谷歌是如何做应急响应的

• 简介

• Google 如何帮助保护客户数据

• 应急响应

• 团队架构

• 应急响应流程

• 识别

• 协调

• 处置

• 完成

• 持续改进

• 总结

• 参考资料

简介

为客户数据维护安全的环境是 Google Cloud 的首要任务。Google 通过一个业界领先的信息安全操作体系来保护客户数据，该操作体系将严格的流程、世界一流的团队以及多层信息安全和隐私基础架构进行了有机结合。本文重点介绍 Google 管理和响应的原则性方法。

在 Google 的整个安全和隐私计划中，应急事件响应是一个重要方面。谷歌制定了严格的应急响应管理流程。该流程详述了影响客户数据机密性、完整性或可用性的任何潜在突发事件的操作、上报、缓解、解决和通知方法。

在 Google，应急响应是指 Google 安全体系遭到入侵，从而导致 Google 管理或控制的系统上的客户数据遭到意外或非法破坏、丢失、更改、未经授权的披露或访问。Google 会采取措施解决数据和系统面临的可预见威胁，但应急响应不包括未破坏客户数据安全的失败尝试或活动，包括失败的登录尝试、ping、端口扫描、拒绝服务攻击以及防火墙或联网系统上发生的其他网络攻击。

Google 如何帮助保护客户数据

客户数据的安全至关重要，而数据安全有赖于 Google 与客户的协作。Google 负责保护底层的云端基础架构和服务的安全，而客户在 Google 云端基础架构之上进行构建时，要保护其应用、设备和系统的安全。Google 为客户提供指导和多种安全功能，以实现 Google 水准的安全做法：

• 身份和访问权限管理

• 默认对静态数据和传输中的数据进行加密，无需客户执行任何额外操作

• 多重身份验证，包括防网上诱骗的硬件第二重安全密钥

• 广泛的网络安全选项，包括虚拟私有云 (VPC) 和共享 VPC、软件即服务 (SaaS) 和平台即服务 (PaaS) 解决方案的内置 DDoS 防护，以及将上述机制用于基础架构即服务 (IaaS) 解决方案的选项

• 详细的审核日志

首先基础架构和基础设施，包括技术、人员、流程保证可以大规模支持漏洞管理，并尽量使得无需为客户带来额外的工作量。谷歌披露安全建设的五大安全原则如下：

安全建设领域概念

1. 基础设施安全

   基础架构的安全是Google的核心竞争力。安全性不应该是事后或者偶尔为之的措施，而是日常工作不可或缺的一个部分。

2. 数据生命周期

   谷歌并不仅仅关注数据存储保护这一领域，而且关注收集、发现、同意、访问、保护、清除、导出等完整的生命周期。这也是Google推行全球https化和安全DNS的动力。

3. 认证授权访问控制

   定义有权访问和授权内容的身份策略、识别访问是否正常，检测并做出响应。

4. 应用安全

   Google平台自身的安全性（GPC、Gmail、Brog），和产品的安全性（Android、chrome）。

5. 运营管理和审计

   ”人的因素“，围绕构建Google整个运营体系的安全性和风险管理，包括如何操作管理后台、如何运行基础架构设施。

如需详细了解 Google 如何保护 Google Cloud 的安全，请参阅《Google 基础架构安全设计概述》这篇文章和相关的 NEXT '18 安全演示，或访问 Google Cloud 安全网站。

Google 为客户提供他们在 Google Cloud 上使用的各种服务的可见性；客户可以使用 Google Workspace 安全中心来预防、检测和解决 Gmail、云端硬盘、设备、OAuth 和用户帐号中出现的问题。同样地，对于 GCP，客户可以使用 Cloud Security Command Center 来了解其组织中的资源、漏洞、风险和政策的相关数据。

在客户一方，他们必须正确配置安全功能以满足其自身需求，安装软件更新，设置网络安全区域和防火墙，并确保最终用户保护好自己的帐号凭据，不会向未经授权方公开敏感数据。

下图显示了Google的云安全共享责任模型，说明了客户与 Google 各自的责任如何随客户对代管式服务的利用程度而变化。随着客户从本地解决方案转向 IaaS、PaaS 和 SaaS 云计算产品，Google 将负责管理整个云服务的更多环节，客户的安全责任则随之减少。技术上将安全防御划分为16个层次，统一的理念是--”纵深防御、默认情况下支持大规模的防御“。

谷歌安全能力模型，点击查看大图

应急响应

Google 的事件响应计划由许多专业职能部门的专家级应急事件响应人员管理，以确保每个响应都能很好地适应每个突发事件所带来的挑战。根据突发事件的具体性质的不同，专业响应团队可能包括：

