1.2 网络安全应急响应技术演变

应急响应技术是伴随网络安全态势的发展而不断演变的，另外，业务系统的信息化程度不断提高，也促使国家和组织的应急响应理念发生变化。1988年的莫里斯蠕虫事件之后的一个星期内，美国国防部资助卡内基梅隆大学（Carnegie Mellon University，CMU）的软件工程研究所成立了计算机应急响应组协调中心（Computer Emergency Response Team/Coordination Center，CERT/CC），通常被认为是第一个应急响应组，这时的应急响应技术主要是解决病毒和蠕虫这类恶意程序事件，基于主机的毒病检测、隔离和清除是这一时期最主要的应急技术。

CERT/CC 成立后，世界各地应急响应组织如雨后春笋般地出现在世界各地。比如美国的空军计算机应急响应小组（Air Force Computer Emergency Response Team，AFCERT）、澳大利亚的计算机故障快速反应小组（Australian Computer Emergency Response Team，AusCERT）、德国网络研究应急响应小组（Deutsche Forschungsnetz-Computer Emergency Response Team，DFN-CERT）、Cisco 公司的产品安全事件响应小组（Cisco Product Security Incident Response Team，Cisco PSIRT）等。为了各响应组之间的信息交互与协调，1990年多国联合成立了一个应急响应与安全组论坛（Forum of Incident Response and Security Teams，FIRST），发起时有11个成员，截至2002年年初已经发展成一个超过100个成员的国际性组织。在中国，1999年在清华大学成立了中国教育和科研网紧急响应组（CERNET Computer Emergency Response Team，CCERT），是中国大陆第一个计算机安全应急响应组织，目前已经在全国各地成立了华东（北）地区网—网络安全事件响应组（Nanjing Computer Emergency Responses Team，NJCERT）、华北地区网北京大学网络紧急响应组（Peking University Computer Emergency Response Team，PKUCERT）、成都信息网络安全协会（Chengdu Information Network Security Association，CDINSA）等多个应急响应组。2000年在美国召开的事件响应与安全组织论坛（Forum of Incident Response and Security Teams，FIRST）年会上，CCERT 第一次在国际舞台上介绍了中国应急响应的发展。CCERT 由中国教育和科研计算机网资助，以中国教育和科研网的用户为客户群，同时也为中国教育和科研计算机网（China Education and Research Network，CERNET）以外社会用户提供尽力而为的服务。国家际计算机网络应急处理协调中心（National Internet Emergency Center，CNCERT/CC）是在国家互联网应急小组协调办公室的直接领导下，协调全国范围内各类计算机/网络安全应急响应小组（Computer Security Incident Response Team，CSIRT）的工作，以及与国际计算机安全组织的交流。CNCERT/CC 的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护公共互联网安全，保障关键信息基础设施的安全运行。还负责为国家重要部门和国家计算机网络应急处理体系的成员提供计算机网络应急处理服务和技术支持的组织。目前，CNCERT/CC 已经成为FIRST 的正式会员。

随着各国逐渐认识到网络安全监测和应急响应的重要性，分别成立了相应的应急中心，并将应急技术范畴从恶意代码事件响应扩展到了针对网络（系统）整体，且面向全方位的事件管理和响应体系，技术上能够通过部署访问控制系统和加固技术降低系统面临的风险，通过入侵检测和审计技术快速发现入侵事件，采用标准响应流程处置事件。

1.2.1 网络安全应急响应技术的发展趋势

“未知攻，焉知防”。正如上一小节所讨论的，广义上的网络安全应急响应将网络防护和救治融合在一起，而狭义上的应急响应只考虑事件发生后的救治工作，但无论是哪个层面的概念，我们需要应急响应是因为网络安全的相对性和动态性，即我们必须承认没有绝对安全的系统，没有一直安全的系统。讨论应急响应的技术发展，首先需要认识应急响应面临的技术现状。

