事件响应的未来

最初发表于IEEE安全与隐私议题（2014年9月和10月）

安全是防护、检测和响应的组合体，尽管这个行业花了很长时间才抓住要点。20世纪90年代侧重防护。市场上有很多防护计算机和网络的产品。到了2000年，我们意识到检测同样需要正规化，于是产生了很多检测产品和服务。

近十年响应成了主流。在过去的几年中，我们已经看到许多事件响应（Incident Response,IR）产品和服务。鉴于计算机行业的这三大趋势，安全团队正在把它们融入自己的“军火库”中。

第一点，我们已经失去了对计算环境的控制，大多数数据都托管在其他公司的云上，并且更多的网络维护业务被外包出去。这使得响应更加错综复杂，因为我们可能不具备对部分关键网络基础设施的可见性。

第二点，攻击手法变得愈加老道。高级持续性攻击（Advanced Persistent Threat,APT）的崛起带来了一类新型攻击者，这需要一种新的威胁模型。此类攻击专门瞄准特定目标，并且不只是为了简单地进行金融盗窃。随着黑客行为更加紧密地与地缘政治结合起来，在国家间的斗争中，毫无瓜葛的网络世界也不断遭受间接的损害。

第三点，企业在防护和检测方面的投入仍然不足，甚至在最好的情况下两者也都不完美，因此不得不采取对应措施来弥补这一不足。

早在20世纪90年代，我就曾说过安全是一个过程，而不是一个产品。这是对认为安全可以一蹴而就这个谬论的战略声明。面对千变万化的威胁，你需要不断地重新评估安全态势。

在战术层面，安全性既是产品也是流程。实际上，它是人、流程和技术的组合。改变的只是三者的比例。防护系统主要涉及技术，还有一些来自人和流程的帮助。检测或多或少地需要同样比例的人、流程和技术。响应大部分是由人完成的，当然也有来自流程和技术的关键帮助。

可用性领域大师Lorrie Faith Cranor曾经写道：“只要可能，安全系统的设计者应该找到办法让人们察觉不到其存在。”这是明智的建议，但是无法将IR自动化。每个人的网络是不同的，所有的攻击是不同的，每个人的安全环境是不同的，合规环境是不同的，各组织是不同的，并且政治和经济的考量通常比技术考量更加重要。IR需要人参与，因为成功的IR需要“思考”。

这对于安全行业来说是全新的理念，并且这意味着响应产品和服务看上去将会有所不同。大部分时间中，安全行业都被“柠檬市场上[1]”这个问题所困扰。

“柠檬市场”是一个来自经济学领域的术语，指在市场中买方无法区别优质产品和劣质产品。在这些市场中，劣质产品会把优质产品挤出市场。价格是驱动因素，因为没有好的办法来测试产品质量。在反病毒软件中是这样，防火墙中是这样，IDS中也是这样，并且其他产品中也是如此。但是因为IR是以人为中心的，但保护和检测不是，所以事情不会重复。优质的产品将会表现得更好，因为买方很快就能判断出它们是更好的。

IR成功的关键可以在Cranor说的下一句话中找到：“然而，对于人们来说，某些任务是可行的，或是划算的，没有可替代的备选方案。在这些情况下，系统设计者应该设计他们的系统来支持循环中的人员，并最大限度地提高人们成功使用安全关键功能的机会。”我们需要的是帮助人们工作的技术，而不是代替他们的技术。

我发现思考这个问题的最好方式是OODA循环。OODA代表着观察、定位、决策和行动，并且它是由美国空军军事战略家John Boyd所开发的用来思考实时对抗局势的方法。他当时思考的对象是喷气式战斗机，但是这个想法也适用于任何事情，从合同协商到拳击比赛，以及计算机和网络IR。

速度是至关重要的。在这些形势下，人们不断地在大脑中经历着OODA循环，并且如果你能够比其他人转得更快（如果你能“沉浸到OODA循环思考中”）那么你就拥有了巨大的优势。

我们需要工具来促进如下步骤：

·观察，即实时了解网络上正在发生什么。观察对象包括来自IDS的实时威胁检测信息、日志监控及分析数据、网络和系统性能数据、标准的网络管理数据，甚至包括物理安全信息。然后知道使用哪些工具来综合这些信息，并且以有用的格式呈现出来。安全事件不是标准化的，它们各不相同。IR团队能观察到的网络上发生的事情越多，就越能更好地理解攻击。这意味着IR团队需要能够在整个组织中运作。

·定位，这意味着理解攻击意味着什么，不仅是在组织的背景下，也是在更大的互联网社区背景下。只了解攻击是不够的，IR团队需要知道它意味着什么。是一个被网络罪犯使用的新型恶意软件？还是组织发布了新的软件包或是计划裁员？组织之前看到过来自这个特殊IP地址的攻击吗？这个网络是否对新的战略合作伙伴开放？回答这些问题意味着把来自网络的数据、新闻的信息、网络情报反馈，以及其他来自组织的信息串起来。知道组织里正在发生什么通常比了解攻击技术细节更重要。

·决策，这意味着要弄清楚在那一刻要做什么。这实际上是很困难的，因为涉及知晓谁有职权来决策，并且向他们提供进行快速决策所需要的信息。IR决策通常涉及管理层的输入，所以能够让这些人快速和高效地得到他们需要了解的信息是十分重要的。所有的决策都应是事后可辩解的并且记录在案。监管和诉讼环境已经变得十分复杂，所以做出决策时需要考虑其可辩解性。

·行动，这意味着能够在网络中快速有效地进行变更。IR团队需要访问组织的所有网络。再一次强调，安全事件各不相同，并且不可能提前知晓IR团队将需要访问什么样的网络。但是最终他们需要广泛的访问权限，安全性将源自审计而不是访问控制，并且需要重复地训练，因为只有实践才能提高行动力。

在一个统一的框架下把这些工具组合起来才会让IR工作有效。让IR行之有效是让安全措施有效的关键。我们的目标是以一种在网络安全方面从未看到过的方式把人、流程和技术组织起来，这才是我们需要做的事，以便持续地防范诸多威胁。

[1] “柠檬市场”即次品市场，是指信息不对称的市场。即在该市场中，对于产品的质量，卖方拥有的信息比买方更多。