【技术干货】标准化网络安全应急响应建设浅析

作者介绍：何老师 某公司安全实验室 应急响应团队负责人 资深攻防专家

参与某公司安全前沿技术研究，负责用户安全事件应急处置，溯源反黑；应急响应工作标准化主要负责人之一

标准化网络安全应急响应建设浅析

0x01 什么是标准化

      标准化工作主要指制定标准、组织实施标准和对标准的实施进行监督检查。对于企业来说，从原材料进厂到产品生产、销售等各个环节都要有标准，不仅有技术标准，而且还要有管理标准，工作标准等，即要建立一个完整的标准化体系。做好企业标准化工作，对开发新产品、改善经营管理、调整产品结构、开拓国内外市场等方面能够发挥重要作用。

0x02 标准化的优点

1、规范行为，提高工作效率，降低企业成本。

2、标准化就是将所有工作模式化，减少不必要环节，将优化过的工作流程固化下来，所有员工按照统一要求工作，避免错误率发生，从而降低成本，提升企业竞争力。

0x03 应急响应简述

网络安全应急响应：是指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程。

应急响应的活动应该主要包括两个方面：

• 未雨绸缪（即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施）

  
  
• 亡羊补牢（即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

  
  

  
  

  
  

  
  

  
  

  
  

  
  
  
  

事前的计划和准备为事件发生后的响应动作提供了指导，用事后的响应来发现事前计划的不足。（两者的关系应该为互补与强化）

本文主要是以安全事件后的结构为主。

为最大限度科学、合理、有序地处置网络安全事件，业内通常使用PDCERF方法学，将应急响应分成：准备、检测、抑制、根除、恢复、跟踪六个阶段工作，并根据网络安全应急响应总体策略对每个阶段定义适当的目的，明确响应顺序和过程。

1. 准备：是安全事件响应的第一个阶段，即在事件真正发生前为事件响应做好准备
   
2. 检测：以适当的方法确认在系统，网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动、现象
   
3. 抑制：限制攻击、破坏所波及的范围
   
4. 根除：找出事件的根源并彻底根除，以避免攻击者再次使用相同手段攻击系统，引发安全事件
   
5. 恢复：目标是把所有被攻破的系统或者网络设备还原到正常的任务状态
   
6. 跟踪：回顾并整合应急响应事件过程的相关信息</font>

复制代码

0x04 开始思路

先用5W2H分析法来构建这个基础模型，5W2H分析法又叫七何分析法，是二战中美国*兵器修理部首创。简单、方便，易于理解、使用，富有启发意义，广泛用于企业管理和技术活动，对于决策和执行性的活动措施也非常有帮助，也有助于弥补考虑问题的疏漏。

1. （1）WHAT - 是什么？目的是什么？做什么工作？

复制代码

网络安全应急响应标准化分析：

1. （1）WHAT – 主要目的
   
2. 
   
3. （2）WHY – 目前现状
   
4. 
   
5. （3）WHO – 谁来负责
   
6. 
   
7. （4）WHEN – 时间规划
   
8. 
   
9. （5）WHERE – 如何实行
   
10. 
    
11. （6）HOW – 具体内容
    
12. 
    
13. （7）HOW MUCH – 产出价值

复制代码

下图以围绕提高工作效率和内部安全体系标准流程为主思考方向，包含：乙方网络安全公司和甲方企业的一些交互点，仅仅举例，未完整，根据自身情况发散就好。

0x05 过程内容

重点思考的其实就是“具体内容”部分，给出参考框架，因为不同的体系内部的现状都不一样，在具体内容输出中给出一些关键点，根据情况自行补充：

CERT01-网络安全应急预案

内容：根据内部情况定制，最要内容包括安全事件风险分级，事件处理团队结构，预防预警信息公布，事件后处置等。可参考《国家网络安全事件应急预案》作为模板：

1. http://www.cac.gov.cn/2017-06/27/c_1121220113.htm

复制代码

CERT02-安全事件申请处理流程

内容：规范发生安全事件的上报、处置、部门接口等流程制度。

CERT03-安全事件信息确认

内容：包括正常情况和异常情况后对比描述，发生安全事件的服务器信息（IP地址、操作系统、数据库、主要服务和应用等），主要用于记录安全事件的情况。

CERT04-安全事件处理进度阶段报告

内容：记录安全事件处置进度过程和下一阶段的计划，方便团队其他成员接入。

CERT05-安全事件处理结果汇总报告

内容：主要包括，安全事件综述，安全事件处理过程，安全事件过程还原，安全加固的改进建议。

CERT06-安全事件处理结果跟踪

内容：为什么需要这个？处理完安全事件需不需要加固？那么问题来了，大部分情况只能给出加固建议并不能亲自动手。需不需要找各种部门接口人？需不需要找到接口人再找相关负责人？然后开发和运维再告诉你今天有点忙明天再改然后就没有然后了？？？

