|
|
51CTO旗下网站
|
|
开户注册送38体验金端

开个脑洞:如果让复联来响应安全事故

《复仇者联盟 4》的战斗已经打响了,费了比抢春运火车票更大劲儿才抢到电影票的 Tony 同学,此刻心里一直祈祷着......

作者:陈峻来源:51CTO技术栈|2019-04-24 09:25

【51CTO.com原创稿件】《复仇者联盟 4》的战斗已经打响了,费了比抢春运火车票更大劲儿才抢到电影票的 Tony 同学,此刻心里一直祈祷着......

这次观影时不要再出现上次那样:在灭霸打了响指后,公司的网站服务系统就鬼使神差地遭到拒绝访问的电子游艺免费申请彩金,应急电话打到手机上,催他迅速归队的窘境。

当他跑出影院的那一刻,心里居然对“紫薯怪”的那句“Today,I lost more than you know.”产生了强烈共鸣。

的确,正所谓“事故无假期”。天真烂漫的您是否想过:如果在每次出现安全事故的时候,都有硬核的复仇者联盟赶过来救场,让您和您的团队能够继续放飞自我、欢乐地玩耍,该有多好啊。

好吧,如您所愿,让我们来一起设想一下,这些超级英雄们将如何进行事故响应与处置。下面,我们将从人员、流程、演练,这三个维度展开畅想与讨论。

人员架构

如今,随着安全意识的增强,很多企业都在他们的内部组建了专门的处理团队。

这些团队或被称为计算机事故响应团队(CIRTs)、也可以被叫做计算机安全事故响应团队(CSIRT)。

那么对标到复联里,我们来具体看看响应团队的成员架构、以及职能:

处置流程

没事的时候,复联的超级英雄们可以将史塔克大厦里当作应急响应指挥部(war room)。

他们不但可以一起吃比萨、开轰趴,也可以聚在一起讨论和制定应急响应的处置流程。

就像灭霸梦寐以求的那六颗无限宝石一样,他们讨论得出的如下六个步骤,同样对于安全事故的管控来说也是弥足珍贵的。

①力量宝石:前期准备

这个阶段主要是由计划设计师--猩红女巫来发挥作用。她需要参考本企业和系统的以往事故报告,根据最大允许中断时间 MTD(应保证RTO+WRT

参照业界常规的处置标准与方法,来定义事故的级别(从一般性的事件到严重的灾难),分类不同的故障中断种类,并根据现有的资源,制定相应的应急响应计划。

作为输出,此阶段交付成果包括:紧急联系人列表、业务单元优先级列表、事故界定与分类参考表、严重性矩阵参考表、以及具体的应急响应计划与 BCP 等。

这些结果应及时得到高级管理层--尼克·弗瑞,以及其他神盾局的大神,如菲尔·寇森等的批准,并下发到其他业务部门听取反馈意见。

②空间宝石:检测与识别

这个阶段主要是由值守监控员--鹰眼侠来发挥作用。他可以通过如下两个渠道来获悉安全事故:

  • 企业面向内部的服务帮助台(Service desk),以及面向外部的热线电话(Hot line),都可以接报从内、外部用户处上报而来的系统故障、或是服务中断事故信息。他们通过详细问答的方式,了解并收集到关于事故的第一手资料,然后以手工录入的方式导入统一的管理平台,以备下一步跟踪处理。
  • 自动化工具平台对系统中的各个服务模块、及部件的日志进行读取,然后通过安全信息与事件管理系统(SIEM)中的用户及实体行为分析(UEBA)服务,进行综合性的新用户注册送47元彩金分析。

面对用户告知的带有主观色彩的报告、以及扑面而来的海量平台信息,鹰眼哥需要进一步根据自己的经验、以及猩红女巫在上一步制定好的事故分类标准,进行剔除误报和初步分拣定级等操作。

其中,他可以参考的分类依据包括:网络与云端服务的中断,系统漏洞的电子游艺免费申请彩金,主机与网站的恶意代码注入,程序的缺陷与终止,信息的篡改、泄漏与删除,硬件设备的故障,以及大面积的灾害等。

