为切入点,加固,甚至重新规划自身的安全能力建设计划。这样就意味着,更多的、衔接应急响应的安全服务,如安全咨询、意识宣贯、能力培训等,会在这个阶段介入。
快速、专业、支撑 奇安信做应急响应的三大优势
应急响应,首当其冲的“应急”,即响应速度。时间不等人,特别是在事件发生后到一线处置人员到达现场前这个时间窗口,自然是越短越好。
速度首先是反映在服务的覆盖能力上。
据张永印介绍,奇安信应急响应服务目前已经覆盖了全国31个省市,从接到应急电话,到一线处置人员抵达客户现场,在覆盖范围内我们可以做到2小时以内,而且是7*24的全支持。
速度还反应在应急响应的工单流程上。奇安信目前工单处理的思路类似“同城闪送”。根据应急响应人员的地理位置,擅长处理的事件以及客户的具体需求,通过应急指挥平台和应急监控调度中心,来进行工单的派发和进度的管理。这样不仅一线处置人员可以得到高效、妥善的安排,客户也可以实时跟踪处置人员的位置与工单进度。
“快速”还表现在初步处理的装备上。目前部分一线处置人员,已经在使用集成奇安信安全情报及分析能力的应急响应工具箱。通过标准化处置流程,借助工具解决处置人员在取证、数据汇总和分析等能力的参差不齐,一线处置人员也可以更快更准确的进行初步的研判和处置。
第二个优势,专业,指的是应急响应能力。
应急响应,重视是对实战威胁的快速应对能力。在一线处置现场,要能做到快速进行针对性的异常排查,并有足够敏锐“嗅觉”去甄别出那些真正致命的,聚焦主要矛盾。而这不仅依赖技术,更是要靠个人丰富的实战经验积累。
客户的应急响应现场,虽然要快,但是不许出现误诊的。因为误诊会给客户以及后续工作带来更大的风险。
所以,张永印表示,目前应急响应的一线处置组,都是拥有丰富经验的渗透测试人员在兼任。他们不仅见多识广,更是各有各的专长。这部分能力,张永印认为没有做过渗透工程师则很难具有。
此外,专业的服务能力还表现在沟通层面。应急响应不同于运维、咨询等安全服务,不是要紧事请,客户也不会喊应急响应,所以一线处置组到了现场,是必要面对的,首先就是早已烦躁不安的客户。
此时的沟通,是非常有技巧的,有些话一定不能随便说,话术、标准的服务流程是要走完的。但是普通的工程师不懂这些,所以我们都要做专门的上岗培训。
第三个优势,支撑,是指奇安信的数据和能力体系,特别是威胁情报和样本/漏洞分析能力对应急响应的支撑。
应急响应的工作,现场要做的和能做的,不是全部。上文介绍的多级研判机制也正是一个具体体现。在客户现场提取的威胁样本,会在后端由数百人的单独分析团队进行分析,同时结合奇安信内部可查询的威胁情报,更全面的提升响应效果。作为拥有广泛客户和丰富专业团队安全厂商,奇安信产品和数据体系所带给应急响应的支撑,是难以替代的巨大隐形优势。
应急响应的“公益性质”
受勒索事件频发以及重保任务的影响,不少安全厂商已经看到了应急响应的需求,并面向客户推出7*24的应急响应服务。但作为一项安全服务,应急响应的发展仍有逃离不开的困扰,那就是国内客户普遍对安全服务的付费意愿较低。
对于为何此时面向社会,而不仅是客户推出应急响应服务,奇安信集团副总裁张翀斌坦言,有三个主要原因。
首先,是因为奇安信近3年应急响应服务的积累,以及目前团队的规模,已经达到可以面向社会的程度。二是因为越来越意识到应急响应已经成为客户的刚需,而且作为带有公益性质的安全服务,在应急响应的过程中能更强烈的感受到带给客户的价值。第三就是客户对安全服务的认可,特别是东部沿海城市,以及金融、运营商、政府等行业。
应急响应普遍都是在节假日,在晚上,我们的kpi是拒接率、响应的时延以及客户的满意度,而且这些都是我们的经验丰富渗透工程师、安全专家和分析团队在支持,按工时计价,所以我们的收费真的不高。甚至在一些影响恶劣的红色事件上,我们的能力和经验是完全公开的,并且免费的,是公益性质的,如2017年的WannaCry事件。客户在危急时刻得到了你的帮助,他们会很受触动,我们也同样受触动。我们深刻感受到,应急响应是真正应该常态化,真正能够解决部分政企安全问题,进而帮助改善社会民生的。
安全牛评:
行业对网络安全工作前提的认知,早已从“不发生”转变为“尽快发现和止损”。既然安全事件是否发生大程度取决于攻防对抗成本的角力,那么事后的响应,甚至以实战化为导向的对抗演习,其重要性不言而喻,而且已经得到客户广泛的认可和关注。依托奇安信体系内产品/技术、人才以及数据的支撑,此次正式面向全社会而不仅是自身客户开放的应急响应能力,不得不说在优质资源紧缺的今天是一次大胆的尝试。
附:
奇安信应急响应服务热线(最新) 4009-727-120
