×

安全事件响应之五步进阶
  

beloved小子 2827

{{ttag.title}}

第一阶段:识别和分类(兄弟们,有人要搞事情,撸起袖子,加油冲过去吧!)

阶段目标:

识别潜在或正在发生的信息安全事件,初步确定波及范围和严重程度,进行事件的初始分类,保全第一手证据,激活事件反应小组,并按需引入相关领域的专家。

目标时间:

发现安全事件后立即进入该阶段,并以24 - 48小时内完成为目标。

参考文档:

1. 紧急联系人列表

2. 严重性矩阵参考表

3. 第一阶段动作分解检查表

4. 预设安全事件报告模板

关键行动:

1. 当事员工应当立即向直属领导报告任何可疑的安全事件,直属领导参考《紧急联系人列表》的内容将事件升级到安全团队。

2. 安全团队应采取措施保护证据,具体内容包括:指导员工在不关闭电源的情况下断开被感染的系统连接,保存的截屏图像、日志文件、以及其他潜在的有用信息。

3. 安全团队应进行初步的技术分析,根据《严重性矩阵参考表》评估事故的严重性。

4. 安全团队应为该安全事件创建或分配一个唯一的案件号,以便后期跟踪。

5. 安全团队应根据《预设安全事件处置流程》或临时对策采取必要、合理的措施来初步抑制事件的持续。团队应注意减少所影响到的个人和系统的损失,并最大限度保全证据或信息。其中,预设安全事件处置流程至少应涵括如下安全事件类型:

·端点及移动计算设备的恶意软件感染

·移动计算设备的遗失或被盗

·DDoS攻击

·网站被篡改与渗透

·鱼叉式网络钓鱼或捕鲸

·目标性社会工程学

更详尽的分类请见下图:

6. 安全团队应记录事件和相应所采取的措施,并保留技术措施的日常记录,直至事件被解决。

7. 安全团队按需激活和组建事件响应小组,分配职责,并让组员明确安全事件的状态、严重性,且明确沟通渠道与方式。

8. 响应小组回顾并填写《第一阶段动作分解检查表》。

第二阶段:调查和取证(木已成舟,匆忙恢复的话,不但可能事倍功半,甚至可能造成忙中出错。像柯南那样think twice,利用调查来对事件进行深入分析,磨刀不误砍柴工。)

阶段目标:

通过进行调查与取证,识别根本原因并着手恢复。

目标时间:

开始于发现信息安全事件的24小时之内。根据事件的性质,该阶段可能在几小时或几天内完成,或可能持续几个月(一般不超过3个月)。根据复杂程度,响应小组可能需要多轮复查。

关键行动:

1. 响应小组应与取证专家交流,确保控制策略不会在无意中删除证据或对彻底的调查与修复过程造成阻碍。

2. 使用预设的和经测试的流程进行调查取证,主要包括:

a. 在网络逻辑上阻断进出可疑设备的网络流量,必要时更改启动或登录密码等。

b. 在物理上更换锁芯,检查或更新门禁卡设置等。

3. 妥善保存收集到的证据,主要包括:

a. 保留所有相关日志、电子和实物文档。所有的文档都应该清楚、真实且有时间特征。

b. 日志和记录应遵循适当的证据链的实时监护程序。

4. 响应小组通过开始初步的调查工作,并与业务或资产所有人的沟通,评估如下方面:

a. 定位根本原因:如是否是外部黑客攻破了系统;哪些登录名/密码被黑掉了;丢失的具体设备或被破坏的基础设施;恶意软件是病毒、蠕虫还是木马;网络攻击是DDoS、扫描还是嗅探;物理盗窃的具体位置;恶意员工或承包商是谁;社会工程(如钓鱼)的具体手段。

b. 人员与部门的受影响程度,

c. 丢失、破坏或暴露的数据与资产的数量与程度。

d. 对人员、数据和资产的残留威胁的严重程度。

e. 如果安全事件发生在第三方服务提供者处,应及时联系以获取初步报告,并请求定时地更新进展。

5. 向管理层报告取证、调查和评估的结果。

第三阶段:抑制、根除和恢复(要用“深耕”的态度去刨根问底,不要犯那种“你以为的就是你以为的”错误。只有在确认抑制策略成功后方可实施根除与恢复。)

