网易易盾首席安全架构师沈明星：企业安全应急响应体系建设之道

西湖论剑·网络安全技能大赛现场

2019年4月19日，以“人才：连接安全新未来”为主题的“西湖论剑·网络安全技能大赛”在杭州迎来了收官之日。大赛于2019年3月29日正式开启，汇聚来自全国275所高校的703支战队以及来自全国25个企业队伍，最终，55支大学队伍、25支企业队伍共80支队伍在4月19日于杭州展开决赛。

本次大赛旨在通过搭建一个展示技巧、比拼技巧、促进交流互动的舞台，汇聚更多网络安全新星，培养与支持网络安全人才建设。通过更多网络安全技术碰撞，促进安全技术的打磨与提升，以技术护航数字经济，以实力坚固防护屏障，共同助力国家网络安全战略和网络强国建设。

在技能大赛直播期间，网易易盾首席安全架构师沈明星受邀分享了企业安全应急响应体系建设，包括应急响应流程从应急救火到专业化、系统化、自动化的发展，同时结合安全应急响应中心建设和安全威胁情报等概念提出了新的思路和展望。

当下包括DDoS、劫持、入侵、钓鱼邮件等网络安全事件频发，因此企业做好安全应急响应体系则成了非常必要的事情，沈明星说：“安全应急响应体系的存在能够帮助企业减少经济损失、维护企业声誉、保证业务连续性、减少法律纠纷、加强竞争力和增强客户信心。”

那么如何开展建设呢？沈明星表示：“整个体系的建设需要安全、业务、高管、法务和公关部门共同发力。”他分享了安全应急响应体系建设的六个要点，分别是：准备→检测→抑制→根除→恢复→总结。

这里，沈明星以时间维度为例，讲述了事前准备、事中处理、事后处理三个阶段。

“在安全事件真正发生之前或者日常运行管理中，应该为应急响应作好准备，这一阶段十分重要。准备阶段的主要工作包括建立合理的防御、控制、备份、冗余以及恢复措施，建立适当的安全培训、安全策略和程序，获得必要的资源和组建响应队伍等。”

如果安全事件发生了，那么需要做到两点，第一是要协调相关部门参与进来，及时止血，第二个是要对安全事件进行定级并及时上报给领导和相关政府部门。

做好事中处理后，第三个阶段则是事后的总结，包括：分析原因和根源、总结经验和教训、修正和反馈等。沈明星指出：“总结与整改阶段是最后一个阶段，但却是绝对不能够忽略的重要阶段。这个阶段的目标是回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。这些记录的内容，不仅对将来应急工作的开展具有非常重要的意义，对于提升系统运维水平、加固系统安全稳定更具有十分重要的作用。”

沈明星表示，现实中网易通过洞悉先机、纵深防御和反击来做好应急响应。洞悉先机包括SRC建立、威胁情报（DNS日志、镜像分光、Webshell检测等）的收集。纵深防御上是要做好防火墙拦截规则、扫描器检测规则、快速补丁、清理木马后门和重装系统等。反击层面则是渗透溯源和调查取证，前者包括IP域名、使用工具、攻击者画像等，后者则是要保存好相关日志记录，以及及时向当地公安部门报案。

“没有尽善尽美的解决方案，大家要学会妥协。评估解决方案时，也要注意解决方案带来的其他影响。最后，要重视问题的重复验证。”

在分享最后，沈明星总结到：“应急响应体系就是在和时间赛跑，大家一定要快。如果无法完美解决问题，可以打个虚拟补丁，暂时解决问题。与此同时，也要对同类型本质问题进行排查，防止再有类似事故发生。”他还说，企业的应急响应中心平时可以加强与各家企业之间合作，互通有无，做好案例库的积累。

点击免费体验网易易盾网络安全解决方案。