1.2 網絡安全應急響應面臨的挑戰與發展趨勢

“未知攻，焉知防”。廣義層面的網絡安全應急響應將網絡防護和響應處置融合在一起，而狹義層面的網絡安全應急響應只考慮事件發生后的響應處置工作，但無論在哪個層面，響應處置都是網絡安全應急響應中不可或缺的一環，這是因為網絡安全具有相對性和動態性，即我們必須承認沒有絕對安全的系統，也沒有一直安全的系統。

1.2.1　網絡安全應急響應面臨的挑戰

要探索網絡安全應急響應的發展趨勢，我們需要先了解網絡安全應急響應面臨的挑戰。當前，網絡安全應急響應面臨的挑戰主要來自攻防兩端信息不對稱、攻擊動機的復雜化、攻擊方法的多樣化、攻擊技術的體系化和安全策略的不平衡傾向。

1．攻防兩端信息不對稱

系統的安全風險來自內部和外部，無論是主動的網絡攻擊，還是操作失誤，導致安全事件發生的攻擊過程往往是超出防御端預料的。雖然防御端擁有系統內部資源方面的優勢，但在安全事件發生時，系統必然處于預先的防護體系部分失效的情況下，即使能夠完整識別事件及其影響，并快速完成處置過程，也只能起到減少防御端損失的效果，已有的資源優勢很難發揮作用。

2．攻擊動機的復雜化

過去的網絡攻擊動機往往較為簡單——個人的攻擊大多為了證明自己的技術能力或出于好奇、惡作劇心理抑或對現存系統感到不滿意。企業間的攻擊較為罕見，通常局限于商業間諜行為或對競爭對手的負面競爭行為，雖然存在以經濟利益為目的的網絡犯罪（如盜用信用卡信息），但其規模和影響較小。

現在的網絡攻擊動機更多樣化且更復雜。經濟利益成為主要動機之一，大規模的勒索軟件攻擊、金融欺詐甚至高度專業化的網絡犯罪層出不窮。攻擊者不僅針對個人用戶，更瞄準了企業甚至國家的基礎設施。網絡攻擊已從單純的技術展示演化為包括經濟、政治、社會等多重動機的復雜威脅形式。

3．攻擊方法的多樣化

在早期的互聯網時代，網絡攻擊方法通常比較基礎且簡單。攻擊者經常利用病毒、釣魚郵件、拒絕服務（Denial of Service，DoS）攻擊、SQL注入、跨站腳本（Cross Site Scripting，XSS）攻擊等，主要針對軟件和網絡系統中的明顯漏洞開展網絡攻擊。隨著互聯網技術的快速發展，現在的網絡攻擊方法變得更加多樣化、專業化，更具有針對性。黑客開始使用高級持續性威脅（Advanced Persistent Threat，APT）發起針對特定目標的攻擊，這類攻擊通常涉及一系列復雜的手段，包括利用社會工程學、利用零日漏洞、定制惡意軟件和進行隱秘的數據滲透，而且會利用密碼破解工具、自動化腳本以及機器學習算法提高猜解密碼的效率。

此外，隨著物聯網設備的普及，網絡攻擊的作用域拓展到了智能家居、工業控制系統等新領域。攻擊者開始進行更為隱蔽的網絡攻擊，比如無文件（Fileless）攻擊和內存駐留型攻擊，這些攻擊不易被傳統安全措施檢測到。加密貨幣挖礦惡意軟件的增多也是一個新趨勢，黑客利用受害者的計算資源挖掘加密貨幣。針對云計算環境的攻擊也隨著云服務的普及而變得越來越常見。總的來說，現在的網絡攻擊具有更強的隱蔽性、持久性和破壞力，需要采取更加高級和多層次的安全應急響應措施進行對抗。

4．攻擊技術的體系化

在過去的網絡攻擊技術體系中，攻擊行為往往是孤立的，即簡單利用已知漏洞執行攻擊。攻擊者通常使用標準的黑客工具，比如鍵盤記錄器、后門進行簡單的旁路攻擊或釣魚攻擊。這些攻擊多利用公開的漏洞數據庫和比較基本的社會工程策略，易于識別和防御。

現在的網絡攻擊技術體系日趨復雜。攻擊者擁有高度組織化且復雜的工具和策略，會采用多步驟策略潛伏和竊取目標數據。攻擊呈現出分工明確、團隊作業的特點，例如利用CS平臺的高級持續性威脅攻擊（Advanced Persistent Threat-Threat On Cobalt Strike，APT-TO CS）。高度“模式化”使得攻擊成本降低，也讓發現和追溯這些攻擊變得更難，使得應急響應工作愈發難以有效地執行。

5．安全策略的不平衡傾向

“重防護、輕應急，重建設、輕演練”是現在大部分組織的網絡安全應急響應體系建設策略。大部分組織傾向于在前期采取更多的防護措施和進行更多的基礎建設，而忽視了應急響應計劃和應急演練的重要性。對于大多數組織而言，預防工作的落實周期短、見效快，因此得到廣泛關注。應急響應技術本身難以模式化和設備化，而且對組織內部技術人員的要求較高，普遍沒有得到真正的重視。

組織專注于建立和強化安全基礎設施與策略，包括硬件的投入、安全軟件的部署、信息系統的架構布局，這樣可以讓組織滿足合規性要求。然而，人員和技術平臺支撐的不足，導致組織無法實施切實有效的應急演練。

從長期視角來看，忽視任何一個環節都可能使其成為網絡安全防線的薄弱環節，進而對整個組織的安全、健康構成威脅。因此，成熟的網絡安全策略應當重視并平衡防護與應急響應、建設與演練的關系，確保在面對網絡安全事件時能夠快速、有效地做出反應。

