企业安全建设丨标准化建设之网络安全应急响应浅析

随着网络安全法的实施以及安全事件频发，企业对于内部的安全建设也越来越重视。大公司的企业安全建设咱们先不说，我们今天就来分享下中小型企业应该如何建设标准化的网络安全体系。一般企业不发生数据泄露都不会当回事，可有的企业真的发生了，而且影响到企业的业务系统安全，开始找各种安全厂商进行解决。解决完之后，后期可能还会发生，我们如何应对企业突发的网络应急响应事件呢？

今天分享一篇关于标准化建设-网络安全应急响应的分析文章，对于正在加强企业网络安全建设的有很大的帮助和指导作用，我们一起来看看。

0x01 什么是标准化

标准化工作主要指制定标准、组织实施标准和对标准的实施进行监督检查。对于企业来说，从原材料进厂到产品生产、销售等各个环节都要有标准，不仅有技术标准，而且还要有管理标准，工作标准等，即要建立一个完整的标准化体系。做好企业标准化工作，对开发新产品、改善经营管理、调整产品结构、开拓国内外市场等方面能够发挥重要作用。

0x02 标准化的优点

1、规范行为，提高工作效率，降低企业成本。

2、标准化就是将所有工作模式化，减少不必要环节，将优化过的工作流程固化下来，所有员工按照统一要求工作，避免错误率发生，从而降低成本，提升企业竞争力。

0x03 应急响应简述网络安全应急响应：是指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程。

应急响应的活动应该主要包括两个方面：

未雨绸缪（即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施） 亡羊补牢（即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。

这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作） 事前的计划和准备为事件发生后的响应动作提供了指导，用事后的响应来发现事前计划的不足。（两者的关系应该为互补与强化）

本文主要是以安全事件后的结构为主。

为最大限度科学、合理、有序地处置网络安全事件，业内通常使用PDCERF方法学，将应急响应分成：准备、检测、抑制、根除、恢复、跟踪六个阶段工作，并根据网络安全应急响应总体策略对每个阶段定义适当的目的，明确响应顺序和过程。

0x04 开始思路

先用5W2H分析法来构建这个基础模型，5W2H分析法又叫七何分析法，是二战中美国陆军兵器修理部首创。简单、方便，易于理解、使用，富有启发意义，广泛用于企业管理和技术活动，对于决策和执行性的活动措施也非常有帮助，也有助于弥补考虑问题的疏漏。

（1）WHAT - 是什么？目的是什么？做什么工作？

（2）WHY - 为什么要做？可不可以不做？有没有替代方案？

（3）WHO - 谁？由谁来做？

（4）WHEN - 何时？什么时间做？什么时机最适宜？

（5）WHERE - 何处？在哪里做？

（6）HOW - 怎么做？如何提高效率？如何实施？方法是什么？

（7）HOW MUCH - 多少？做到什么程度？数量如何？质量水平如何？费用产出如何？

网络安全应急响应标准化分析：

（1）WHAT – 主要目的

（2）WHY – 目前现状

（3）WHO – 谁来负责

（4）WHEN – 时间规划

（5）WHERE – 如何实行

（6）HOW – 具体内容

（7）HOW MUCH – 产出价值

下图以围绕提高工作效率和内部安全体系标准流程为主思考方向，包含：乙方网络安全公司和甲方企业的一些交互点，仅仅举例，未完整，根据自身情况发散就好。

0x05 过程内容

重点思考的其实就是“具体内容”部分，给出参考框架，因为不同的体系内部的现状都不一样，在具体内容输出中给出一些关键点，根据情况自行补充：

内容：根据内部情况定制，最要内容包括安全事件风险分级，事件处理团队结构，预防预警信息公布，事件后处置等。可参考《国家网络安全事件应急预案》作为模板：

cac.gov.cn/2017-06/27/c_1121220113.htm

内容：规范发生安全事件的上报、处置、部门接口等流程制度。

内容：包括正常情况和异常情况后对比描述，发生安全事件的服务器信息（IP地址、操作系统、数据库、主要服务和应用等），主要用于记录安全事件的情况。

内容：记录安全事件处置进度过程和下一阶段的计划，方便团队其他成员接入。

内容：主要包括，安全事件综述，安全事件处理过程，安全事件过程还原，安全加固的改进建议。

内容：为什么需要这个？处理完安全事件需不需要加固？那么问题来了，大部分情况只能给出加固建议并不能亲自动手。需不需要找各种部门接口人？需不需要找到接口人再找相关负责人？然后开发和运维再告诉你今天有点忙明天再改然后就没有然后了？？？

