安全事故响应的一般过程

0x00 概述

事故管理分为主动和积极两种流程。应该采用主动措施，从而可以真正以可控的方式检测事故，只有主动措施设置到位，才能正确处理事故。

多数公司只有事故响应流程，这个所谓的事故响应流程仅仅只是涉及到如何处理事故。假如没有找到事故发生的根本原因，而一味的只是消除告警（例如监控系统设置忽略xxx告警），最后安全事故响应真的就变成“消防队员”，哪里有火就往哪里跑。请自行脑补打地鼠的情形。

事故处理的基本目标是抑制和缓解事故所造成的破坏，并防止进一步的破坏。常见的流程为：分类，调查，遏制，分析，追踪和恢复。

0x01 分类

当我们从各种监控平台收到告警或检测到某个事件时，我们首先执行的第一个 阶段应该是分类。打个比方，假如你是一个急诊医生，有个病人跑来说他要治疗，此时你就得确认“这货真的病了么？”，“这货得的是什么病？是普通感冒还是SARS？”，“他需要是我来给他治疗，还是需要神经科医生给他治疗”？这些都是我们在应急响应中所需要做的事情，我们采用有效的信息，调查事故的严重程度，并设定如何处理事故的优先级。

首先我们得初步判断报告的事件，以确定它是否为一个事故以及是否应该启动事故处理过程，确定为事故后，该事件就应该被分类和标识。事故应当根据其潜在的风险级别进行归类，主要依据事故类型、事故来源（内部还是外部）、增长速度、不当措施后的影响，同时还要确定事故扩大过程中需要什么通知（QQ通知？邮件通知？电话通知？等，根据紧急程度选择通知方式及人员），并为调查建立范围和措施。

0x02 调查

了解所发生事故的严重程度之后，我们就进入下一个阶段：调查。

调查会涉及到告警数据、系统数据、报告人员提供的信息等相关数据的适当收集，以便用于随后的阶段。这些阶段的目标是减少事故的影响，标识事故的原因，尽可能快速地恢复运作，以及应用学习到的知识来阻止事故的再次发生。在调查阶段，根据事态的严重程度决定是否引入司法方面的介入，以达到取证的目的。

在整个调查过程中，我们需要明白及遵守公司制度及国内的法律法规，此条需要谨记。

0x03 遏制

前面我们有拿SARS做比方，这里再来用一下。在SARS爆发的时候，当地卫生部门肯定是首先将疑似患病或确认为患病的人员进行隔离，因为没有人希望病情继续传播。

同理，我们在事故响应遏制阶段中必须缓解破坏程度，常见的手段就是将被入侵的目标（系统、服务器、网络设备、办公终端）从网络中断开或拉入到单独隔离的网段内。

合适的遏制手段为应急响应团队争取了对事故根本原因进行正确调查和判断的时间。

0x04 分析

遏制住事故之后，我们需要组合有效的信息，以了解发生了什么事情，此时就进入分析阶段，我们将在这个阶段收集更多的数据（审计日志、监控视频、通讯记录、系统活动等），从而试图了解发生事故的根本原因。

分析的目的是了解具体哪个威胁引发了事故，威胁是如何、何时以及为何引发事故。这些都要弄清楚，因为这些是向管理层进行汇报，以便管理层做出如何处理的决策。事故分析对人员的要求比较高，需要分析的人员必须具有多种技能，而且还要充分了解受事故影响的的系统、系统和应用程序的脆弱性以及网络和系统的配置。

尽管正式的教育很重要，但是对于分析人员来说，实际的应用经验和适当的培训才是关键。

0x05 追踪

在分析阶段，我们收集到了尽可能多的信息，随后我们进入追踪阶段（其实这个阶段有时候是和分析、调查阶段并行的）。我们会确定事故的源头是内部还是外部，以及威胁如何获得对资产的访问权限。

如果是外部攻击，此时需要司法机构协助或主导寻找攻击来源。如果是内部恶意行为，就定位到具体人员，收集好证据，评估好影响，根据公司的管理制度进行相应的处罚。

0x06 恢复

了解到具体的事故原因后，我们将进入恢复阶段，此时我们需要进行必要的修复工作，以确保此类事故不会再次发生。具体的修复手段包括限制网段的访问、关闭无用服务、限制请求频率、安装最新漏洞修复补丁或修改程序的代码等。无论恢复措施的具体细节如何，在实施恢复措施后，都必须遵循变更管理流程，对所实施的措施进行严格的验证与评估，防止引入新的脆弱性或无法经受另一次的攻击。

事故的结束由下列因素决定：事故的性质或类别、想得到的事故响应结果（业务恢复、系统还原）以及我们成功确定事故的来源和根本原因。一旦确定事故结束后，最后需要问自己如下三个问题：

• 发生了什么事情？
• 我们得到什么教训？
• 下次如何做得更好？
  
  

这些都是需要我们对事故及处理过程进行回顾，以帮助我们了解需要在事故响应过程和文档中添加什么内容，并确立持续改善的目标。

0x07 总结

我们在实际处理事故或应急响应的时候可能不会马上想到上面的流程，都是凭经验进行处理或分析，但是在处理完成后仔细想想都会落到上述的六个阶段中。监控与响应是一个对人综合要求满高的岗位（自己说好像有点自夸的意思，哈哈），这就要求所有成员及时更新技术知识，以应对日益复杂的信息安全环境。无论是通过日常工作，或者平时看一些论坛、微博资讯，或者自己去报一些培训班等等，都要给自己创造机会提升能力。