1.2.2　網絡安全應急響應技術向工具化、平臺化發展

為了對網絡安全事件做出快速的反應和完善的處置，無論在防護階段還是應急處置階段，將專業知識和相應的技術工具化都是必然趨勢，最終形成由專業的管理和技術人員運用成熟的產品或工具，以合適的方式對網絡安全事件進行處置的過程。

無論在準備階段還是恢復階段，如果沒有適當的工具支撐，就無法提高處理效率。例如，應對Web攻擊事件的Shell掃描查殺工具、應對網絡入侵的檢測工具和產品，以及查找漏洞的掃描器和取證硬、軟件套裝等。

另外，目前業界用以支撐應急響應標準流程的平臺，無論是以漏洞管理為目的，還是以信息流轉和流程支持為目的，都應該更好地將工具、流程、人員和組織聯結起來，進行信息共享、協同應急。

1．由被動響應向主動檢出演進

所謂“應急服務”，就是事后采取的服務，但是在重大活動的網絡安全保障工作中，應急服務更應該被理解為避免和預防突發的以安全事件為主的事件的服務，這種理解方式擴展了準備階段的工作內容。

通過威脅情報共享、網絡態勢感知系統，盡早識別已知風險、縮短檢測周期、提高安全事件的檢出率成為目前網絡安全保障和應急的技術發展趨勢之一，業界近年提出的威脅狩獵理念、技術和相應的工具，也有助于實現快速檢出安全事件。

根據Verizon公司發布的數據泄露調查報告（Data Breach Investigations Report，DBIR），近年來，從網絡安全事件發生到攻擊者成功入侵系統、盜取數據的攻擊周期越來越短，應急和恢復的工作周期隨著各組織安全防護意識和應急響應能力的提升也明顯縮短，只有事件的檢出周期無明顯變化——仍然以“月”為單位。因此，通過上述的監測預警和檢測發現技術，縮短安全事件的檢出周期成為組織應急響應工作的當務之急。

2．網絡安全應急協同支撐技術的發展

網絡空間的無邊界性、信息化導致業務具有互聯跨域性，這使得業界逐漸認識到成功的安全應急響應需由多種不同職責、不同技能的團隊依托多種系統和情報密切協同，將本地資源、網絡情報、云基礎設施、各類設備和人緊密地聯結起來，采用協同、閉環的應急響應體系和流程才能有效完成網絡安全事件應急響應。

網絡安全應急協同支撐技術的發展趨勢持續反映著現代網絡環境的復雜性和安全威脅的日益精密化，主要體現在安全設備深度集成化，網絡安全產品不再單獨運作，而是互相集成，形成一個聯防聯控的安全生態系統。這種深度集成機制可以在不同的安全產品之間實現自動信息共享和響應機制，包括端點保護、網絡監控、威脅情報獲取、入侵檢測等。

網絡安全應急協同支撐技術的另一個發展趨勢是自動化。隨著最近大模型的發展，自動化已成為當前網絡安全技術的一個標準特征，未來的網絡安全技術將更加依賴大模型增強自動化的能力。這種自動化可以實現更加快速、有效的威脅識別、分類和響應。通過大數據分析和機器學習，安全系統能夠發現潛在的威脅和漏洞，提前采取措施以避免安全事件的發生，而不僅僅是被動應對已發生的事件。

3．溯源和取證技術得到重視

網絡安全應急響應中溯源和取證技術發展的首要目的在于識別攻擊者并對其進行追責。之所以以此為首要目的，是因為確鑿和精確的溯源信息能夠幫助安全專家和執法機構確定攻擊的起源，揭示攻擊者的身份及其所用的方法。在國際范圍內，追蹤到具體的個人或組織后，有可能通過法律手段追究其責任。這種追責的可能性本身就具有一種震懾作用，使潛在的攻擊者必須考慮被抓獲和接受懲罰的風險。依托強大的溯源和取證技術，網絡安全架構不僅能夠防御當前的威脅，還能夠避免未來的侵害。

全球對網絡安全應急響應的相關法律法規與要求的嚴格化，成為溯源和取證技術發展的另一個重要推動力。例如，《中華人民共和國網絡安全法》的施行及其與《中華人民共和國刑法》等其他法律的連接和執法強度的加大，要求在發生數據泄露問題時，組織必須具備有效追蹤并報告事件的能力。

溯源和取證工作的正確執行不僅有助于使組織符合相關法律法規與要求，避免可能的罰款和違法問題，同時也有利于維護組織的品牌形象，增強消費者和股東的信心。因此，這樣的法律法規與要求也激勵著組織增強他們的溯源和取證能力，以確保合規，并在面對安全事件時能做出迅速、有效的響應。

4．應急響應人員的技術能力不斷進步

隨著國內外網絡空間安全相關專業的應用型人才培養模式的創新，人才培養質量進一步提高，應急響應人員的技術能力逐年得到提升，加之行業對網絡安全人才的需求不斷增加，國內外各類組織和機構推出了相關的培養和認證服務。

在應急響應方面，國際上由網絡空間安全知識學習平臺Cybrary推出的Incident Response & Advanced Forensics認證課程，由美國卡耐基梅隆大學推出的CERT-Certified SANS（System Computer Security Incident Handler, Administration, Networking and Security）學院的GIAC Certified Incident Handler等認證課程；國內由中國網絡安全審查認證和市場監管大數據中心推出的CISAW、CSERE認證等，均為應急響應人員在理念、知識、技術能力方面的進一步提升提供了較豐富的學習資源。但由于網絡安全知識的快速更新迭代，對于應急響應人員來講，通過持續學習以增加知識儲備，通過有效的演練達成知行合一，這兩點都至關重要。