一、 白话应急响应

大东：小白，少吹点空调。

小白：东哥，我也不想啊，关键是北京最近太热了。

大东：这倒是，连续的高温预警确实很罕见。

小白：是的，看到这个预警我就瞬间取消了出游计划。

大东：你这个就是现实中的应急响应执行了，给你点赞。

小白：应急响应？

大东：没错。比如现实社会中，如果出现了高温这种异常气象状况，气象部门就要采取一系列措施，比如发布预警；其他部门也会配套出台一些政策，保障人民群众防暑降温工作的有序开展。那么问题来了，网络安全领域的应急响应你能举个例子吗？

小白：我想到的是CIH病毒，它在特定日期（通常是4月26日）会触发其破坏性负载，导致目标计算机上的数据和硬件受到损坏，以至于那些年大家遇到这个日期只好不开机。

大东：是的，这属于网络安全应急响应范畴。

小白：那网络安全领域要如何更好开展应急响应能力建设呢，是不是越早知道威胁情报越好呢？

大东：我们待会再回答这个问题。首先我先问你，冬天的学校和夏天的学校是同一个学校吗？

小白：可以说是，也可以说不是。

大东：很好，你已经掌握了知识传递和知识变换的逻辑了。

大东：那你认为威胁情报的关键能力点有哪些呢？

小白：威胁情报建设主要考虑两个方面，一是能否适配经济全球化等历史浪潮同步提升；二是能否促进数字经济等新兴经济领域的健康发展。

小白：那么东哥，从宏观能力来看，需要围绕哪些能力展开建设呢？

大东：主要是共享能力、先知能力和流转能力。

小白：额，这几个概念具体何解？

大东：其实，我们可以把相关场景平行类比到世界卫生组织（WHO）的相应能力。当流行病在全球爆发期间，有关情报都会汇总到WHO， 组织协调世界各国的医护有关资源需要建立统一快速的的共享能力；而 WHO对流行病毒发出全球预警，这就是广源高效的先知能力；最后能把这些很好的调度起来就是动态有机流转能力。

小白：东哥你这么一说，我就明白了，其实网络安全领域也应有类似WHO的组织吧？

大东：是的，比如中国的CERT，亚太地区应急组织APCERT，全球的网络安全应急响应组织FIRST等组织，都是针对病毒木马僵尸网络蠕虫在全球网络肆虐的时候做到积极有效的网络应急响应；但是，随着APT等多种隐蔽性网络安全事件日益加剧，全球各国的威胁情报能力进一步提升也需要做与时俱进的体系建设。

小白：东哥我想起来《两个情》里面讲过类似内容。现在网络威胁情报变换太快啦，而网络攻击是在虚拟世界发生的，上一秒的攻击可能到了下一秒就出现了迁移和失效，我们确实需要在《两个情》基础上，开展先进的网安威胁情报能力建设。

大东：是的，在《两个情》里面，我们探讨过这个观点，即威胁情报“变化”的核心特征，要聚焦信息差，实现已知情报和未知情报的统一。从全球视角来看，如何能够将应急响应转变为应对自如，那就是要围绕“预”这一科学目标从“三优”维度分析，即优势、优化、优先。

小白：东哥别卖关子了，赶快传授给我~~

二、战略锦囊——优势

大东：还记得《两个情》讲过的内容吗？其实应急响应全球化能力建设的分析策略也是从战略、战备、战役三个层次出发。

小白：战略锦囊，它的优势是指什么呢？

大东：威胁情报优势主要是构建势能，势能这个东西物理里面你学过，要有高度差才能构建。

小白：是的。站得高看得远，掌握情报才能做到更加全面。

大东：因此，只有情报的知识获取源足够多、足够广，才能更多捕捉瞬息万变的威胁情报，进而掌握先机。比如，今年春天来势汹汹的沙尘暴，由于我国在各省都拥有环境监测站的气象基础设施，就可以做到有效的气象预报研判。

小白：那么网络安全该如何构建势能呢？

大东：这就需要我们回顾梳理下典型相关的安全事件，如下图所示。

全球视角之应急响应

小白：这个图有点眼熟。在《数字安全锦囊》里面是不是见过？

大东：你仔细看看，就能看出区别。《数字安全锦囊》是从数字中国安全能力建设的视角来观测；而本文的图，则主要从威胁情报全球化能力建设的视角对事件做了梳理。通过这个图，我们不难看出很多规律。但是在应急响应全球化能力建设锦囊里，我们更关注的不应仅是梳理，而是预测和预知能力，所以必须得知道什么是“预”。