阶段目标:

全面制定执行抑制策略与步骤,采取措施来根除风险,使信息、资产和基础设施恢复正常运转。

目标时间:

开始于发现信息安全事件的24- 48小时之内,可与调查阶段同时进行。不过根据事件的性质不同,如出现了APT攻击的话,则全面抑制、根除和恢复可能需要数小时或数天的时间。

关键行动:

1. 实施和验证抑制。

a. 回顾取证环节的发现和确认安全事件已被充分调查和评估。

b. 根据发现,以点对点的方式,制定具有“时间点”和“里程碑”的抑制策略。

c. 协调相关人员在避免次生破坏的情况下实施抑制。

d. 监控和评估抑制的有效性,验证是否成功。

e. 如果需要改进抑制策略,则可反复迭代,直至最终确认成功。

2. 实施和验证根除与恢复。

a. 根据抑制报告,逐条列出安全漏洞与弱点,并以点对点的方式制定根除策略。

b. 策略制定过程应具有前瞻性,要充分考虑到类似事件的再次发生、其他攻击方式的应对、根除对将来业务运行的影响等方面。

c. 根除与恢复的内容包括:卸载恶意软件、删除被感染且确认不再可用的文件和文件夹、阻止某个或某段IP地址、禁止对某个URL地址的访问、永久禁用或删除某个帐户、修复/重建/更新操作系统或软件。

d. 监控和评估根除的有效性,验证是否成功。

e. 记录执行的整个过程,并形成报告。

第四阶段:通知和公关/外部通信(这不是你一个人的战场,本阶段是很多技术人员的短板,多数情况下会匆忙应对。记住,作家波西格曾说:仓促本身就是最要不得的态度。当你做某件事的时候,一旦想要求快,就表示你再也不关心它,而想去做别的事。)

阶段目的:

将事件全部过程通知到管理层;从公司形象角度配合公关和外部通信。

目标时间:

从上述的第一到三阶段都可以开始,但要尽早。

关键行动:

1. 识别需要通知到的人群,例如:当事人、受影响的客户或雇员、某公司、信用卡中心和媒体等。

2. 响应小组与PR或市场部门协作,准备一个完备的计划来减轻事件对客户关系的影响。在事件波及一个以上客户或某公司的时候,注意通信的关联性和次序。

3. 响应小组委派专门人员负责对客户、某公司以及外部调查部门提供技术细节解答和支持。

4. 响应小组根据安全事件,对既定合同中涉及的责任条款予以技术核实,并提供必要的解释。

5. 起草在外部网站上和/或呼叫中心热线电话里发布的官方内容,并为各方提供持续的更新,常见问题解答,进一步沟通方式等。

6. 定期监控呼叫中心收到的电话数量和问题类型,提供必要的改进。

7. 如果安全事件发生在第三方服务提供者处,应从技术层面审查相关合同的责任条款,评估赔偿或其他索赔的权利。

第五阶段:事后工作(乔布斯曾说过:Keep looking. Don't settle. 此阶段就像是砌墙,你堆好了砖头、填进了水泥,但总要再给点时间让水泥风干,以及必要的后期修补,墙才能够结实)

阶段目标:

将安全事件和恢复过程进行最终文档化,在放置复发的同时,以供监管部门的检查和必要的诉讼。

目标时间:

第三阶段完成后,可常规化。

关键行动:

1. 评审上述四个阶段的响应和执行效果,分析与原定计划的偏离部分及其原因,并提出改进方案。

2. 安全团队根据事件所涉及的既定服务级别,标注出需要调整和改进之处。

3. 引导内部相关职能部门开展信息安全方面的自查工作,防止类似事件的复发。

4. 安全团队总结经验教训报告,增强日常的监控、改善事件响应演练、有针对性的对其他部门开展培训和意识增强等工作。

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

zoonctrl 发表于 2017-8-8 08:35
  
小哥,你在哪里找的文章啊?发出来我看看撒!
新手291584 发表于 2019-5-15 22:37
  
小哥,你在哪里找的文章啊?发出来我看看撒!
新手085652 发表于 2019-5-16 00:08
  
小哥,你在哪里找的文章啊?发出来我看看撒!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人