隨著網(wǎng)絡(luò)安全法的實施以及安全事件頻發(fā)，企業(yè)對于內(nèi)部的安全建設(shè)也越來越重視。大公司的企業(yè)安全建設(shè)咱們先不說，我們今天就來分享下中小型企業(yè)應(yīng)該如何建設(shè)標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全體系。一般企業(yè)不發(fā)生數(shù)據(jù)泄露都不會當(dāng)回事，可有的企業(yè)真的發(fā)生了，而且影響到企業(yè)的業(yè)務(wù)系統(tǒng)安全，開始找各種安全廠商進行解決。解決完之后，后期可能還會發(fā)生，我們?nèi)绾螒?yīng)對企業(yè)突發(fā)的網(wǎng)絡(luò)應(yīng)急響應(yīng)事件呢？

今天分享一篇關(guān)于標(biāo)準(zhǔn)化建設(shè)-網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的分析文章，對于正在加強企業(yè)網(wǎng)絡(luò)安全建設(shè)的有很大的幫助和指導(dǎo)作用，我們一起來看看。

0x01 什么是標(biāo)準(zhǔn)化

標(biāo)準(zhǔn)化工作主要指制定標(biāo)準(zhǔn)、組織實施標(biāo)準(zhǔn)和對標(biāo)準(zhǔn)的實施進行監(jiān)督檢查。對于企業(yè)來說，從原材料進廠到產(chǎn)品生產(chǎn)、銷售等各個環(huán)節(jié)都要有標(biāo)準(zhǔn)，不僅有技術(shù)標(biāo)準(zhǔn)，而且還要有管理標(biāo)準(zhǔn)，工作標(biāo)準(zhǔn)等，即要建立一個完整的標(biāo)準(zhǔn)化體系。做好企業(yè)標(biāo)準(zhǔn)化工作，對開發(fā)新產(chǎn)品、改善經(jīng)營管理、調(diào)整產(chǎn)品結(jié)構(gòu)、開拓國內(nèi)外市場等方面能夠發(fā)揮重要作用。

0x02 標(biāo)準(zhǔn)化的優(yōu)點

1、規(guī)范行為，提高工作效率，降低企業(yè)成本。

2、標(biāo)準(zhǔn)化就是將所有工作模式化，減少不必要環(huán)節(jié)，將優(yōu)化過的工作流程固化下來，所有員工按照統(tǒng)一要求工作，避免錯誤率發(fā)生，從而降低成本，提升企業(yè)競爭力。

0x03 應(yīng)急響應(yīng)簡述

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)：是指在突發(fā)重大網(wǎng)絡(luò)安全事件后對包括計算機運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復(fù)的各種技術(shù)和管理策略與規(guī)程。

應(yīng)急響應(yīng)的活動應(yīng)該主要包括兩個方面：

未雨綢繆（即在事件發(fā)生前事先做好準(zhǔn)備，比如風(fēng)險評估、制定安全計劃、安全意識的培訓(xùn)、以發(fā)布安全通告的方式進行的預(yù)警、以及各種防范措施） 亡羊補牢（即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統(tǒng)，不如發(fā)現(xiàn)事件發(fā)生后，系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作） 事前的計劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動作提供了指導(dǎo)，用事后的響應(yīng)來發(fā)現(xiàn)事前計劃的不足。（兩者的關(guān)系應(yīng)該為互補與強化）

本文主要是以安全事件后的結(jié)構(gòu)為主。

為最大限度科學(xué)、合理、有序地處置網(wǎng)絡(luò)安全事件，業(yè)內(nèi)通常使用PDCERF方法學(xué)，將應(yīng)急響應(yīng)分成：準(zhǔn)備、檢測、抑制、根除、恢復(fù)、跟蹤六個階段工作，并根據(jù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)總體策略對每個階段定義適當(dāng)?shù)哪康?#xff0c;明確響應(yīng)順序和過程。

• 準(zhǔn)備：是安全事件響應(yīng)的第一個階段，即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備

• 檢測：以適當(dāng)?shù)姆椒ù_認在系統(tǒng)，網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異常活動、現(xiàn)象

• 抑制：限制攻擊、破壞所波及的范圍

• 根除：找出事件的根源并徹底根除，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件

• 恢復(fù)：目標(biāo)是把所有被攻破的系統(tǒng)或者網(wǎng)絡(luò)設(shè)備還原到正常的任務(wù)狀態(tài)

• 跟蹤：回顧并整合應(yīng)急響應(yīng)事件過程的相關(guān)信息

0x04 開始思路

先用5W2H分析法來構(gòu)建這個基礎(chǔ)模型，5W2H分析法又叫七何分析法，是二戰(zhàn)中美國陸軍兵器修理部首創(chuàng)。簡單、方便，易于理解、使用，富有啟發(fā)意義，廣泛用于企業(yè)管理和技術(shù)活動，對于決策和執(zhí)行性的活動措施也非常有幫助，也有助于彌補考慮問題的疏漏。

