把握安全事件響應的黃金一小時

對於電腦保安事件響應(CSIRT)團隊來說，必須時刻準備好應對突發的網路安全事件。根據過去的處置經驗，在嚴重安全事件後，把握好第一個小時的時間視窗無比重要。當事件發生後，快速制定應急方案，充分調動內外部團隊資源，並讓所有成員搞清楚自己的分工是一項艱鉅但重要的任務。此刻，保持頭腦冷靜、行動周全對於成功處理安全事件至關重要，而如果陷入到焦慮不安的恐慌中，將會嚴重影響事件響應團隊做出正確的決策。

透過對成功應急案例的分析，本文總結了把握安全事件響應黃金一小時的幾個關鍵點，可以幫助企業提升安全事件響應的效果。

要點一：快速瞭解事件相關資訊

在嚴重安全事件突然發生後，如果要充分利用好最關鍵的黃金一小時，不僅需要現場的預案與準確處置，更需要事先全面瞭解資產和潛在對手，提前設定好處置任務的優先順序，這樣才能在需要時迅速做出決策，並在必要時透過使用排除法來發現真相。

在開啟突發安全事件處置流程之前，安全分析師要儘可能全面瞭解事件相關資訊，這需要他們在日常工作中充分熟悉自身的角色和職責。快速變化的IT環境經常需要分析師實時同步更新自己的技能組合，比如瞭解雲端計算、大資料等。在安全事件實際發生後，分析師應迅速識別其負責的所有資產執行狀態，並積極參與到漏洞管理和掃描發現過程。

所收集的安全事件資訊質量決定了事件響應的結果，幫助分析師準確瞭解他們面臨威脅的程度與可能後果。需要指出的是，由於很多攻擊團伙在現在使用“攻擊即服務”的Saas化商業模式，這些攻擊技術並不複雜，CSIRT團隊透過日常積累，就可以對可能面臨的主要威脅提前進行準備。但是在一些比較敏感的場景(比如能源等關鍵基礎設施部門受到攻擊)中，安全分析師需要留意是否存在更多的非常規性攻擊方法。

要點二：和時間賽跑，跳過卡住的問題

警鈴響起，安全團隊需要迅速冷靜下來，準備回答第一個問題：“我在第一個小時應該做什麼?”嚴重事件的第一個小時又叫危機階段，其特點是混亂、恐慌、趕到現場和陷入僵局。但是訓練有素的安全分析師會展開細緻入微的調查工作。

另一方面，在許多情況下，分析師可能往往資訊不全、無法在有限的時間內實施解決方案以及缺少相應的許可權。在這種情況下，事件響應團隊必須清楚地表述其專業知識，並推動工作開展下去。

在進行調查和根本原因分析時，事件響應團隊常常陷入尋找遺失的線索這種困境。這又導致懷疑和猶豫。在嚴重事件後的第一個小時，時間很寶貴。就像參加時間限定的考試一樣，先跳過卡住的問題。

如今，由於很多企業組織廣泛採用了威脅檢測和響應技術，事件響應遏制流程常常得到簡化，這類技術或產品，甚至只需按一下按鈕，即可快速實現網路遏制功能。然而，如果使用傳統的網路遏制工具，其效果可能並不那麼容易實現，此時安全人員需要儘快找到穩妥並可靠的實現辦法。

要點三：找出真相，堵住缺口

也許一小時後，仍有很多問題沒有被解決。現在應該花一些時間思考種種可能性，並列出一份清單。以筆者實際處理過的一起安全事件為例：攻擊者在伺服器上啟動了反向shell。我們決定立即決定遏制這臺伺服器，並收集所有攻擊證據。但是，我們無法弄清楚這臺伺服器是如何被闖入的，於是列出了所有可訪問的服務，仔細檢查了每個服務的相關日誌。

我們起初以為一款IT操作工具是攻陷指標。但最終排除所有可能性，推翻了這種猜測，得出了Web服務存在固有的安全漏洞這一結論。

有時在事後分析期間，安全分析師在瞭解事件相互之間的關係時可能遇到挫折。但只要有足夠的耐心和合理的心態，真相總會浮出水面。