論單位或個人應急演練的重要性

原標題：論單位或個人應急演練的重要性

一、應急演練和攻防演練的區別是什么

把應用系統安全作為比較對象，分析應急演練和攻防演練的區別。

應急演練和攻防演練是為兩種不同類型的演練類型，應急演練偏向通過模擬異常情況以發現不足之處；

而攻防演練則偏向于攻擊和防守方之間的技能競技，攻方最終單維度拿下目標、守方盡可能發現/抵御攻擊。

以下內容僅針對一個演練對象中的兩個應急演練模塊進行說明，從而做到以點概面的體現。

二、那么單位為什么要進行應急演練？

網絡安全法對應急預案、應急演練相關內容有明確定義，部分內容如下所示：

在遭遇信息系統突發緊急事件（安全性、可用性等事件）時，應立即啟動應急預案，并采取相應的補救措施和按照規定向有關主管部門報告。應急預案內容應包括對信息系統各種突發緊急事件的處置流程，以在事件發生期間指導相關人員進行應急處置。

所以應急預案必須是可以落地執行的指導性流程文檔，但由于信息系統軟硬件基礎設施對象、廠商、負責人不同，導致收集完成后合并編制的應急預案可能和實際情況存在偏差，即遭遇突發緊急事件可能無法按照應急預案內的應急流程進行處置，所以針對應急預案內每個對象的應急流程，應定期進行演練，嘗試發現安全隱患和存在不足的地方，并加以優化整改，從而提升信息系統的安全性、可用性。

2.1 約束條件

法律：網絡安全法；

網安/網信：對應等級的等級保護工作落實情況；應急預案、演練落實情況；系統自查自糾整改完善落實情況；

責任：第一安全責任人制度適用于用戶單位哪位領導。

以上情況無不說明安全態勢以及重視程度，如發生安全事故，事故單位、安服單位責任無法規避和承擔。

2.2 真實場景1（抵抗敏感詞/敏感圖片攻擊）

是否擔心用戶單位站點被掛敏感信息、靜/動態圖片含有的敏感詞和澀清內容卻無法提前發現：

例如站點敏感信息只有北京可以看到？

例如站點敏感信息只有特定的搜索引擎跳轉可以看到？

例如站點敏感信息只有特定的瀏覽器可以看到？

不擔心，因為：

“我負責安服的用戶單位有態勢感知、以及日常的運維巡檢，基本上發生后會立刻告警。”

“用戶單位云端有云防護、本地關鍵路徑有層層應用層防護、本地操作系統更是全副武裝，基本上不會發生你說的這種情況”

“我們推的站點安全監測系統功能非常強大，頻率、深度無可挑剔，用戶使用后基本上不會出現這種情況”

“……”

以上種種都是基于對其他的絕對信任，但網絡安全應該是0信任機制。所以不來一下應急演練真的會放心嗎？

2.3 真實場景2（抵抗操作系統惡意程序攻擊）

是否擔心用戶單位的操作系統資源可用性監測是否正常？

是否擔心用戶單位的操作系統防篡改配置真實有效？

是否擔心用戶單位的惡意網絡行為感知/防護系統功能真實有效？

如果存在以上種種的擔心，不來一下應急演練真的會放心嗎？

2.4 小結

信息系統的穩定安全與否，絕對不是單維度的安全穩定即可，而是基礎軟硬件設施、網絡、應用、主機、數據、管理多維度的高可用性、高安全性決定，且適用于木桶效應，所以萬物（可用性、安全性）皆可演練，尤其演練前的調研即可發現諸多不足。

三、個人為什么進行應急演練亦或是場景測試？

如果我老大沒有“屏蔽我的朋友圈”，如果我沒有在freebuf上看到我老大寫的這篇文章我也許想不到寫這篇文章，但是愛情（基情）沒有那么多如果，所以最終我可能就是愣愣的自己做自己的事，沒有想到總結分享（隔山秀恩愛）。