内容：可参考wvs、appscan、burpsuite等扫描器的漏洞描述再加上常见的攻击手法和漏洞利用的特征。

内容：整个框架最重要的一个部分，对各种安全事件进行分类，先看看国家标准中的分类情况：

GB/Z20986-2007《信息安全事件分类指南》根据信息安全事件的起因、表现、结果等，信息安全事件为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类包括若干个子类。

一、恶意程序事件（计算机病毒事件，蠕虫事件，特洛伊木马事件，僵尸网络事件，混合攻击程序事件，网页内嵌恶意代码事件，其他有害程序事件）

二、网络攻击事件（拒绝服务器攻击事件，后门攻击事件，漏洞攻击事件，网络扫描窃听事件，网络钓鱼事件，干扰事件，其他网络攻击事件）

三、信息破坏事件（信息篡改事件网站安全加固，信息假冒事件，信息泄露事件，信息窃取事件，信息丢失事件，其他信息破坏事件）

四、信息内容安全事件（违反宪法和法律，行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件、组织串联，煽动集会游行的信息安全事件、其他信息内容安全事件）

五、设备设施故障（软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障）

六、灾害性事件

七、其他信息安全事件

事实上我们要关注的应该属于一、二、三部分中的内容，通过整理团队内部历史处理过的上千起安全事件，然后对占比高的相同类型事件做了分类，然后针对比例高的分类做常规处理思路、手法整理，参考：

1）网络攻击事件

主要现象： 安全扫描器攻击，黑客利用扫描器对目标进行漏洞探测，并在发现漏洞后进一步利用漏洞攻击；暴力破解攻击，对目标系统账号密码进行暴力破解，获取后台管理员权限；系统漏洞攻击，利用操作系统/应用系统中存在漏洞进行攻击；WEB漏洞攻击，通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种WEB漏洞进行攻击。

2）WEB恶意代码事件

主要现象： 网站存在赌博、色情、钓鱼等非法子页面和WEBSHELL以及漏洞挂马页面

3）恶意程序事件（Windows/linux）

主要现象：操作系统响应缓慢，非繁忙时段流量异常，存在异常系统进程以及服务，存在异常的外连现象。

4）拒绝服务事件

主要现象：网站和服务器无法访问，业务中断，用户无法访问。

通过常见事件类型的分类，以PDCERF模型为基础整合适合自身环境的处理方式：

对应整理常见安全事件的处理方法、思路以及用到的一些工具。

内容：主要涉及win/linux账号管理、日志配置、文件权限、中间件配置、数据库配置等。

内容：记录内部安全事件（包括事件类型，系统应用，系统信息，事件原因等）作为后期完善安全体系的数据支持。

内容：围绕《CERT08-常见安全事件处理方法参考手册》的内容。

内容：安全事件处理的详细过程分享，以及持续更新新的安全技术作为内部能力提升的一个渠道。

总的来说，01-03是流程规范定制，04-06是具体处理内容，07-11是为前面的做支撑和持续更新。

0x06 后期思考

最终的目的之一，提高效率，那么就避免不了自动化工具的实现，通过每种常规安全事件类型，把处理步骤中相同的点汇集，例如这样：

文章主要围绕了安全事件应急响应中的“未雨绸缪”部分，那么在下篇再讲讲“亡羊补牢”方面，是“威胁情报、态势感知？“不不不，没有大数据支持的这种都是很虚的，会以开源蜜罐和SIEM（安全信息和事件管理系统）为主来构建”亡羊补牢“部分。

当把这两方面整合后，有没有想到这就是管理检测和响应（MDR）的孵化期？？？

（编辑：武汉站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!