把应急响应服务做得跟闪送一样简单奇安信是怎么做的?

翔说旧说 2020-03-31 10:28:16

迄今为止,我干得最“硬核互联网”的事情,就是在网上完成了家庭装修。

非常硬核,非常朋克,哪怕是要组装和测量的环节,分分钟搞定。

没想到,比我用互联网搞定装修这件事情还硬核的是,有家网络安全公司想用互联网和电话搞定安全应急响应服务,他们给这个项目起了个小小的别名:“网络安全120”。

琢磨这件事的是安全公司奇安信,他们的设想是,网上“报修”,初步诊断和报价,派出最近的应急响应人员上门服务,后台技术人员提供支援,7*24小时贴心式“闪送”救援,而且目前覆盖的服务区域已经遍布全国,你自己看:

奇安信的服务区域已经遍布全国

什么最“急”

虽然奇安信的应急响应“120” 服务最近才正式对外公布,事实上,早在 2017 年,他们的“救援小哥”就开始接单了。不过,那会的应急响应服务可能还没有如今“120”体系的完整、严密。

现在奇安信提供的应急响应的范围包括勒索病毒、挖矿木马、蠕虫病毒、APT事件、网站挂马、网站暗链、网站篡改、漏洞事件、数据泄露以及其他安全事件。

搞了三年应急响应,还是能摸索出一些规律的。

显而易见的是,不论是因为服务能力的增长、范围的扩大,还是安全问题暴露得越多,总之,按照奇安信提供的救援数据看,采用应急响应服务的企业用户数量是逐年增加的。

2018 年,救援小哥出动的应急响应一共是 717 次,2019年,奇安信接到的应急响应有1029 次。

从 2018 到 2019 年接到的应急响应事件来看,70%的应急响应需求因勒索病毒、挖矿木马、蠕虫病毒等产生。

为什么会突然上涨?以一个实际行业用户为例,这个企业用户所在的是专网环境,只要有一个地方感染,其他地方也会被感染。一旦勒索病毒扫描到了内网开放的某一个可利用端口,如果这个端口存在弱口令或者某个漏洞,勒索病毒就可以迅速、批量地导致多个地区、省份被感染。

因此,每当一起重大勒索病毒爆发后,批量的应急响应需求接踵而来。

在安全上的投入只有多和少的区别,安全投入永远没有上限。雷锋网编辑此前多次报道过,如台积电以及国内某大型车厂也曾遭遇勒索病毒攻击,损失十分严重。可见,在对待勒索病毒这种攻击上,还有很多企业掉以轻心,不到自己身上不知事情严重,这也许依旧是未来这种应急响应服务救援的重点。

能力维度

普通群众平常遇到突发情况,呼叫 120 服务关注两个点:救护车是否能尽快赶到,是否能实施有效的应急救援。

对待安全上的应急响应服务,这类“120”关注的可能不仅仅是这两点。

整个应急响应服务分为四个阶段:现场人员带着设备上门诊断;针对事件类型、危害程度、利用门槛、传播特征、影响范围做出研判;针对已发生事件,按照已有操作手册、专杀工具对事件进行处置。针对新型安全事件,如病毒木马类,需及时反馈病毒样本、现场感染态势,启动应急响应机制,多部门协同处置。并将处置结果及安全建议及时反馈用户;根除恢复阶段,针对安全事件给出相应的加固和解决方案。

在这个过程中,我们关心四大维度:

第一,响应速度。奇安信集团安服应急响应业务负责人张永印也知道,要想让“应急响应120”的服务真的深入人心,第一时间想到奇安信,必须做到从接到电话到响应客户,再到客户现场,时间要在 2个小时内。

第二,响应能力。

救援小哥能提供什么样的能力很关键,并不是来了一个运维工程师就可以做应急响应,奇安信所有做应急响应安全服务的人员都要有做渗透测试的背景。

这是因为所有渗透测试人员在遇到安全攻击事件时,第一时间赶到现场,可以立刻上手分析事件,判断入侵者是否是通过某一个漏洞、某一种攻击的手法入侵进入到某个业务系统,再进行内网传播和扩大影响范围。攻击过程其实是一个渗透过程,运维人员能从运维角度看一看性能、进程,但看不到攻击路径。如果应急响应人员没有具备这种攻防渗透的能力,无法完成这类应急响应服务。

第三,响应资源。不是所有一线应急响应人员赶到现场时都能解决问题,比如,用遭遇了勒索病毒,应急人员在现场提取了病毒样本,但他仅是提取到病毒样本而已,这个样本包含的行为有哪些具体特征、传播能力、攻击手法是什么?这些不可能在现场进行处理。

救援小哥要把个样本传回到后端的安全能力中心,让专门做样本分析的团队接手,他们会通过样本分析得到病毒的传播途径、漏洞利用方法、常见手法等,提炼信息反馈给现场人员进行处置。