1．攻防两端信息不对称

系统的安全风险来自于内部和外部，无论是主动的网络攻击，还是操作失误，导致安全事件发生的攻击过程往往是超出组织的预料之外的，虽然说作为防御方拥有系统内部资源方面的优势，但在安全事件发生时，肯定是处在预先的防护体系部分失效的情况下，即使能够完整识别事件及其影响，并快速完成处置过程，也只是降低组织损失，因此，这种资源优势很难发挥作用。

2．攻击动机的变化

当前网络空间安全时代，我们所面临的网络攻击大部分是有组织的犯罪行为，攻击动机很少是黑客个体的恶作剧或炫技，大部分是经济利益驱动，或是带有政治和宗教目的，因此，其所掌握的技术资源更丰富、更先进。

3．攻击方法与时俱进

随着新技术、新应用的不断发展，安全攻击思路和方法也不断演化，综合利用网络钓鱼、社会工程学、0day漏洞的攻击层出不穷，即使传统的攻击技术，如针对Web应用的攻击，也出现大量新的方法（可参见OWASP TOP TEN 2017），一种新技术或新框架的技术漏洞，或针对新的应用场景的攻击和破坏（例如，针对工业物联网的攻击和破坏），会放大防御本身的滞后性。

4．攻击技术体系化

有组织有目地的攻击呈现出分工明确、团队作业的特点，攻击过程从工具化转变为平台化，例如APT-TOCS（利用CS 平台的高级可持续威胁攻击，Advanced Persistent Threat-Threat on Cobalt Strike）这种高度的“模式化”的攻击不但降低攻击成本，也降低了被发现和被追溯的可能性，使得应急工作更加难以有效执行。

5．重防护、轻应急，重建设、轻演练

网络安全防护工作虽然不是银弹，但对于大多数组织而言，预防工作的落实周期短、见效快，因此得到广泛关注。应急技术本身难以模式化和设备化，而且对组织内部技术人员要求较高，普遍没有得到真正的重视，人员和技术平台支撑性的缺失，导致组织无法实施切实有效的应急演练过程。

2010年美国的电子商务协会，针对电商行业网络安全事件处置中的问题进行了总结，发表了Ten Deadly Sins of Incident Handling（《网络安全事件处置十大原罪》）白皮书，列举了网络安全事件应急响应过程中容易出现的问题。

·事件检测失败，导致无法做出及时的响应。

·缺少事件处置优先级的定义，导致恢复时间目标（Recovery Time Object，RTO）无法保证。

·缺少沟通机制，导致无法有效协同，安全事件影响扩大。

·被恶意代码感染或被黑客攻击的系统没有进行隔离，导致影响面扩大。

·无法实施充分的日志审计，导致不能查找安全事件根本原因，无法有效清除新型的病毒和网络攻击。

·漏洞未完全修复的情况下进行系统恢复，导致事件二次发生。

·由于培训不足，缺少合格的人力资源，无法有效应对突发事件。

·总结和改进阶段工作不充分，无法有效提升组织应急能力。

·和相关组织的协同与合作不充分，易造成用户恐慌等连锁反应。

·应急响应文档化不完善，无法执行标准流程。

分析上述十大问题，充分体现了网络安全的整体性，即管理、技术、人员缺一不可，而技术作为基础要素，对管理过程的支撑和流程的平台化、体系化建设至关重要。近年来，随着各行信息化的不断深入，网络安全事件对组织造成的影响越发严重，加之国家相关法律法规的要求和组织对安全的认识不断提高，促使安全需求成为内生性需求，为了满足这种需求，应急技术也得到针对性发展。