• 云端突发事件管理

• 产品工程

• 站点可靠性工程

• 云端安全和隐私

• 数字取证

• 全球调查

• 信息检测

• 安全、隐私和产品顾问

• 信任与安全

• 反滥用技术

• 客户支持服务

这些团队的主题专家会以各种方式参与其中。例如，突发事件指挥官协调事件响应，如有需要，数字取证团队将检测正在进行的攻击并进行取证调查。产品工程师会努力限制对客户的影响，并提供解决方案来修复受影响的产品。法律团队会与相应安全和隐私团队成员合作，实施 Google 的证据收集策略，与执法部门和政府监管机构合作，也会就法律问题和要求提供建议。客户支持人员响应客户的询问和请求，为他们提供更多信息和帮助。沟通始终是应急响应中很重要的部分。

在2020年，谷歌就尝试招募内部在安全有兴趣的工程师一起参与到应急响应流程中来，通过培训、值班、共享信息让应急响应能力开放出去，这样做的好处是集合经验智慧，也方便全球跨时区值班，最终部分参与的志愿工程师甚至可以完全胜任指挥官的角色。

团队架构

同SRE的流程一样，谷歌宣布突发事件时，会指定一名突发事件指挥官来协调应急事件响应和解决方法。突发事件指挥官会从不同的团队中选择专家组成一支响应团队。典型的响应架构如下图所示。突发事件指挥官会将管理突发事件不同方面的责任委派给这些专业人员，并管理从事件宣布到关闭的整个过程。下图描述了应急事件响应期间各种角色的关系及其各自职责。

应急响应团队架构

应急响应流程

每个应急响应都具有特殊性，应急响应流程的目标是保护客户的数据，尽快恢复正常服务，并满足监管和合同合规要求。简单看Google 的应急事件响应计划的流程如下：

应急事件响应工作流程，点击图片可放大

识别

及早准确地识别突发事件是强有力的突发事件管理的关键。这一阶段的重点是监控安全性事件，以检测和报告潜在的应急响应。

Google 的突发事件检测团队采用先进的检测工具、信号和提醒机制，以便及早发现潜在突发事件的端倪。

Google 的突发事件检测来源包括：

• 自动化网络和系统日志分析：网络流量和系统访问的自动分析有助于识别可疑、滥用或未经授权的活动，并将相应情况上报给 Google 的安全员工

• 测试：Google 的安全团队使用渗透测试、质量保证 (QA) 措施、入侵检测和软件安全审核来主动扫描安全威胁

• 内部代码审核：源代码审核可发现隐藏的漏洞、设计缺陷，并验证是否实现了关键安全控制

• 针对特定产品的工具和流程：尽可能根据团队职能采用相应自动化工具，以增强 Google 在产品级层检测突发事件的能力

• 使用异常检测：Google 采用多层机器学习系统，来鉴别用户在各类浏览器、设备上的活动，以及进行的应用登录和其他使用事件是否出现异常

• 数据中心和/或工作环境服务安全提醒：数据中心的安全提醒会扫描可能影响公司基础架构的突发事件

• Google 员工：Google 员工会检测异常情况并进行报告

• Google 的漏洞奖励计划：Google 拥有的浏览器扩展程序、移动应用和网页应用中可能存在影响用户数据机密性或完整性的技术漏洞，这些漏洞有时由外部安全研究人员报告

协调

收到突发事件报告时，值班响应人员会审核并评估突发事件报告的性质，以确定它是否属于应急响应，并启动 Google 的应急事件响应流程。

一旦突发事件得到确认，它将被移交给突发事件指挥官，该指挥官将评估事件的性质并实施相应协调响应。在这一阶段，响应包括完成突发事件的分类评估，在需要时调整其严重程度，并启用所需应急事件响应团队，由相应操作/技术主管审核具体情况并识别需要调查的关键区域。谷歌会委派一名产品主管和一名法律主管，就如何响应做出关键决策。突发事件指挥官将指派相关人员开展调查并收集事实。

Google 响应的许多方面取决于严重程度评估结果，该评估以应急事件响应团队收集和分析的关键事实为根据。这些事实可能包括：

• 给客户、第三方和 Google 造成危害的可能性

• 突发事件的性质（例如是否会导致数据被破坏、被访问或变得不可用）

• 可能受影响的数据的类型

• 突发事件给客户使用该服务造成的影响

• 突发事件的状态（例如突发事件是否已被隔离、仍在持续或已得到控制）

随着新信息的不断获得，突发事件指挥官和其他主管会在整个响应过程中定期重新评估这些因素，以确保为 Google 的响应已分配适当的资源和紧急程度。会造成最严重影响的突发事件将被指定为最高严重程度。响应中还将指定一名沟通主管，负责与其他主管一同制定沟通计划。

