開個腦洞:如果讓復聯來響應安全事故
原創【51CTO.com原創稿件】《復仇者聯盟 4》的戰斗已經打響了,費了比搶春運火車票更大勁兒才搶到電影票的 Tony 同學,此刻心里一直祈禱著......
這次觀影時不要再出現上次那樣:在滅霸打了響指后,公司的網站服務系統就鬼使神差地遭到拒絕訪問的攻擊,應急電話打到手機上,催他迅速歸隊的窘境。
當他跑出影院的那一刻,心里居然對“紫薯怪”的那句“Today,I lost more than you know.”產生了強烈共鳴。
的確,正所謂“事故無假期”。天真爛漫的您是否想過:如果在每次出現安全事故的時候,都有硬核的復仇者聯盟趕過來救場,讓您和您的團隊能夠繼續放飛自我、歡樂地玩耍,該有多好啊。
好吧,如您所愿,讓我們來一起設想一下,這些超級英雄們將如何進行事故響應與處置。下面,我們將從人員、流程、演練,這三個維度展開暢想與討論。
人員架構
如今,隨著安全意識的增強,很多企業都在他們的內部組建了專門的處理團隊。
這些團隊或被稱為計算機事故響應團隊(CIRTs)、也可以被叫做計算機安全事故響應團隊(CSIRT)。
那么對標到復聯里,我們來具體看看響應團隊的成員架構、以及職能:
處置流程
沒事的時候,復聯的超級英雄們可以將史塔克大廈里當作應急響應指揮部(war room)。
他們不但可以一起吃比薩、開轟趴,也可以聚在一起討論和制定應急響應的處置流程。
就像滅霸夢寐以求的那六顆無 限寶石一樣,他們討論得出的如下六個步驟,同樣對于安全事故的管控來說也是彌足珍貴的。
①力量寶石:前期準備
這個階段主要是由計劃設計師--猩紅女巫來發揮作用。她需要參考本企業和系統的以往事故報告,根據最 大允許中斷時間 MTD(應保證RTO+WRT
參照業界常規的處置標準與方法,來定義事故的級別(從一般性的事件到嚴重的災難),分類不同的故障中斷種類,并根據現有的資源,制定相應的應急響應計劃。
作為輸出,此階段交付成果包括:緊急聯系人列表、業務單元優先級列表、事故界定與分類參考表、嚴重性矩陣參考表、以及具體的應急響應計劃與 BCP 等。
這些結果應及時得到高級管理層--尼克·弗瑞,以及其他神盾局的大神,如菲爾·寇森等的批準,并下發到其他業務部門聽取反饋意見。
②空間寶石:檢測與識別
這個階段主要是由值守監控員--鷹眼俠來發揮作用。他可以通過如下兩個渠道來獲悉安全事故:
- 企業面向內部的服務幫助臺(Service desk),以及面向外部的熱線電話(Hot line),都可以接報從內、外部用戶處上報而來的系統故障、或是服務中斷事故信息。他們通過詳細問答的方式,了解并收集到關于事故的第 一手資料,然后以手工錄入的方式導入統一的管理平臺,以備下一步跟蹤處理。
- 自動化工具平臺對系統中的各個服務模塊、及部件的日志進行讀取,然后通過安全信息與事件管理系統(SIEM)中的用戶及實體行為分析(UEBA)服務,進行綜合性的數據分析。
面對用戶告知的帶有主觀色彩的報告、以及撲面而來的海量平臺信息,鷹眼哥需要進一步根據自己的經驗、以及猩紅女巫在上一步制定好的事故分類標準,進行剔除誤報和初步分揀定級等操作。
其中,他可以參考的分類依據包括:網絡與云端服務的中斷,系統漏洞的攻擊,主機與網站的惡意代碼注入,程序的缺陷與終止,信息的篡改、泄漏與刪除,硬件設備的故障,以及大面積的災害等。
作為輸出,此階段交付的成果包括:安全事故的原始記錄,和事故性質與嚴重性報告等。
這些結果應及時流轉到響應團隊執行經理--美國隊長處。當然,如果情況嚴重的話,他還應迅速通知到高級管理層--尼克·弗瑞那里。
③現實寶石:調查與取證
這個階段主要是由安全調查專家--黑寡婦來發揮作用。她可以從主機系統、網絡數據、軟件應用、存儲介質四個邏輯層面,以及現場物品等物理層面上,開展調查與取證工作。
為了保證各種電子證據與實物證據的“三性”原則,寡姐應通過設置只讀和產生消息摘要等手段,嫻熟地捕獲和保護好證據鏈,使之滿足電子發現等合規的要求。
當然,在進一步分析的過程中,如果碰到比較棘手或者是涉及到法規層面的問題,她可以去尋求法律代表--洛基的幫助。
話說回來,我們不能保證洛基是否還對當年與寡姐的相互審問耿耿于懷(請參見《復聯1》)。
在取證的同時,定損與跟蹤專家--蟻人開始深入調查原因,并界定系統的受損程度。
具體說來,他主要是從數量與程度兩個維度,分析那些丟失、破壞或暴露了的數據與物理資產。當然,他的工作也會涉及到對一些滯后、間接影響的評估。
作為輸出,此階段交付的成果包括:寡姐誠邀蟻人共同向管理層和美隊提交取證、調查和評估的結果。
④靈魂寶石:報告與公關
再不讓鋼鐵俠出場的話,估計他要氣爆了。作為公共關系與溝通角色,他雖然不涉及到使用具體的技術,來處理安全事故所帶來的危害,但是他是整個處置環節中不可缺少的潤滑劑。
為了實現有效的危機管理,他需要做到如下幾個方面:
- 參考猩紅女巫整理的聯系人列表,以郵件、電話、微信、甚至是廣播的形式,通知該安全事故所波及到的內部相關人員。
- 按照“快報事實、慎報原因”的原則,向客戶、合作方以及外部調查部門提供事故情況說明、以及必要的技術問題解答。
- 在披露的時間與頻率、以及可能帶有當事人隱私等方面,他應誠邀洛基協助審閱。當然,心眼小的洛基也可能為了當年鋼鐵俠的那句“小鹿斑比”,而直接目送他“入坑”(請參見《復聯 1》)。
- 還需要和洛基“牽手”一次的是,他們應共同整理核對相關合同與約定,特別是那些其中涉及到的責任賠付條款。
⑤時間寶石:補救與恢復
真正的系統補救戰斗,在這個階段才正式打響。此時出場的是“黑綠紅藍組合”,他們是:
- 負責基礎設施的保障與恢復工作的黑豹
- 負責系統與主機恢復工作的綠巨人
- 負責網絡搭建與恢復工作的蜘蛛俠
- 以及負責軟件應用恢復與調試工作的幻視
不言而喻,在此環節中,他們會根據寡姐和蟻人的階段性成果,各司其職展開抑制、恢復、及根除等工作。
其中,值得他們注意方面包括如下四點:
- 針對猩紅女巫給定的業務單元優先級列表,制定帶有時間節點的抑制與補救策略。
- 在恢復的過程中,各路英雄要注意溝通與交流,應避免在自顧不暇時,忙中出錯、產生衍生破壞、甚至是“坑害”隊友的情況。
- 在取得階段性成果(milestone)后,要請業務單位負責人、以及美隊予以確認。
- 碰到技術難題,Hold 不住的時候,可以請出外部技術專家--錘哥。讓他調用自己的神族資源,另辟蹊徑地解決問題。
不過,該過程最怕的是:人人都以為自己是大牛,都能掌控全局,因此需要美隊從中協調。
特別是對于那些耗時耗力的恢復任務,大家要做到既有條不紊、又協作推進。
不然,正如《復聯 3》最 后那樣,滅霸還被沒咋地,聯盟就已經自損過半、CP 東南飛。
⑥心靈寶石:總結與整改
正如電影劇情安排的那樣,消失了將近 30 年的事后整改牽頭人--驚奇隊長雖然出場較晚,但是她的實力能夠起到一定的“兜底”作用(請參見《復聯 3》)。
在安全事故處理已畢,大家正準備“領盒飯”時,她卻“開掛”了。下面我們來看看這位女戰士是如何展現她的超強執行力:
- 回顧并文檔化整個事故的處置過程。
- 對前面各個階段的響應速度和處理效果進行評審,重點分析在實戰中偏離了猩紅女巫既定的應急響應計劃的部分。
- 向尼克·弗瑞等管理層提交問題根除的整改方案。
- 定期對當前系統進行風險評估(RA),引導相關團隊進行有針對性的自查,防止類似事故的復發。
- 與猩紅女巫合作,通過變更流程來按需更新應急響應中的步驟要點。
- 向“地球民眾”發放滿意度調查問卷,或接受管理層對于響應績效的考評(請參見《美隊 3:內戰》)。
測試演練
眾所周知,上面教科書式的處置流程,最怕出現計劃與現實相脫節的情況。
因此,為了保證復聯英雄們在關鍵時候能夠招之即來、來之能戰、戰之能勝,他們需要定期、以及按需地開展測試演練。
測試演練的好處與內容包括如下方面:
- 讓團隊的每個成員都能夠明確、熟悉并掌握,自己在應急處理中的角色與職能,進而彌補或改進手頭上的技能短板。
- 通過模擬戰斗,發現猩紅女巫在計劃設計中的不足之處,以及找到需要互動協調的地方。
- 以 PDCA 的方式,對現有的行動方案進行推陳出新,讓每個成員都能樹立成功處置安全事故的信心。
- 在應對事故時,考察各一項人力物力資源的調配情況。如果出現上述主要崗位的超級英雄沒滅掉(請參見《復聯 3》)的情況,則需要按照接班人計劃(Line of succession)及時補上新的英雄。
- 當然,就是全部被消滅了的話,我們地球人不是還有 DC 的正義者聯盟嗎?(漫威迷們不要噴我…)
結語
英雄和我們凡人一樣,也會有各種小脾氣,他們之間甚至會為了好基友而產生內部摩擦,甚至會打起“內戰”。
但是在面對共同的敵人--滅霸所造成的系統安全事故時,大家應當能夠摒棄前嫌,生死看淡,不服就干才是。
知否?知否?現實工作中,復聯并不會真的飛來為我們企業的安全事故“接盤”。
為了不再出現 Tony 觀影時被緊急電話叫走的尷尬,也為了避免匆忙地將事故處理成“比悲傷更悲傷的故事”,我們需要從上述人員架構、處置流程、以及測試演練,這三個維度貫徹到事故響應的整個生命周期之中。
作者:陳峻
陳峻(Julian Chen) ,有著十多年的 IT 項目、企業運維和風險管控的從業經驗,日常工作深入系統安全各個環節。作為 CISSP 證書持有者,他在各專業雜志上發表了《IT運維的“六脈神劍”》、《律師事務所IT服務管理》 和《股票交易網絡系統中的安全設計》等論文。他還持續分享并更新《廉環話》系列博文和各種外文技術翻譯,曾被(ISC)2 評為第九屆亞太區信息安全成就表彰計劃的“信息安全踐行者”和 Future-S 中國 IT 治理和管理的 2015 年度踐行人物。
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
