大东:小白,少吹点空调。小白:东哥,我也不想啊,关键是北京最近太热了。大东:这倒是,连续的高温预警确实很罕见。小白:是的,看到这个预警我就瞬间取消了出游计划。大东:你这个就是现实中的应急响应执行了,给你点赞。小白:应急响应?大东:没错。比如现实社会中,如果出现了高温这种异常气象状况,气象部门就要采取一系列措施,比如发布预警;其他部门也会配套出台一些政策,保障人民群众防暑降温工作的有序开展。
那么问题来了,网络安全领域的应急响应你能举个例子吗?小白:我想到的是CIH病毒,它在特定日期(通常是4月26日)会触发其破坏性负载,导致目标计算机上的数据和硬件受到损坏,以至于那些年大家遇到这个日期只好不开机。大东:是的,这属于网络安全应急响应范畴。小白:那网络安全领域要如何更好开展应急响应能力建设呢,是不是越早知道威胁情报越好呢?大东:我们待会再回答这个问题。
首先我先问你,冬天的学校和夏天的学校是同一个学校吗?小白:可以说是,也可以说不是。大东:很好,你已经掌握了知识传递和知识变换的逻辑了。大东:那你认为威胁情报的关键能力点有哪些呢?小白:威胁情报建设主要考虑两个方面,一是能否适配经济全球化等历史浪潮同步提升;二是能否促进数字经济等新兴经济领域的健康发展。小白:那么东哥,从宏观能力来看,需要围绕哪些能力展开建设呢?
大东:主要是共享能力、先知能力和流转能力。小白:额,这几个概念具体何解?大东:其实,我们可以把相关场景平行类比到世界卫生组织(WHO)的相应能力。当流行病在全球爆发期间,有关情报都会汇总到WHO,组织协调世界各国的医护有关资源需要建立统一快速的共享能力;而WHO对流行病毒发出全球预警,这就是广源高效的先知能力;最后能把这些很好的调度起来就是动态有机流转能力。
小白:东哥你这么一说,我就明白了,其实网络安全领域也应有类似WHO的组织吧?大东:是的,比如中国的CERT,亚太地区应急组织APCERT,全球的网络安全应急响应组织FIRST等组织,都是针对病毒木马僵尸网络蠕虫在全球网络肆虐的时候做到积极有效的网络应急响应;但是,随着APT等多种隐蔽性网络安全事件日益加剧,全球各国的威胁情报能力进一步提升也需要做与时俱进的体系建设。
小白:东哥我想起来《两个情》里面讲过类似内容。现在网络威胁情报变换太快啦,而网络攻击是在虚拟世界发生的,上一秒的攻击可能到了下一秒就出现了迁移和失效,我们确实需要在《两个情》基础上,开展先进的网安威胁情报能力建设。大东:是的,在《两个情》里面,我们探讨过这个观点,即威胁情报“变化”的核心特征,要聚焦信息差,实现已知情报和未知情报的统一。
从全球视角来看,如何能够将应急响应转变为应对自如,那就是要围绕“预”这一科学目标从“三优”维度分析,即优势、优化、优先。小白:东哥别卖关子了,赶快传授给我~~