处置

在这一阶段，重点是调查根本原因，限制突发事件的影响，解决当前的安全风险（如有），在补救过程中实施必要的修复，以及恢复受影响的系统、数据和服务。

受影响的数据将尽可能恢复到其原始状态。根据特定突发事件的具体情形，Google 可能会视情况采取许多不同的步骤来解决特定事件。例如，要重建问题的根本原因或识别对客户数据的影响，可能需要进行技术或取证调查。如果数据发生意外更改或被破坏，Google 可能会尝试利用 Google 的备份副本重建数据。

补救的一个关键方面是当突发事件影响客户的数据时通知客户。整个突发事件过程中，将对关键事实进行评估，以确定突发事件是否影响了客户的数据。如果有必要通知客户，突发事件指挥官将启动通知流程。沟通主管将根据产品和法律主管的意见制定沟通计划，通知受影响的客户，并于通知后在谷歌的支持团队的帮助下响应客户请求。

Google 致力于提供及时、清楚且准确的通知，其中包含应急响应的已知详情、Google 为缓解潜在风险已采取的措施，以及 Google 为解决相应突发事件建议客户采取的措施。谷歌将尽最大努力提供突发事件的详尽情况，以便客户可以评估并履行自己的通知义务。

完成

在成功补救和解决应急响应后，应急事件响应团队将评估从突发事件中吸取的经验教训。如果突发事件引发了关键问题，突发事件指挥官可能会启动事后分析。在此过程中，应急事件响应团队会审查突发事件的原因和 Google 的响应，并识别需要改进的关键区域。在某些情况下，这一过程需要与不同的产品、工程和运营团队进行讨论，并开展产品改进工作。如果需要后续工作，应急事件响应团队会制定行动计划以完成相应工作，并指派项目经理领导长期工作。在补救工作结束后，突发事件将被关闭。

持续改进

在 Google，谷歌努力从每次突发事件中吸取教训，并实施预防措施，以避免未来突发事件的发生。

从突发事件分析得出的富有实用价值的洞见有助于谷歌改进自己的工具、培训和流程，以及 Google 的整体安全和隐私数据保护计划、安全政策和/或响应工作。总结得出的重要教训还有助于相关工作的优先级安排和更出众产品的构建。

Google 的安全和隐私专业人员会审查公司针对所有网络、系统和服务的安全计划，不断加以改进，并为产品和工程团队提供针对特定项目的咨询服务。他们将部署机器学习、数据分析和其他新技术，以监控 Google 网络上的可疑活动，解决信息安全威胁，执行常规安全评估和审核，并聘请外部专家定期开展安全评估。此外，谷歌的全职团队（称为“Project Zero”）致力于向软件供应商报告 bug，并将其归档到外部数据库，以防范定向攻击。

Google 会定期开展培训和宣传活动，推动安全和数据隐私方面的创新。专门的应急事件响应员工将接受取证和证据处理相关培训，包括使用第三方工具和专有工具。谷歌还将针对关键区域（例如存储敏感客户信息的系统）执行应急事件响应流程的测试。这些测试会考虑各种场景（包括内部威胁和软件漏洞），有助于谷歌为安全和隐私突发事件做好充足准备。

作为 ISO-27017、ISO-27018、ISO-27001、PCI-DSS、SOC 2 和 FedRAMP 计划的一部分，Google 将对各类流程进行定期测试，以便为谷歌的客户和监管机构提供在安全性、隐私保护和合规性控制方面的独立验证。

总结

应急响应流程

如上所述，Google 拥有世界一流的应急事件响应计划，提供以下关键职能：

• 基于行业领先技术构建的流程，专用于解决突发事件，并经过优化，能够以 Google 的规模高效运营

• 开创性监控系统、数据分析和机器学习服务，可以主动检测并控制突发事件

• 配备众多专门主题专家，可随时分派以响应任何类型或规模的应急响应

• 及时通知受影响客户的成熟流程，符合 Google 在服务条款和客户协议方面的承诺

保护数据安全是 Google 业务的核心。谷歌将持续对整体安全计划、资源和专业知识进行投资，使谷歌的客户能够在突发事件发生时依赖谷歌的有效响应，保护他们的数据安全，并持续满足客户对 Google 服务高可靠性的期望。

参考资料

https://www.youtube.com/watch?v=tz5ggxqEOos&ab\_channel=GoogleCloudTech 

https://www.youtube.com/watch?v=NhyRtgDpiC0

https://www.infoq.cn/article/w1ldnnzvglcaohkxcfpp

https://www.sdnlab.com/22984.html 

https://www.secrss.com/articles/5328

https://services.google.com/fh/files/misc/data\_incident\_response\_2018.pdf?hl=zh-cn