作为输出,此阶段交付的成果包括:安全事故的原始记录,和事故性质与严重性报告等。

这些结果应及时流转到响应团队执行经理--美国队长处。当然,如果情况严重的话,他还应迅速通知到高级管理层--尼克·弗瑞那里。

③现实宝石:调查与取证

这个阶段主要是由安全调查专家--黑寡妇来发挥作用。她可以从主机系统、网络新用户注册送47元彩金、软件应用、存储介质四个逻辑层面,以及现场物品等物理层面上,开展调查与取证工作。

为了保证各种电子证据与实物证据的“三性”原则,寡姐应通过设置只读和产生消息摘要等手段,娴熟地捕获和保护好证据链,使之满足电子发现等合规的要求。

当然,在进一步分析的过程中,如果碰到比较棘手或者是涉及到法规层面的问题,她可以去寻求法律代表--洛基的帮助。

话说回来,我们不能保证洛基是否还对当年与寡姐的相互审问耿耿于怀(请参见《复联1》)。

在取证的同时,定损与跟踪专家--蚁人开始深入调查原因,并界定系统的受损程度。

具体说来,他主要是从数量与程度两个维度,分析那些丢失、破坏或暴露了的新用户注册送47元彩金与物理资产。当然,他的工作也会涉及到对一些滞后、间接影响的评估。

作为输出,此阶段交付的成果包括:寡姐诚邀蚁人共同向管理层和美队提交取证、调查和评估的结果。

④灵魂宝石:报告与公关

再不让钢铁侠出场的话,估计他要气爆了。作为公共关系与沟通角色,他虽然不涉及到使用具体的技术,来处理安全事故所带来的危害,但是他是整个处置环节中不可缺少的润滑剂。

为了实现有效的危机管理,他需要做到如下几个方面:

  • 参考猩红女巫整理的联系人列表,以邮件、电话、微信、甚至是广播的形式,通知该安全事故所波及到的内部相关人员。
  • 按照“快报事实、慎报原因”的原则,向客户、合作方以及外部调查部门提供事故情况说明、以及必要的技术问题解答。
  • 在披露的时间与频率、以及可能带有当事人隐私等方面,他应诚邀洛基协助审阅。当然,心眼小的洛基也可能为了当年钢铁侠的那句“小鹿斑比”,而直接目送他“入坑”(请参见《复联 1》)。
  • 还需要和洛基“牵手”一次的是,他们应共同整理核对相关合同与约定,特别是那些其中涉及到的责任赔付条款。

⑤时间宝石:补救与恢复

真正的系统补救战斗,在这个阶段才正式打响。此时出场的是“黑绿红蓝组合”,他们是:

  • 负责基础设施的保障与恢复工作的黑豹
  • 负责系统与主机恢复工作的绿巨人
  • 负责网络搭建与恢复工作的蜘蛛侠
  • 以及负责软件应用恢复与调试工作的幻视

不言而喻,在此环节中,他们会根据寡姐和蚁人的阶段性成果,各司其职展开抑制、恢复、及根除等工作。

其中,值得他们注意方面包括如下四点:

  • 针对猩红女巫给定的业务单元优先级列表,制定带有时间节点的抑制与补救策略。
  • 在恢复的过程中,各路英雄要注意沟通与交流,应避免在自顾不暇时,忙中出错、产生衍生破坏、甚至是“坑害”队友的情况。
  • 在取得阶段性成果(milestone)后,要请业务单位负责人、以及美队予以确认。
  • 碰到技术难题,Hold 不住的时候,可以请出外部技术专家--锤哥。让他调用自己的神族资源,另辟蹊径地解决问题。

不过,该过程最怕的是:人人都以为自己是大牛,都能掌控全局,因此需要美队从中协调。

特别是对于那些耗时耗力的恢复任务,大家要做到既有条不紊、又协作推进。

不然,正如《复联 3》最后那样,灭霸还被没咋地,联盟就已经自损过半、CP 东南飞。

⑥心灵宝石:总结与整改

正如电影剧情安排的那样,消失了将近 30 年的事后整改牵头人--惊奇队长虽然出场较晚,但是她的实力能够起到一定的“兜底”作用(请参见《复联 3》)。

在安全事故处理已毕,大家正准备“领盒饭”时,她却“开挂”了。下面我们来看看这位女战士是如何展现她的超强执行力:

  • 回顾并文档化整个事故的处置过程。
  • 对前面各个阶段的响应速度和处理效果进行评审,重点分析在实战中偏离了猩红女巫既定的应急响应计划的部分。
  • 向尼克·弗瑞等管理层提交问题根除的整改方案。
  • 定期对当前系统进行风险评估(RA),引导相关团队进行有针对性的自查,防止类似事故的复发。
  • 与猩红女巫合作,通过变更流程来按需更新应急响应中的步骤要点。
  • 向“地球民众”发放满意度调查问卷,或接受管理层对于响应绩效的考评(请参见《美队 3:内战》)。

测试演练

众所周知,上面教科书式的处置流程,最怕出现计划与现实相脱节的情况。

因此,为了保证复联英雄们在关键时候能够招之即来、来之能战、战之能胜,他们需要定期、以及按需地开展测试演练。

测试演练的好处与内容包括如下方面:

  • 让团队的每个成员都能够明确、熟悉并掌握,自己在应急处理中的角色与职能,进而弥补或改进手头上的技能短板。
  • 通过模拟战斗,发现猩红女巫在计划设计中的不足之处,以及找到需要互动协调的地方。
  • 以 PDCA 的方式,对现有的行动方案进行推陈出新,让每个成员都能树立成功处置安全事故的信心。
  • 在应对事故时,考察各一项人力物力资源的调配情况。如果出现上述主要岗位的超级英雄没灭掉(请参见《复联 3》)的情况,则需要按照接班人计划(Line of succession)及时补上新的英雄。
  • 当然,就是全部被消灭了的话,我们地球人不是还有 DC 的正义者联盟吗?(漫威迷们不要喷我…)

结语

英雄和我们凡人一样,也会有各种小脾气,他们之间甚至会为了好基友而产生内部摩擦,甚至会打起“内战”。

但是在面对共同的敌人--灭霸所造成的系统安全事故时,大家应当能够摒弃前嫌,生死看淡,不服就干才是。

知否?知否?现实工作中,复联并不会真的飞来为我们企业的安全事故“接盘”。

为了不再出现 Tony 观影时被紧急电话叫走的尴尬,也为了避免匆忙地将事故处理成“比悲伤更悲伤的故事”,我们需要从上述人员架构、处置流程、以及测试演练,这三个维度贯彻到事故响应的整个生命周期之中。

作者:陈峻

陈峻(Julian Chen) ,有着十多年的 IT 项目、企业运维和风险管控的从业经验,日常工作深入系统安全各个环节。作为 CISSP 证书持有者,他在各专业杂志上发表了《IT运维的“六脉神剑”》、《律师事务所IT服务管理》 和《股票交易网络系统中的安全设计》等论文。他还持续分享并更新《廉环话》系列博文和各种外文技术翻译,曾被(ISC)2 评为第九届亚太区信息安全领袖成就表彰计划的“信息安全践行者”和 Future-S 中国 IT 治理和管理的 2015 年度践行人物。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【编辑推荐】

  1. 通过Thinkphp框架漏洞所发现的安全问题
  2. 专家视点 | 阻击勒索软件病毒 共建数字安全世界
  3. 为企业安全智能运维赋能,汉领信息推下一代堡垒机PAM
  4. jQuery 的“原型污染”安全漏洞
  5. 360卖掉360企业安全获37亿元 周鸿祎与齐向东分家
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

我的运维日志系统构建之路

我的运维日志系统构建之路

新用户注册送47元彩金驱动运维
共18章 | 我叫于小炳

127人订阅学习

CentOS文件服务的最佳实战

CentOS文件服务的最佳实战

涨薪跳槽必备技能
共15章 | 追风蚂蚁

82人订阅学习

小白网工宝典

小白网工宝典

一次搞定思科华为
共15章 | 思科小牛

316人订阅学习

读 书 +更多

程序设计实践双语版

程序设计实践并不只是写代码。程序员必须评论各种折衷方案,在许多可能性之中做出选择、排除错误、做测试和改进程序性能,还要维护自己或其...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网