（1）WHAT - 是什么？目的是什么？做什么工作？

（2）WHY - 為什么要做？可不可以不做？有沒有替代方案？

（3）WHO - 誰？由誰來做？

（4）WHEN - 何時？什么時間做？什么時機最適宜？

（5）WHERE - 何處？在哪里做？

（6）HOW - 怎么做？如何提高效率？如何實施？方法是什么？

（7）HOW MUCH - 多少？做到什么程度？數(shù)量如何？質(zhì)量水平如何？費用產(chǎn)出如何？

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)標(biāo)準(zhǔn)化分析：

（1）WHAT – 主要目的

（2）WHY – 目前現(xiàn)狀

（3）WHO – 誰來負責(zé)

（4）WHEN – 時間規(guī)劃

（5）WHERE – 如何實行

（6）HOW – 具體內(nèi)容

（7）HOW MUCH – 產(chǎn)出價值

下圖以圍繞提高工作效率和內(nèi)部安全體系標(biāo)準(zhǔn)流程為主思考方向，包含：乙方網(wǎng)絡(luò)安全公司和甲方企業(yè)的一些交互點，僅僅舉例，未完整，根據(jù)自身情況發(fā)散就好。

0x05 過程內(nèi)容

重點思考的其實就是“具體內(nèi)容”部分，給出參考框架，因為不同的體系內(nèi)部的現(xiàn)狀都不一樣，在具體內(nèi)容輸出中給出一些關(guān)鍵點，根據(jù)情況自行補充：

• CERT01-網(wǎng)絡(luò)安全應(yīng)急預(yù)案

內(nèi)容：根據(jù)內(nèi)部情況定制，最要內(nèi)容包括安全事件風(fēng)險分級，事件處理團隊結(jié)構(gòu)，預(yù)防預(yù)警信息公布，事件后處置等。可參考《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》作為模板：

http://www.cac.gov.cn/2017-06/27/c_1121220113.htm

• CERT02-安全事件申請?zhí)幚砹鞒?/li>

內(nèi)容：規(guī)范發(fā)生安全事件的上報、處置、部門接口等流程制度。

• CERT03-安全事件信息確認

內(nèi)容：包括正常情況和異常情況后對比描述，發(fā)生安全事件的服務(wù)器信息（IP地址、操作系統(tǒng)、數(shù)據(jù)庫、主要服務(wù)和應(yīng)用等），主要用于記錄安全事件的情況。

• CERT04-安全事件處理進度階段報告

內(nèi)容：記錄安全事件處置進度過程和下一階段的計劃，方便團隊其他成員接入。

• CERT05-安全事件處理結(jié)果匯總報告

內(nèi)容：主要包括，安全事件綜述，安全事件處理過程，安全事件過程還原，安全加固的改進建議。

• CERT06-安全事件處理結(jié)果跟蹤

內(nèi)容：為什么需要這個？處理完安全事件需不需要加固？那么問題來了，大部分情況只能給出加固建議并不能親自動手。需不需要找各種部門接口人？需不需要找到接口人再找相關(guān)負責(zé)人？然后開發(fā)和運維再告訴你今天有點忙明天再改然后就沒有然后了？？？

• CERT07-常見安全漏洞攻擊方法參考手冊

內(nèi)容：可參考wvs、appscan、burpsuite等掃描器的漏洞描述再加上常見的攻擊手法和漏洞利用的特征。

• CERT08-常見安全事件處理方法參考手冊

內(nèi)容：整個框架最重要的一個部分，對各種安全事件進行分類，先看看國家標(biāo)準(zhǔn)中的分類情況：

GB/Z20986-2007《信息安全事件分類指南》根據(jù)信息安全事件的起因、表現(xiàn)、結(jié)果等，信息安全事件為惡意程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個基本分類，每個基本分類包括若干個子類。

一、惡意程序事件（計算機病毒事件，蠕蟲事件，特洛伊木馬事件，僵尸網(wǎng)絡(luò)事件，混合攻擊程序事件，網(wǎng)頁內(nèi)嵌惡意代碼事件，其他有害程序事件）

二、網(wǎng)絡(luò)攻擊事件（拒絕服務(wù)器攻擊事件，后門攻擊事件，漏洞攻擊事件，網(wǎng)絡(luò)掃描竊聽事件，網(wǎng)絡(luò)釣魚事件，干擾事件，其他網(wǎng)絡(luò)攻擊事件）

三、信息破壞事件（信息篡改事件，信息假冒事件，信息泄露事件，信息竊取事件，信息丟失事件，其他信息破壞事件）

四、信息內(nèi)容安全事件（違反憲法和法律，行政法規(guī)的信息安全事件、針對社會事項進行討論評論形成網(wǎng)上敏感的輿論熱點，出現(xiàn)一定規(guī)模炒作的信息安全事件、組織串聯(lián)，煽動集會游行的信息安全事件、其他信息內(nèi)容安全事件）