第四,信息共享。

做好应急响应服务,最重要的一个能力点是信息共享,迅速通过一个点的应急事件或者病毒事件,及时、快速通知不同的行业客户。

“比如,针对 Globelmposter事件,我们在某个行业发现大批客户被感染,我们把事件分析完可以发送给其他客户。这种行业的客户的网络环境是相似的,我们把现场处理的经验方法同步给其他客户,告诉他这类安全事件已经在国内出现了,请他们做好相关的预防和加固措施。”张永印说。

考验

事实上,由于前后端配合的人员众多,加上是有轻重缓急,为了给不同的应急响应事件投入不同的资源,应急响应往往有不同的预案等级。

在奇安信这里,有红、橙、黄、蓝四个级别。

是不是很像彩虹

比如,全国受影响的 Wannacry 就有它专属的红色,如果一个事件影响了整个行业,就是橙色级别。

如果救援小哥在现场遇到一个蠕虫病毒,传播范围没有那么大,控制在一个局域网内,现场人员可以分析和处置,根据事件本身赋值、影响范围、造成危害评定属于黄色或蓝色事件。

之前提到,应急响应服务对一线人员要求比较高,他们就像医院里的出诊医生,首先要判断是什么病,一旦误诊,后面治病过程就会产生错误。

这是一件好事,但是,如果要把应急响应服务铺遍全国,有这么多人手吗?

按照奇安信的部署,目前一线现场人员已经扩张到 600~700人。今年下半年,他们推出了应急响应训练营,目的是针对安全管理者、安全运营人员、工程师等不同层级的人群提高网络安全应急响应的能力和技术水平。

按照奇安信集团副总裁张翀斌的想法,由于在应急响应的实际需求中,应对勒索病毒的技能要求有特定“招式”,对其他技能的要求不那么高,因此一方面他们对初级工程师进行培训后是可以派到现场应对勒索病毒,让二线专家在后台支援。

“由于每个人的能力和水平是不一样,解决问题的经验和手段也可能不同,为了更好地标准化人员分析能力,我们做了一个应急响应工具箱。这个工具箱是根据多年来在一线做应急响应的专家日常遇到的事件分析的过程和方法,吸收到工具箱里。另外,企业可能每天都会有新的网络安全问题发生,这就需要判断哪些是真实的,哪些是误报,未来通过这个工具箱就可以提升分析能力。”张翀斌说。

这也考验着“接单”平台的调度能力。

历史上每一位一线应急响应人员接过哪些单子,他对哪些技术点比较熟悉等都会有详细记录。在应急响应派单时,工单平台、应急监控调度中心会根据每位应急响应人员的技术特长来进行派单。

张翀斌对雷锋网透露,未来一段时间内,奇安信将宣布可以以联盟的形式,让合作伙伴接受奇安信的培训和认证,拿着奇安信的设备,按照奇安信的标准进行应急响应服务。

但是,一个矛盾是,他们提到,应急响应服务带来的毛利并不多。

雷锋网了解到,目前应急响应服务基本按工时报价。对奇安信而言,应急响应服务更像是一个原始的前置服务,这个对用户来说是刚需的服务实际助力更多的是“品牌效应”,就像张翀斌所说,具有社会公益属性。

一个现在对人力投入要求非常大,产生毛利又不多,还要给合作伙伴分一杯羹的应急响应服务,张翀斌怎么说服自己人和合作伙伴加入进来?

“确实是人力成本的耗费,说实话,我们也对一线的应急响应人员做了很多的思想工作,节假日去干活,没白天黑夜的,真的是很难的。”张翀斌说。

这个事张翀斌琢磨了好几年,一直在想怎么让合作伙伴也愿意干。他想了两个点,第一,基础的费用得给人家。第二,干这活的合作伙伴也有客户,也有开拓业务的需求,“我们一直倡导奇安信不是大树底下寸草不生,我们与合作伙伴是共享共荣的生态”。

即使遇到潜在的大客户,张翀斌说,谁离客户最近就派单给谁,响应速度和质量永远排在第一位。

他认为,即使需要克服的困难有很多,但应急响应服务的前景应该是好的。“如果没有一个盒子,你凭什么管我要二十万、三十万”,这种安全环境在客户侧已经慢慢在改变,尤其是广州、深圳、上海等沿海地域对于安全服务的认知明显要高于内地,对安全的重视程度和投入会好很多。

再者,整个安全行业在倡导实战化,买一堆盒子在那儿,如果没有人去用,就是一堆废品。在国内最重视安全服务的是银行和运营商,它们有固定的安全服务预算,另外,大型企业和政府等行业也开始重视。

张翀斌满怀期待地判断,未来安全服务的市场不会像现在这么艰难。

而我们乐于看见的是,一群先不看利润、不怕苦累的“理想主义者”站出来了,说不定,这个满怀诚意的理想以后会被市场热情回馈。

毕竟,不管是不是“客户”,“120”是面向所有政企机构的事,最终,这是一件好事。

0 阅读:0

翔说旧说

简介:关注TMT行业、科技企业、关心科技产品,嘴黑莫怪!