Service support服務支持
維保外包服務 產品更新 網絡信息安全學堂 常見問題 下載中心

【技術干貨】標準化網絡安全應急響應建設淺析

TIME:2018-06-01 ? click: 85 次
作者介紹:何老師 深信服安全實驗室 應急響應團隊負責人 資深攻防專家
參與深信服安全前沿技術研究,負責用戶安全事件應急處置,溯源反黑;應急響應工作標準化主要負責人之一
 
標準化網絡安全應急響應建設淺析
 
0x01 什么是標準化
      標準化工作主要指制定標準、組織實施標準和對標準的實施進行監督檢查。對于企業來說,從原材料進廠到產品生產、銷售等各個環節都要有標準,不僅有技術標準,而且還要有管理標準,工作標準等,即要建立一個完整的標準化體系。做好企業標準化工作,對開發新產品、改善經營管理、調整產品結構、開拓國內外市場等方面能夠發揮重要作用。
 
0x02 標準化的優點
1、規范行為,提高工作效率,降低企業成本。
2、標準化就是將所有工作模式化,減少不必要環節,將優化過的工作流程固化下來,所有員工按照統一要求工作,避免錯誤率發生,從而降低成本,提升企業競爭力。
 
0x03 應急響應簡述
 
網絡安全應急響應:是指在突發重大網絡安全事件后對包括計算機運行在內的業務運行進行維持或恢復的各種技術和管理策略與規程。

應急響應的活動應該主要包括兩個方面:
事前的計劃和準備為事件發生后的響應動作提供了指導,用事后的響應來發現事前計劃的不足。(兩者的關系應該為互補與強化)
 
本文主要是以安全事件后的結構為主。
為更大限度科學、合理、有序地處置網絡安全事件,業內通常使用PDCERF方法學,將應急響應分成:準備、檢測、抑制、根除、恢復、跟蹤六個階段工作,并根據網絡安全應急響應總體策略對每個階段定義適當的目的,明確響應順序和過程。
 
 
  1. 準備:是安全事件響應的一個階段,即在事件真正發生前為事件響應做好準備
  2. 檢測:以適當的方法確認在系統,網絡中是否出現了惡意代碼、文件和目錄是否被篡改等異常活動、現象
  3. 抑制:限制攻擊、破壞所波及的范圍
  4. 根除:找出事件的根源并徹底根除,以避免攻擊者再次使用相同手段攻擊系統,引發安全事件
  5. 恢復:目標是把所有被攻破的系統或者網絡設備還原到正常的任務狀態
  6. 跟蹤:回顧并整合應急響應事件過程的相關信息</font>
復制代碼
 
0x04 開始思路
先用5W2H分析法來構建這個基礎模型,5W2H分析法又叫七何分析法,是二戰中美國陸軍兵器修理部首創。簡單、方便,易于理解、使用,富有啟發意義,廣泛用于企業管理和技術活動,對于決策和執行性的活動措施也非常有幫助,也有助于彌補考慮問題的疏漏。
  1. (1)WHAT - 是什么?目的是什么?做什么工作?
復制代碼


網絡安全應急響應標準化分析:
  1. (1)WHAT – 主要目的
  2.  
  3. (2)WHY – 目前現狀
  4.  
  5. (3)WHO – 誰來負責
  6.  
  7. (4)WHEN – 時間規劃
  8.  
  9. (5)WHERE – 如何實行
  10.  
  11. (6)HOW – 具體內容
  12.  
  13. (7)HOW MUCH – 產出價值
復制代碼

下圖以圍繞提高工作效率和內部安全體系標準流程為主思考方向,包含:乙方網絡安全公司和甲方企業的一些交互點,僅僅舉例,未完整,根據自身情況發散就好。
 
0x05 過程內容
重點思考的其實就是“具體內容”部分,給出參考框架,因為不同的體系內部的現狀都不一樣,在具體內容輸出中給出一些關鍵點,根據情況自行補充:
 
CERT01-網絡安全應急預案
內容:根據內部情況定制,更要內容包括安全事件風險分級,事件處理團隊結構,預防預警信息公布,事件后處置等。可參考《國家網絡安全事件應急預案》作為模板:
  1. http://www.cac.gov.cn/2017-06/27/c_1121220113.htm
復制代碼

CERT02-安全事件申請處理流程
內容:規范發生安全事件的上報、處置、部門接口等流程制度。
 
CERT03-安全事件信息確認
內容:包括正常情況和異常情況后對比描述,發生安全事件的服務器信息(IP地址、操作系統、數據庫、主要服務和應用等),主要用于記錄安全事件的情況。
 
CERT04-安全事件處理進度階段報告
內容:記錄安全事件處置進度過程和下一階段的計劃,方便團隊其他成員接入。
 
CERT05-安全事件處理結果匯總報告
內容:主要包括,安全事件綜述,安全事件處理過程,安全事件過程還原,安全加固的改進建議。
 
CERT06-安全事件處理結果跟蹤
內容:為什么需要這個?處理完安全事件需不需要加固?那么問題來了,大部分情況只能給出加固建議并不能親自動手。需不需要找各種部門接口人?需不需要找到接口人再找相關負責人?然后開發和運維再告訴你今天有點忙明天再改然后就沒有然后了???
 