小白：凡事预则立，不预则废。我理解所谓“预”是指，首先就是做好瞬息万变的安全事件跟踪分析，在此基础上才能构建“预”的能力。东哥，“预”在这里有哪些新内涵呢？

大东：其实“预”在这里蕴含着三种特征。第一个特征是，诸如incaseformat发生的机理类似于千年虫病毒，类似解决方法处于已知范畴，但是没有做安全事件能力积累，所以还是时有发生。

小白：这就是个大问题啊，一个坑掉两次，不应该的。

大东：所以啊，第一个办法就是要构建历史安全事件库，通过这些库探测扫描数字化对象，就可以避免很多安全事件再次发生。

小白：那第二个办法呢？

大东：那就是上图列举的Windows XP源代码泄露事件，也就是代码同源性。做好代码同源风险分析会有效构建安全防护能力。

小白：那第三个办法呢？

大东：你看过《钢铁侠》的电影吧。

小白：当然看过，这个电影最炫的部分就是各种神兵利器组装为铠甲的那一瞬间。详见《从<钢铁侠>里现代软件工程设计思想谈起》。

大东：其实这个组装过程即“软件组件化”，随着AIGC逐步成熟，未来的软件组件化会朝着“低代码”甚至“0代码”的方向发展，网络威胁的风险受控性挑战加大。这对威胁情报的“未知能力”提出了更高的要求，这就需要聚焦提升未知情报共享能力。

小白：对的东哥。我还记得当年你在讲《两个情》的时候，还说到了“情随事迁，感慨系之矣”这样的句子。

大东：其实“情随事迁，感慨系之矣”，就点破了事和情的关系。威胁情报的第一点特征，就是知识性，即：情先于事，这就是“预”的预测维度。

小白：没错，情报一定要比事情来得快。

大东：做好了预测，就可以构建一种面向长期情报获取的前瞻能力，经年累月、滴水穿石般沉淀出威胁情报之网的价值，这就是“预”的预知维度。

小白：明白。

大东：此外，要借助社会工程学的思维、技术手段开展情报梳理和筛选，这就是威胁情报“预”的预见维度。

小白：明白了东哥，对于构建应急响应全球化能力建设来说，“预”的重要性不言而喻啊。

大东：是的，通过对三“预”的能力构建，就能够沉淀出优势，进行下一步的“优化”工作啦。

三、战备锦囊——优化

小白：网络安全应急响应具体可在哪些方面做优化，可形成战备能力呢？

大东：可分别从威胁面管理、威胁者画像和安全有效性验证三个方面做持续优化。

小白：能具体讲讲嘛？

大东：威胁面管理可重点关注攻击面管理（ASM）和软件成分安全分析（SCA）技术发展脉络，也就是知己；

小白：那威胁者画像呢？

大东：应急响应的攻击主体是威胁者，没有了威胁者，攻击也无从谈起。这部分能力需要通过安全事件的深度分析，捕捉尽可能多的带外情报，持续对威胁者做精准画像，也就是知彼。

小白：说完了威胁面、威胁者，还有哪些威胁要素呢？

大东：未来重要的威胁要素能力优化可关注安全有效性验证（Cybersecurity Validation），这需要千行百业的数字化场景赋能和环境推演，也就是知天下。

小白：那优化其实还是围绕着“预”来做的战备能力建设。

大东：是的，战备优化的目标就是要做到对“预”持续提升。

小白：嗯嗯。

四、 战役锦囊——优先

小白：讲完了“优势”和“优化”，网络安全应急响应的“优先”要从哪些角度来考虑呢？

大东：优先对应着上文提到的“流转”能力。当你积累了足够的优势和技术能力之后，如何占得战役的优先权、捕获最佳战机，这是一个核心问题。这就要求根据局部灵活性原则动态调整。

小白：东哥，前一段时间去过一次环球影城。里面有个优速通服务，支付相应费用就可以走优先通道；此外，如果你是一个人去玩，就可以走single通道，这样可以插缝优先；

大东：不光有这些优先机制，譬如说环球年卡一般节假日是不能入场，但是因为北京高温出行人少，所以年卡限制放宽，也可以端午进场了，这就属于优先机制动态灵活调整。

小白：这些优先场景需要如何全盘考虑设计呢？

大东：可以从机制公平、拥有价值、因地制宜这三方面做优先场景设计。

五、小白内心说

小白：这次东哥讲的应急响应全球化能力建设锦囊，围绕着战略、战备、战役三个层面，对网络安全事件现状展开分析，并通过三“优”的层级做了阐述，我得好好复习消化。怪不得东哥问我在哪？原来是在刺探我的位置情报哦！不过欧阳文忠公说过：“四时之景不同，而乐亦无穷也”。那么夏天校园和冬天校园当然不是同一个校园啦！差点被他绕进去。

来源: 中科院之声