摘要:
新一代威胁不仅传播速度更快,其所利用的攻击面也越来越宽广,可以覆盖移动、桌面、网络、Web和各种应用、社交网络等。这样,一方面留给应急响应的时间窗口越来越小,另一方面应急响应所需的威胁知识、专业技能、技术手段等却不断增加。专业化、系统化、自动化等越来越关键,大规模的安全情报系统和专家社会网络系统相互融合,“天地人机”协同作战将会成为网络安全应急响应的新常态。
近年以来,高等级的安全应急响应活动越来越频繁,下图是2014年发生的心脏滴血、破壳、沙虫、Poodle等几次重要应急响应事件的时序图。一方面因为对快速响应市场需求的追求,开源和商业组件获得更大规模的应用,导致任何一个底层组件出现重大安全漏洞都会影响数千万甚至数亿设备和用户;另一方面国家网际空间安全能力的争夺导致漏洞挖掘和利用能力的研究不断深入,更新的挖掘和利用方法被发掘出来。相信这个趋势在可预测的时间内还将继续发展。
<图1:高等级安全应急响应活动在2014年不断出现>
当一个严重漏洞,尤其是某种新的利用工具(POC)被披露后,通过各种社交网络和网络媒体,在小时级的时间尺度上将会获得迅速传播,响应的攻击行为迅速增加。图2是在心脏滴血漏洞利用披露后IBM监视到的网络攻击行为。可以看到4.7披露,4.10日开始有大规模攻击,然后高位持续了10天左右时间。换句话说,72小时更像是安全应急响应的“黄金时间窗口”,在这个时间内成功完成响应活动,将会有更大的概率避免被“攻陷”。
<图2:漏洞披露72小时后攻击事件迅速增加>
但是,令人遗憾的是,当前从整个网络角度看,安全应急响应的时效性(也直接影响了有效性)很不理想。图3显示在心脏滴血漏洞披露72小时时,国内网站修复比例只有18%左右,换句话说,有72%的网站依然处于“脆弱性”状态,暴露在已经非常活跃的网络攻击之下。
<图3:漏洞披露72小时时的漏洞修复率情况 >
这给了我们启发和思考。大规模的安全应急响应活动是一个系统工程,对于国家整体、或某个地区、某个行业而言,其成功与否,或整体的安全性,并不只取决于少数安全专家“高精尖”的技术研究活动;及时有效地大规模实施一系列“响应”活动、从而获得(或者恢复保持)整体安全性的战略动员和自动化部署能力,可能更为关键。