五、設(shè)備設(shè)施故障（軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、其他設(shè)備設(shè)施故障）

六、災(zāi)害性事件

七、其他信息安全事件

事實上我們要關(guān)注的應(yīng)該屬于一、二、三部分中的內(nèi)容，通過整理團隊內(nèi)部歷史處理過的上千起安全事件，然后對占比高的相同類型事件做了分類，然后針對比例高的分類做常規(guī)處理思路、手法整理，參考：

1）網(wǎng)絡(luò)攻擊事件

主要現(xiàn)象： 安全掃描器攻擊，黑客利用掃描器對目標(biāo)進行漏洞探測，并在發(fā)現(xiàn)漏洞后進一步利用漏洞攻擊；暴力破解攻擊，對目標(biāo)系統(tǒng)賬號密碼進行暴力破解，獲取后臺管理員權(quán)限；系統(tǒng)漏洞攻擊，利用操作系統(tǒng)/應(yīng)用系統(tǒng)中存在漏洞進行攻擊；WEB漏洞攻擊，通過SQL注入漏洞、上傳漏洞、XSS漏洞、越權(quán)訪問漏洞等各種WEB漏洞進行攻擊。

2）WEB惡意代碼事件

主要現(xiàn)象： 網(wǎng)站存在賭博、色情、釣魚等非法子頁面和WEBSHELL以及漏洞掛馬頁面

3）惡意程序事件（Windows/linux）

主要現(xiàn)象：操作系統(tǒng)響應(yīng)緩慢，非繁忙時段流量異常，存在異常系統(tǒng)進程以及服務(wù)，存在異常的外連現(xiàn)象。

4）拒絕服務(wù)事件

主要現(xiàn)象：網(wǎng)站和服務(wù)器無法訪問，業(yè)務(wù)中斷，用戶無法訪問。

通過常見事件類型的分類，以PDCERF模型為基礎(chǔ)整合適合自身環(huán)境的處理方式：

對應(yīng)整理常見安全事件的處理方法、思路以及用到的一些工具。

• CERT09-常見安全加固方法參考手冊

內(nèi)容：主要涉及win/linux賬號管理、日志配置、文件權(quán)限、中間件配置、數(shù)據(jù)庫配置等。

• CERT10-安全事件信息統(tǒng)計

內(nèi)容：記錄內(nèi)部安全事件（包括事件類型，系統(tǒng)應(yīng)用，系統(tǒng)信息，事件原因等）作為后期完善安全體系的數(shù)據(jù)支持。

• CERT11-安全培訓(xùn)

內(nèi)容：圍繞《CERT08-常見安全事件處理方法參考手冊》的內(nèi)容。

• CERT12-內(nèi)部的安全事件整體案例/安全知識wiki

內(nèi)容：安全事件處理的詳細過程分享，以及持續(xù)更新新的安全技術(shù)作為內(nèi)部能力提升的一個渠道。

總的來說，01-03是流程規(guī)范定制，04-06是具體處理內(nèi)容，07-11是為前面的做支撐和持續(xù)更新。

0x06 后期思考

最終的目的之一，提高效率，那么就避免不了自動化工具的實現(xiàn)，通過每種常規(guī)安全事件類型，把處理步驟中相同的點匯集，例如這樣：

文章主要圍繞了安全事件應(yīng)急響應(yīng)中的“未雨綢繆”部分，那么在下篇再講講“亡羊補牢”方面，是“威脅情報、態(tài)勢感知？“不不不，沒有大數(shù)據(jù)支持的這種都是很虛的，會以開源蜜罐和SIEM（安全信息和事件管理系統(tǒng)）為主來構(gòu)建”亡羊補牢“部分。

當(dāng)把這兩方面整合后，有沒有想到這就是管理檢測和響應(yīng)（MDR）的孵化期？？？

本文作者：4rt1st 原文地址：https://secvul.com/topics/707.html

懸鏡安全實驗室是北京安普諾旗下強大而又專業(yè)的安全團隊，實驗室核心成員來自北京大學(xué)信息安全實驗室，具有多年的漏洞挖掘、逆向分析、機器學(xué)習(xí)等核心技能。

目前，實驗室主要職責(zé)是前沿安全技術(shù)研究和為企業(yè)客戶提供專業(yè)的安全服務(wù)和安全咨詢，主要包括基于深度學(xué)習(xí)的Web威脅檢測引擎研究、惡意樣本分析、高級滲透測試服務(wù)、主機安全巡檢服務(wù)、應(yīng)急響應(yīng)服務(wù)、服務(wù)器防黑加固服務(wù)等方面的安全工作。

如果您有企業(yè)應(yīng)急響應(yīng)服務(wù)需求，可以聯(lián)系我們。電話咨詢：010-89029979

總結(jié)

以上是生活随笔為你收集整理的企业安全建设丨标准化建设之网络安全应急响应浅析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。