那么個人溝通漏斗怎么去規避，接回文章主體，單位可以通過應急演練的方式對可能存在的安全隱患進行發現從而進行整改、優化和完善。

而個人對于可能存在的不足或薄弱點，則可以通過freebuf、freebuf友情鏈接等平臺（具備知識分享/交流分享/其他特征的平臺）進行搜索、獲取自己所需要的對象內容，但可能存在“眼睛說我看懂了，腦子說我學會了，手表示你們會你們來！”這種現象。

所以必要的實踐是強化認知的一種強有效途徑，但不是每個單位、每個人都能遇到類似的場景，因為應急響應服務屬于保險服務，不能沒有，但最好不用，所以應急場景可遇不可求（比如說我希望多遇到一些，從而在實戰中提升自己的技能等級，并發現自己的不足針對性的提升技能等級和方向）。

3.1 真實場景（抵抗敏感詞/敏感圖片攻擊/抵抗操作系統惡意程序攻擊）

全局劫持是怎么在后端體現的？

JS劫持怎么發現？

找到了惡意程序，但無法刪除，為什么會權限報錯？又或者為什么會報錯提示沒有找到該文件？

通過大概的入侵（或者說上傳時間）時間無法定位惡意程序？

挖礦的網絡行為在數據包層面都有哪些體現？DNS、ping、三次握手、錢包地址是否可以看到、一般都會附加DDOS攻擊程序嗎？

為什么只能看到CPU占用率高，但看不到相對應的進程？

為什么只能看到網絡連接，但是看不到對應的PID？

進程目錄在哪里？

靜態執行不調用動態庫的小工具是什么？

自啟動項、任務計劃等幫助程序自啟動的功能被修改/新添了，為什么時間上看不出來？

歷史命令為什么沒有看到異常？

……

以上通過查閱資料都可以找到，但如果第一次接觸，或者第一次看愛情動作片，只能看，不能實操，會不會抱憾終生？

四、場景分享

文章中未體現技術細節分析的原因是：

面向單位，抵抗敏感詞/敏感圖片攻擊環境每個頁面都存在問題，是否都可正常發現、攔截、告警；抵抗操作系統惡意程序攻擊環境則體現為系統CPU異常，網絡連接等異常，是否可以發現、攔截、告警。

面向有需求的個人，則是否可以檢查出來相關異?，F象的原因。

因此不論個人，亦或是單位，如果有以上需求，即可在github以下鏈接中獲取場景，以幫助用戶單位發現不足、有需求的個人提升應急能力。

https://github.com/Ymigmli/Emergency-drill.git

4.1 抵抗敏感詞/敏感圖片攻擊場景

放入任意中間件中即可，如果兩個場景一起體現，則建議centos 6 ，該版本默認安裝了httpd服務。

4.2 抵抗操作系統惡意程序攻擊

第一次接觸挖礦建議不看start.sh/delete.sh的運行提示，不看sh文件、sourcefile文件夾。

說明：文件1-4加密或者編譯是為了規避一些檢查工具的關鍵字匹配，而不是怕被看到源碼，不信你看啟動、刪除環境都是sh，而且源碼都在sourcefile文件夾中，我一直認為非惡意程序、非商用程序不給看源碼，是由于開發臉皮薄，怕被人看到源碼后有“這寫的什么呀”這種體味，而不是舍不得分享，由于我不是開發所以我沒有這種體味，而且我一般上來就N個if else實現我的需求、幫助我達到工作目標即可，所以不要和老夫：？？？

五、免責聲明（不然公司法務會把我XXOO）

本文章參照《網絡安全威脅信息發布管理辦法》征求意見稿

第二條 發布網絡安全威脅信息，應以維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識為目的，不得危害國家安全和社會公共利益，不得侵犯公民、法人和其他組織的合法權益。

編制。技術分享僅作者本人行為，和任意單位無任意關聯。如產生不良影響或產生意外情況，請及時聯系freebuf或作者對其進行刪除。

技術分享無邊界，哪怕我這種毫無技術可言的技術，真正核心的是應急演練的標準化相關文檔（畢竟一流公司做標準，我們也想打好基礎），以及體系化的應急演練內容，涉及公司機密已進行規避。

*本文原創作者：竹林再遇北極熊，本文屬于FreeBuf原創獎勵計劃，未經許可禁止轉載

責任編輯：