信息安全的突发事件已经是生活中的事实。我们已经通过新闻、甚至是自己组织中发生的事情见证了它的存在——攻击者渗透进网络并窃取企业的机密信息和客户数据。为了确保准备好应对下一次突发事件，企业有必要建立一套主动的突发事件响应方法。
 
　　突发事件应急预案能够帮助企业在处置突发事件的时刻保持可控和有效的响应。与其指望通过一个理想化的方案去帮助企业完全避免突发事件，不如面对现实，时刻做好准备，积极应对安全突发事件。做好应急预案有很多步骤，在这篇文章中，我将简述几个建立有效安全突发事件响应方案的必要步骤。
 
　　建立突发事件响应方案和团队

　　为了建立一套有组织的，获得管理层认可的计划，一支安全突发事件响应团队应该有一套安全突发事件响应方案。管理层必须支持这个团队，制定正式的组织结构职能，签署并发文公布。公告必须公布突发事件响应方案的使命、范围和目标。除了处理突发事件的技术人员，应急响应团队还应该获得包括IT、法律、人力资源等在内的部门在运维和管理上的支持。
 
　　此外，安全突发事件响应团队应该与管理层一起制定一组预置的阀值，决定何时对受攻击的系统接进行取证分析，何时将系统剥离到一个进行“突发事件”处置的VLAN中，以及何时将系统完全切断。当诸如数据泄漏等威胁情况发生的时候，具备切断关键系统的能力是很重要的。这可能是具有破坏性的，但是关闭系统这种行为作为一个安全防护策略的终极手段，总比眼睁睁看着敏感数据飞出大门要好。
 
　　一旦预案制定出来，突发事件响应团队应该设计各种突发事件的场景，反复不断地测试和演练这些处置预案。这意味着团队成员还应该获得必要的培训资源。
 
　　建立一条已知有效的基线

　　只要企业已经知道他们的网络是个什么样子，检测具体的攻击事件——例如检查什么文件被访问了、被删除了、被增加或者被修改了——是很容易的一件事。要建立一条已知有效的基线，就包括创建一个关键系统文件库，并获得这些文件的MD5校验码（信息摘要算法5）。MD5校验码就是一个文件的哈希值，可用于在突发事件发生后进行文件校验，使得响应处理人员通过验证文件的完整性，来检查文件是否发生变化。要检验关键的Windows操作系统文件，可以使用一个叫做MD5 Deep的免费工具软件，它能够递归计算某个目录及其子目录中的文件的校验码。对于Unix或者Linux操作系统而言，可以使用MD5sum（例如# md5sum）这个命令。其他可以建立基线的地方还包括网络流量、进程和服务，等等。
 
　　如果由于资源有限或者其他原因导致团队成员不可能成天检查日志，那么管理者就需要指派时间定期检查日志。为了更简便地审查和关联日志，所有的日志应该集中到一台Syslog服务器上，并使用NTP服务器使得企业中所有日志的时间保持同步。应该将Syslog服务器放置于一个独立的区域（与主服务器分开），并设置ACL策略，阻断除了syslog（通常是UDP 514端口）之外的所有流量。此外，选用例如ArcSight，Tenable Network Security的日志关联引擎，或者LogLogic等管理工具能够帮助简化日志分析过程。通过对服务器、应用和基础设施日志的例行检查，分析人员将建立一条更易理解的“常态”网络流量的基线，对于进程和服务的基线也是一样的。建立一条已知有效的基线可以方便分析员识别出进入系统的新进程或者新服务。
 
　　开发一套突发事件响应程序工具包

　　准备好一套包括软硬件在内的工具包可以使得对突发事件的应急响应更加容易和高效。所有这些工具应该装在一个现成的包中，放在一个方便易取的地方，一旦发生必须响应的突发事件，可以随取随用。这个包里面应该放进一些线缆（例如交叉线、直连线，Console控制线等），一个用于被动收集数据的网络分接器TAP，以及一些空白光盘和硬盘，笔记本，笔和垫子等。一些不错的开源工具有Helix（一个用于系统分析的Linux启动盘），用于做二进制备份的dd复制软件，转移网络中传输数据的netcat和cryptcat软件，还有Sleuth Kit取证分析软件。一些商业的取证分析工具还有Guidance软件公司的EnCase，AccessData公司的FTK 3。其他不错的开源工具还包括Foundstone公司的Fport，微软的Sysinternals和Mandiant公司的Memoryze软件。
 
　　制作安全突发事件响应方案的备查单

　　在面对压力和不断增加的混乱的时候，尤其是当着管理层和其他关注此事的利益攸关者的面的时候，要记住一个高效突发事件响应方案的所有细节是很难的。备查单有助于缓解这种压力。一个安全突发事件的备查单应该包含那些不常用的命令行语句清单及其这些命令的开关选项，下现场时需要询问管理员的问题列表，以及进行证据留存的正确步骤列表。安全专家Lenny Zeltser和SANS机构提供了一些很好的备查单，可以作为一个不错的借鉴。
 
　　以上我们简述了建立一套有效安全突发事件响应预案的几个必要方法。然而，没有哪个计划是可以保持长久不变的。组织必须积极主动地针对新出现的威胁开发新的对策和响应方案，应该与您组织的ISP和执法机关进行协作，分享突发事件信息。保持更新并跟踪攻击的发展趋势十分重要——尤其是对于那些公司的业内人士而言。总之，安全突发事件应急预案能够确保响应过程是有计划的，是被组织中所有成员所理解并被正确执行的。