转载

网络安全应急响应的新常态

摘要：

新一代威胁不仅传播速度更快，其所利用的攻击面也越来越宽广，可以覆盖移动、桌面、网络、Web和各种应用、社交网络等。这样，一方面留给应急响应的时间窗口越来越小，另一方面应急响应所需的威胁知识、专业技能、技术手段等却不断增加。专业化、系统化、自动化等越来越关键，大规模的安全情报系统和专家社会网络系统相互融合，“天地人机”协同作战将会成为网络安全应急响应的新常态。

1 应急因为有“急”

近年以来，高等级的安全应急响应活动越来越频繁，下图是2014年发生的心脏滴血、破壳、沙虫、Poodle等几次重要应急响应事件的时序图。一方面因为对快速响应市场需求的追求，开源和商业组件获得更大规模的应用，导致任何一个底层组件出现重大安全漏洞都会影响数千万甚至数亿设备和用户；另一方面国家网际空间安全能力的争夺导致漏洞挖掘和利用能力的研究不断深入，更新的挖掘和利用方法被发掘出来。相信这个趋势在可预测的时间内还将继续发展。

网络安全应急响应的新常态

<图1：高等级安全应急响应活动在2014年不断出现>

当一个严重漏洞，尤其是某种新的利用工具（POC）被披露后，通过各种社交网络和网络媒体，在小时级的时间尺度上将会获得迅速传播，响应的攻击行为迅速增加。图2是在心脏滴血漏洞利用披露后IBM监视到的网络攻击行为。可以看到4.7披露，4.10日开始有大规模攻击，然后高位持续了10天左右时间。换句话说，72小时更像是安全应急响应的“黄金时间窗口”，在这个时间内成功完成响应活动，将会有更大的概率避免被“攻陷”。

网络安全应急响应的新常态