CERT07-常见安全漏洞攻击方法参考手册

内容：可参考wvs、appscan、burpsuite等扫描器的漏洞描述再加上常见的攻击手法和漏洞利用的特征。

CERT08-常见安全事件处理方法参考手册

内容：整个框架最重要的一个部分，对各种安全事件进行分类，先看看国家标准中的分类情况：

GB/Z20986-2007《信息安全事件分类指南》根据信息安全事件的起因、表现、结果等，信息安全事件为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类包括若干个子类。

一、恶意程序事件（计算机病毒事件，蠕虫事件，特洛伊木马事件，僵尸网络事件，混合攻击程序事件，网页内嵌恶意代码事件，其他有害程序事件）

二、网络攻击事件（拒绝服务器攻击事件，后门攻击事件，漏洞攻击事件，网络扫描窃听事件，网络钓鱼事件，干扰事件，其他网络攻击事件）

三、信息破坏事件（信息篡改事件，信息假冒事件，信息泄露事件，信息窃取事件，信息丢失事件，其他信息破坏事件）

四、信息内容安全事件（违反宪法和法律，行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件、组织串联，煽动集会游行的信息安全事件、其他信息内容安全事件）

五、设备设施故障（软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障）

六、灾害性事件

七、其他信息安全事件

      事实上我们要关注的应该属于一、二、三部分中的内容，通过整理团队内部历史处理过的上千起安全事件，然后对占比高的相同类型事件做了分类，然后针对比例高的分类做常规处理思路、手法整理，参考：

1）网络攻击事件

主要现象： 安全扫描器攻击，黑客利用扫描器对目标进行漏洞探测，并在发现漏洞后进一步利用漏洞攻击；暴力破解攻击，对目标系统账号密码进行暴力破解，获取后台管理员权限；系统漏洞攻击，利用操作系统/应用系统中存在漏洞进行攻击；WEB漏洞攻击，通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种WEB漏洞进行攻击。

2）WEB恶意代码事件

主要现象： 网站存在赌博、色情、钓鱼等非法子页面和WEBSHELL以及漏洞挂马页面

3）恶意程序事件（Windows/linux）

主要现象：操作系统响应缓慢，非繁忙时段流量异常，存在异常系统进程以及服务，存在异常的外连现象。

4）拒绝服务事件

主要现象：网站和服务器无法访问，业务中断，用户无法访问。

通过常见事件类型的分类，以PDCERF模型为基础整合适合自身环境的处理方式：

对应整理常见安全事件的处理方法、思路以及用到的一些工具。

CERT09-常见安全加固方法参考手册

内容：主要涉及win/linux账号管理、日志配置、文件权限、中间件配置、数据库配置等。

CERT10-安全事件信息统计

内容：记录内部安全事件（包括事件类型，系统应用，系统信息，事件原因等）作为后期完善安全体系的数据支持。

CERT11-安全培训

内容：围绕《CERT08-常见安全事件处理方法参考手册》的内容。

CERT12-内部的安全事件整体案例/安全知识wiki

内容：安全事件处理的详细过程分享，以及持续更新新的安全技术作为内部能力提升的一个渠道。

总的来说，01-03是流程规范定制，04-06是具体处理内容，07-11是为前面的做支撑和持续更新。

0x06 后期思考

最终的目的之一，提高效率，那么就避免不了自动化工具的实现，通过每种常规安全事件类型，把处理步骤中相同的点汇集，例如这样：

文章主要围绕了安全事件应急响应中的“未雨绸缪”部分，那么在下篇再讲讲“亡羊补牢”方面，是“威胁情报、态势感知？“不不不，没有大数据支持的这种都是很虚的，会以开源蜜罐和SIEM（安全信息和事件管理系统）为主来构建”亡羊补牢“部分。

当把这两方面整合后，有没有想到这就是管理检测和响应（MDR）的孵化期？？？

欢迎与某公司安全实验室技术大牛一起探讨安全问题~~~

某公司隐藏大牛终于现身了！

对信息时代的社会，安全性技术太有必要了

学习，受教了，  大牛就是有高度，体系化。

您好，请问一下下图画红色的相关文档有吗？请问是否方便send一份给我这边？谢谢！

进来学习一下

啥都不说，果断收藏，一步步消化。

感谢分享

希望有各种类型的应急响应文档或者笔记看看