黑客入侵企業的方式多種多樣，但是都逃不出攻擊鏈的五個步驟：滲透、偵查、橫向滲透、控制目標、保留據點。當然，攻擊者不必完成所有步驟，也不必完全按照這個順序執行就可以實現入侵。

這個世界沒有絕對的安全，所有資產要么已經被攻破，要么正處在被攻破的路上。而應急響應能在一定程度上緩解系統被黑客攻擊后帶來的負面影響。通常情況下，應急響應是指通過評估網絡安全事件的嚴重程度來確定受影響用戶和資產的范圍，然后提供補救措施阻止攻擊的過程，以便入侵者不再能夠訪問內部網絡。

當下企業“應急響應”兩大難題

在現如今的應急響應過程中，安全人員遇到兩大難題：一方面是企業資產無限膨脹導致響應時候的精準定位非常困難，其次是當下安全工具誤報率高導致響應的時候存在大量無效勞動。

1)資產爆發式增長帶來的困惑

隨著資產呈幾何級增長，傳統安全方案無法對復雜的、不同類型的、快速變化的資產攻擊面進行管理。而那些暴露的資產就像一個氣球，企業的資產越多，面臨的攻擊面也就越大。

如果沒有完整的、詳細的主機資產清單，應急響應就是一句空話。任何人都無法保護“未知”東西的安全。雖然在過去很長一段時間內，在定義網絡邊界后，在封閉的IT環境中，對所有硬件、軟件和網絡元素進行統計和監視還是可控的。但是現在隨著云計算等新技術的快速發展，企業IT資產呈現幾何級增長，很多企業運維人員、安全人員都說不清自己到底有多少資產。因此在發生安全事件后，也很難采取有效的應急響應。此時迫切需要一雙“透視鏡”，能夠深入看清、看透企業資產狀況。

2)大量誤報導致的無效勞動

一般來說，很多企業安全團隊的規模都較小，大量誤報會消耗它們大量的精力而忽略了那些真正的威脅。比如，IDS/IPS每天可能會產生好幾萬個個警報，這其中包含了大量誤報。這超出了大多數事件響應人員的處理能力。此外，防火墻作為網絡安全防護的外圍墻，域名購買，服務器租用，通常每分鐘會以數萬個事件的速度向syslog的注入大量內容。分析處理這些海量數據，這對于安全人員而言這是巨大挑戰。

在這樣的背景之下，安全人員在做應急響應時，需要戴“降噪耳機”，才能成功地把注意力集中到重要的事情上。即便對于那些擁有足夠資源的應急響應團隊，他們也不太可能安排人員調查來自SEIM、IPS或其它監控方案每一個警報。

如何快速、輕松地完成應急響應的解決方案

青藤云安全提供豐富的專家級應急響應任務平臺，可通過統一管理平臺靈活分配響應任務，在幾分鐘內完成應急響應工作。從本質上講，青藤應急響應模型通過為每個事件添加上下文，并精確定位異常行為，來幫助安全人員進行應急響應，包括三個主要問題：

(1)用戶是誰?

(2)它們訪問哪些主機?

(3)用戶在這些主機上運行哪些進程?

一旦填充了這些數據集，應用響應模型就能得到很好應用。例如，用戶從一個新的外國IP地址登錄，大多數SIEM解決方案都會發出警告，實際上僅憑這一條信息很難確認該活動是惡意的還是良性的。通過青藤的應急響應模型，自動導入用戶、主機和進程的上下文數據，以幫助驗證警報。

下面以一個黑客入侵為例，還原整體入侵操作過程。在整個入侵過程中， Webshell文件的操作記錄已被刪除，而二次產生的Rootkit十分隱蔽，給應急響應工作帶去極大麻煩。

(1)黑客利用Web漏洞入侵。

(2)上傳Webshell。

(3)利用Webshell制造高級后門Rootkit。

(4)清除日志并刪除上傳的Webshell。

通過青藤云安全快速應急響應平臺，通過將大數據中的進程、服務、端口創建的過程、及訪問連接關系還原入侵過程。讓應急響應者清楚知道黑客是通過哪臺主機進來，進來后都進行了哪些操作，可根據webshell訪問的時間節點，對時間節點前后服務器上新增的文件及被篡改的文件進行檢索和展示，快速定位可疑文件。

寫在最后

由青藤統一應急響應平臺進行快速響應，能大幅度縮減響應周期，可對安全入侵事件進行快速反擊。同時，在響應時可快速定位被入侵服務器所運行的業務應用及存在的漏洞風險，為應急響應提供更多思路。此外，青藤還提供應急響應任務庫，將安全專家的應急思維邏輯沉淀成各個任務項，讓普通安全運維人員也可進行快速應急響應。