1．应急响应技术向工具化、平台化发展

为了快速对网络安全事件做出快速反应和完善的处置，无论是防护阶段还是应急处置阶段，将专业知识和相应的技术工具化是必然趋势，最终形成由专业的管理和技术人员运用成熟的产品或工具，以合适的方式对网络安全事件进行处置。无论是准备阶段还是恢复阶段，没有适当的工具支撑，就无法提高处置效率。例如，应对Web攻击事件的Shell扫描查杀工具、应对网络入侵的检测工具和产品、查找漏洞的扫描器和取证硬、软件套装等。另外，目前业界用以支撑应急响应标准流程的平台，无论是以漏洞管理为目的，还是以信息流转和流程支持为目的，能够更好地将工具、流程、人员和组织联结在一起，进行信息共享、协同应急。

2．由被动响应向主动发现演进

所谓应急，就是事后采取的行动，但是，在重大活动的网络安全保障工作中，应急服务更应该理解为避免和预防突发的安全事件为主的服务，扩展了准备阶段的工作内容，通过威胁情报共享，网络态势感知系统，尽早识别已知风险，缩短检测周期，提高安全事件的检出率成为目前网络安全保障和应急的技术趋势之一，再加上业界近年来提出的威胁狩猎理念、技术和相应的工具，希望能够做到快速发现安全事件，根据Verizon公司发布的数据泄露报告（Data Breach Investigations Report，DBIR），如图1-1和图1-2所示（纵坐标为行为密度，横坐标为操作完成时间），2013—2018年的5年间，网络安全事件发生到成功入侵系统、盗取数据的攻击周期越来越短，应急和恢复的工作周期随着各组织安全防护和应急的意识与能力的提升，也有明显的缩短，只有事件的发现时间无明显变化，仍然是以“月”为单位（根据DBIR2018，安全事件的发现时间平均为92天，3个月）。因此，通过上述的监测预警和检测发现技术，缩短安全事件的检出周期是组织应急响应的当务之急。

3．应急协同支撑技术的发展

因为网络空间的无边界性、信息化导致业务的互联跨域性，使得业界逐渐认识到成功的安全应急响应应该是由多种不同职责、不同技能的团队依托多种系统和情报密切协同，将本地资源、网络情报、云基础设施、各类设备和人紧密地联结在一起，采用协同、闭环的应急体系和流程才能有效完成网络安全事件的响应，构建“互联网+”应急响应支撑平台可能会成为层次化、跨行业的应急体系新方向。另外，近年来，以结构化威胁信息表达式（Structured Threat Information eXpression，STIX）为代表的机器可读威胁情报交换技术在美国获得了迅速发展，表征着美国政府和工业界在大规模安全应急响应能力方面的快速提升，也代表了应急响应技术发展方向之一。

4．追溯和取证技术得到重视

一方面，对网络安全事件进行复盘和溯源，对提高网络安全保障工作的有效性至关重要；另一方面，随着《网络安全法》的施行及其与《中华人民共和国刑法》等其他法律的连接性和执法强度的加大。网络安全事件的追溯和取证技术得到更多的重视，在云计算的虚拟化环境中，因损失的严重性和证据的易失性，导致取证的优先级往往高于恢复服务。大数据和AI驱动的综合日志审计、电子取证等技术和产品得到广泛的应用。

5．应急人员技术能力不断进步

随着国内外网络空间安全相关专业的应用型人才培养模式的创新，人才培养质量进一步提高，从业人员的基础逐年进步，加之行业对网络安全人才的需求不断增加，国内外各类组织和机构分别推出了相关的培养和认证服务。应急响应方面，国际上比如网络空间安全知识学习平台Cybrary推出的Incident Response & Advanced Forensics Certification Course，卡内基梅隆大学推出的CERT-Certified Computer Security Incident Handler、美国SANS学院（SANS 指System Administration，Networking，and Security）的GIAC Certified Incident Handler等课程认证；国内网络安全审查技术与认证中心推出的CISAW系列的应急从业人员认证，工程师系列的CSERE认证等，均为从业人员在应急响应领域的理念、知识、技术和能力提供了较丰富的资源，使得应急人员的技术能力得到相应的提高。但由于网络安全知识发展的快速性，对于从业人员来讲，持续学习以保持知识更新，通过有效的演练达成知行合一，这两点至关重要。