網易易盾首席安全架構師沈明星：企業安全應急響應體系建設之道

西湖論劍·網路安全技能大賽現場

2019年4月19日，以“人才：連線安全新未來”為主題的“西湖論劍·網路安全技能大賽”在杭州迎來了收官之日。大賽於2019年3月29日正式開啟，匯聚來自全國275所高校的703支戰隊以及來自全國25個企業隊伍，最終，55支大學隊伍、25支企業隊伍共80支隊伍在4月19日於杭州展開決賽。

本次大賽旨在通過搭建一個展示技巧、比拼技巧、促進交流互動的舞臺，匯聚更多網路安全新星，培養與支援網路安全人才建設。通過更多網路安全技術碰撞，促進安全技術的打磨與提升，以技術護航數字經濟，以實力堅固防護屏障，共同助力國家網路安全戰略和網路強國建設。

在技能大賽直播期間，網易易盾首席安全架構師沈明星受邀分享了企業安全應急響應體系建設，包括應急響應流程從應急救火到專業化、系統化、自動化的發展，同時結合安全應急響應中心建設和安全威脅情報等概念提出了新的思路和展望。

當下包括DDoS、劫持、入侵、釣魚郵件等網路安全事件頻發，因此企業做好安全應急響應體系則成了非常必要的事情，沈明星說：“安全應急響應體系的存在能夠幫助企業減少經濟損失、維護企業聲譽、保證業務連續性、減少法律糾紛、加強競爭力和增強客戶信心。”

那麼如何開展建設呢？沈明星表示：“整個體系的建設需要安全、業務、高管、法務和公關部門共同發力。”他分享了安全應急響應體系建設的六個要點，分別是：準備→檢測→抑制→根除→恢復→總結。

這裡，沈明星以時間維度為例，講述了事前準備、事中處理、事後處理三個階段。

“在安全事件真正發生之前或者日常執行管理中，應該為應急響應作好準備，這一階段十分重要。準備階段的主要工作包括建立合理的防禦、控制、備份、冗餘以及恢復措施，建立適當的安全培訓、安全策略和程式，獲得必要的資源和組建響應隊伍等。”

如果安全事件發生了，那麼需要做到兩點，第一是要協調相關部門參與進來，及時止血，第二個是要對安全事件進行定級並及時上報給領導和相關政府部門。

做好事中處理後，第三個階段則是事後的總結，包括：分析原因和根源、總結經驗和教訓、修正和反饋等。沈明星指出：“總結與整改階段是最後一個階段，但卻是絕對不能夠忽略的重要階段。這個階段的目標是回顧並整理髮生事件的各種相關資訊，儘可能地把所有情況記錄到文件中。這些記錄的內容，不僅對將來應急工作的開展具有非常重要的意義，對於提升系統運維水平、加固系統安全穩定更具有十分重要的作用。”

沈明星表示，現實中網易通過洞悉先機、縱深防禦和反擊來做好應急響應。洞悉先機包括SRC建立、威脅情報（DNS日誌、映象分光、Webshell檢測等）的收集。縱深防禦上是要做好防火牆攔截規則、掃描器檢測規則、快速補丁、清理木馬後門和重灌系統等。反擊層面則是滲透溯源和調查取證，前者包括IP域名、使用工具、攻擊者畫像等，後者則是要儲存好相關日誌記錄，以及及時向當地公安部門報案。

“沒有盡善盡美的解決方案，大家要學會妥協。評估解決方案時，也要注意解決方案帶來的其他影響。最後，要重視問題的重複驗證。”

在分享最後，沈明星總結到：“應急響應體系就是在和時間賽跑，大家一定要快。如果無法完美解決問題，可以打個虛擬補丁，暫時解決問題。與此同時，也要對同型別本質問題進行排查，防止再有類似事故發生。”他還說，企業的應急響應中心平時可以加強與各家企業之間合作，互通有無，做好案例庫的積累。