CERT07-常見安全漏洞攻擊方法參考手冊
內容:可參考wvs、appscan、burpsuite等掃描器的漏洞描述再加上常見的攻擊手法和漏洞利用的特征。
 
CERT08-常見安全事件處理方法參考手冊
內容:整個框架更重要的一個部分,對各種安全事件進行分類,先看看國家標準中的分類情況:
GB/Z20986-2007《信息安全事件分類指南》根據信息安全事件的起因、表現、結果等,信息安全事件為惡意程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件等7個基本分類,每個基本分類包括若干個子類。
 
一、惡意程序事件(計算機病毒事件,蠕蟲事件,特洛伊木馬事件,僵尸網絡事件,混合攻擊程序事件,網頁內嵌惡意代碼事件,其他有害程序事件)
 
二、網絡攻擊事件(拒絕服務器攻擊事件,后門攻擊事件,漏洞攻擊事件,網絡掃描竊聽事件,網絡釣魚事件,干擾事件,其他網絡攻擊事件)
 
三、信息破壞事件(信息篡改事件,信息假冒事件,信息泄露事件,信息竊取事件,信息丟失事件,其他信息破壞事件)
 
四、信息內容安全事件(違反憲法和法律,行政法規的信息安全事件、針對社會事項進行討論評論形成網上敏感的輿論熱點,出現一定規模炒作的信息安全事件、組織串聯,煽動集會游行的信息安全事件、其他信息內容安全事件)
 
五、設備設施故障(軟硬件自身故障、外圍保障設施故障、人為破壞事故、其他設備設施故障)
 
六、災害性事件
七、其他信息安全事件
      事實上我們要關注的應該屬于一、二、三部分中的內容,通過整理團隊內部歷史處理過的上千起安全事件,然后對占比高的相同類型事件做了分類,然后針對比例高的分類做常規處理思路、手法整理,參考:
1)網絡攻擊事件
主要現象: 安全掃描器攻擊,黑客利用掃描器對目標進行漏洞探測,并在發現漏洞后進一步利用漏洞攻擊;暴力破解攻擊,對目標系統賬號密碼進行暴力破解,獲取后臺管理員權限;系統漏洞攻擊,利用操作系統/應用系統中存在漏洞進行攻擊;WEB漏洞攻擊,通過SQL注入漏洞、上傳漏洞、XSS漏洞、越權訪問漏洞等各種WEB漏洞進行攻擊。
 
2)WEB惡意代碼事件
主要現象: 網站存在賭博、色情、釣魚等非法子頁面和WEBSHELL以及漏洞掛馬頁面
 
3)惡意程序事件(Windows/linux)
主要現象:操作系統響應緩慢,非繁忙時段流量異常,存在異常系統進程以及服務,存在異常的外連現象。
 
4)拒絕服務事件
主要現象:網站和服務器無法訪問,業務中斷,用戶無法訪問。
通過常見事件類型的分類,以PDCERF模型為基礎整合適合自身環境的處理方式:
 
 
 
對應整理常見安全事件的處理方法、思路以及用到的一些工具。
 
CERT09-常見安全加固方法參考手冊
內容:主要涉及win/linux賬號管理、日志配置、文件權限、中間件配置、數據庫配置等。
 
CERT10-安全事件信息統計
內容:記錄內部安全事件(包括事件類型,系統應用,系統信息,事件原因等)作為后期完善安全體系的數據支持。
 
CERT11-安全培訓
內容:圍繞《CERT08-常見安全事件處理方法參考手冊》的內容。
 
CERT12-內部的安全事件整體案例/安全知識wiki
內容:安全事件處理的詳細過程分享,以及持續更新新的安全技術作為內部能力提升的一個渠道。
總的來說,01-03是流程規范定制,04-06是具體處理內容,07-11是為前面的做支撐和持續更新。
 
0x06 后期思考
更終的目的之一,提高效率,那么就避免不了自動化工具的實現,通過每種常規安全事件類型,把處理步驟中相同的點匯集,例如這樣:
 
 
文章主要圍繞了安全事件應急響應中的“未雨綢繆”部分,那么在下篇再講講“亡羊補牢”方面,是“威脅情報、態勢感知?“不不不,沒有大數據支持的這種都是很虛的,會以開源蜜罐和SIEM(安全信息和事件管理系統)為主來構建”亡羊補牢“部分。
當把這兩方面整合后,有沒有想到這就是管理檢測和響應(MDR)的孵化期???

福彩3d走势图2012