【IT168资讯】信息安全产品在众多产品中是最特殊的一类,因为安全产品本身的价值是靠服务体现出来的,如果抛开了服务,那么安全产品从用户买到手的那天起,就失去存在的意义,仅剩下一堆白骨。由此可见,安全服务管理至关重要,尤其是突发性的恶意入侵的紧急响应管理。
病毒入侵后,应对流程的快速和有效是衡量一个信息安全公司安全管理做得好坏的一个尺度。要想保证企业的安全,只有主动防御是不够的,特别是对于一般的用户,他们使用的产品来自不同的厂商,所有的产品不可能同时同步预防住恶意入侵和最新的病毒。因此,及时有效的应对策略是至关重要的。打一个比方,任何一座大厦虽然都会安装消防设施,但当火灾爆发时,人们最先想到的总是“119”,只有依靠救火队员的从容不迫的救火策略才能扑灭熊熊燃烧的大火。病毒和黑客破坏也跟火灾有异曲同工之处,一旦灾难出现,必须借助安全“救火队”合理的安全服务管理的力量才能化险为夷。
作为全面整体网络安全解决方案及服务提供商,冠群金辰软件有限公司就有一支响应速度迅速、技术过硬、安全服务管理合理的“救火队”,他们完全凭借着一颗对用户负责的热心日日游走于“火线”之上,防微杜渐,为网络的安全运转立下了汗马功劳。我作为其中的一员,与数百名安全“救火队”的安全顾问一样,每天穿梭于高楼大厦、大街小巷为不同的客户进行安全维护,用自己热情的工作为客户排忧解难。与平日一样,在我看来2002年11月23日仅仅是我所有工作日中平平凡凡的一天。
积极应对
上午10:20,我正在查看各分公司安全服务部门汇总包括全国地市级城市的一些安全状况通告,其中有一个安全状况的通告引起了我注意。11月22日,也就是昨天中午广州分公司安全服务部安全“救火队”根据LINUX BUG MAILLIST的通告,在Redhat Linux操作系统中发现了严重的安全漏洞,总部服务部“救火”队员顾伟立即分析相关代码后确定,攻击者通过利用wu-ftp已经在远程获得系统最高权限,从而进入端口,进行黑客行动。当天晚上广州分公司安全服务部“救火”队员们就立即采取紧急行动,利用电话、手机,email 、短消息等各种预先建立的客户通道,第一时间通知签约客户,高度警惕这次恶意攻击以及相关防范措施。看见这个通告后,作为专业的安全顾问,职业的直觉告诉我一场新的“灭火战”即将开始。虽然,“救火队”已经有了心里准备,而战斗的开始却仍然比预料的更为迅猛。
就在上午11:10,一阵急促的电话铃声打断了我,编号为HZ-SS03020的成都用户要求一级求援,一级求援是“救火队”较高级别的紧急响应服务,意味着该用户的主要业务中断,核心系统已经停止工作,用户整个IT系统面临着非常严重安全事故。黑客的恶意攻击正式开始了上演了,我们马上拨通了成都用户的电话。在上午11:30,根据用户电话口述基本了解事故情况,用户使用的是Redhat Linux操作系统,主要页面已遭串改,根据用户日常维护的分析判断入侵发生时间大约在最近48小时之内。挂断电话后,安全“救火队”马上拟出紧急应对策略:兵分两队,一支由我带领工程师赶往用户现场,现场进行围追堵截;另外一支则由经验丰富的安全顾问程刚带领,查找用户预留的资料数据库并根据相关网络图、系统以及服务状况等做初步的事故分析。
中午12:00,根据“救火队”安全服务部总部的一级响应指令,在最短的时间内,成都分公司的安全“救火”队员郑毅已经到达用户现场。郑毅到达后立即根据总部安全顾问程刚的初步分析对现场进行相应控制措施,启用紧急系统状态。暂时关闭所有系统服务,在最小可控制范围内使系统运行,并启用、安装冠群金辰入侵检测系统对所有网络通讯进行监测,把灾难控制在了最小的程度与范围内。
“灭火”攻坚战
15:30,冠群金辰的“救火队”——安全服务部紧急响应人员到达用户现场,并对现场情况进行分析。发现系统已经被严重入侵,而入侵的主要途径是最新发现的Linux Wu-ftp漏洞。恶意攻击者一直不断在尝试渗透进内网数据库中心,由于受到了入侵检测系统的拦截,屡次未获成功。“救火队”开始进行大量的数据以及系统调查与排除,发现入侵暂时只局限在小范围内,受影响的仅为系统本身。不过,通过对这些数据的分析发现,恶意攻击者可能留下后门木马。此时,当地“救火队”先前到达的响应人员,通过临时部署的入侵监测系统发现这个攻击者仍在尝试连接攻击的企图,但都被入侵监测系统拦截。
16:05,“救火队”按照之前的应对策略,寻找到造成入侵的Linux Wu-ftp漏洞,并对系统隐患以及其他部分做了相应的加固修补。19:45,同时到达现场的安全顾问陈建通过几个小时的努力,查找出多处受到入侵后攻击者留下的后门,并做了相应的处理。20:45,经过和用户协商,同意“救火队”在其原有系统上部署公司的核心主机防护软件,对相关的网络连接、操作、服务等做更细化的访问控制。21:10,我根据备份的数据资料,查找攻击者的来源IP,并与当晚联系该IP拥有者,请求协助追查。22:20,至今无任何异常情况发生。11月24日,公安机关捕获了昨天恶意攻击的网络黑客。
风险管理必先行
别看“救火队”每天风风火火,被用户呼之即来挥之即去,可每次“救火队”的紧急响应都是完全依托冠群金辰软件有限公司那套缜密的风险管理体制。在现实环境中,不是对所有的威胁都可以找到针对它的安全保护措施。对这类威胁可能带来的风险只能接受,但是要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果,这些过程就是安全管理中的应急计划和流程。因此,制定行之有效的风险管理显得尤为重要。而风险管理则包括两大功能和要素,就是安全控制和应急计划。
所谓安全控制是指通过减少和消除风险来预防和减轻事故的可能性,而应急计划是指通过采取各种措施来减轻或限制威胁实际发生时所带来的破坏后果,其关系可以用下图描述:
在实际为用户业务设计安全方案之前,需要了解用户业务的风险环境,对用户业务面临的各种风险进行评估,对在用户安全投资和期望限制之内的风险我们采取可能的安全保护措施实现安全控制,对超出用户安全投资和期望或者缺乏针对手段的风险,比如地震、人为操作错误、硬件故障等,应该为用户提出(或建议用户采取)相应的应急计划和流程,最终减轻这些不可防范风险实际发生时带来的破坏后果。这一风险管理过程如下图所示:
安全不是一种结果,从某种意义上看安全更像是一个对风险进行管理的过程,其本质是对风险进行评估、控制并最终减轻风险后果,其重点就是用最小成本将用户业务的残留风险降低到用户可以接受的水平,其难度就是如何帮助用户找出必要安全强度的保护措施并满足其业务安全的需求。在实际的安全方案设计过程中,只有对风险管理过程有正确的理解,才能设计出切实满足用户业务安全需求的解决方案。冠群金辰软件有限公司在全球拥有(或合作)多个独立运作的安全检测跟踪中心,专业跟踪新的安全变化特征,及时全面地更新相关产品的安全特征库,比如病毒特征库、安全攻击特征库和安全漏洞库,使用户的安全方案能及时响应快速变化了的安全攻击形势,避免或阻挡安全攻击行为,保证网络系统的安全。
