我欲封天耳根小说,豆豆小说阅读网,绝色狂妃仙魅小说

標(biāo)準(zhǔn)化網(wǎng)絡(luò)安全應(yīng)急響應(yīng)建設(shè)淺析

發(fā)布者：發(fā)布時間：2017-07-14 瀏覽次數(shù)：2410

0x01 什么是標(biāo)準(zhǔn)化

標(biāo)準(zhǔn)化工作主要指制定標(biāo)準(zhǔn)、組織實施標(biāo)準(zhǔn)和對標(biāo)準(zhǔn)的實施進行監(jiān)督檢查。對于企業(yè)來說，從原材料進廠到產(chǎn)品生產(chǎn)、銷售等各個環(huán)節(jié)都要有標(biāo)準(zhǔn)，不僅有技術(shù)標(biāo)準(zhǔn)，而且還要有管理標(biāo)準(zhǔn)，工作標(biāo)準(zhǔn)等，即要建立一個完整的標(biāo)準(zhǔn)化體系。做好企業(yè)標(biāo)準(zhǔn)化工作，對開發(fā)新產(chǎn)品、改善經(jīng)營管理、調(diào)整產(chǎn)品結(jié)構(gòu)、開拓國內(nèi)外市場等方面能夠發(fā)揮重要作用。

0x02 標(biāo)準(zhǔn)化的優(yōu)點

1、規(guī)范行為，提高工作效率，降低企業(yè)成本。

2、標(biāo)準(zhǔn)化就是將所有工作模式化，減少不必要環(huán)節(jié)，將優(yōu)化過的工作流程固化下來，所有員工按照統(tǒng)一要求工作，避免錯誤率發(fā)生，從而降低成本，提升企業(yè)競爭力。

0x03 應(yīng)急響應(yīng)簡述

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)：是指在突發(fā)重大網(wǎng)絡(luò)安全事件后對包括計算機運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復(fù)的各種技術(shù)和管理策略與規(guī)程。

應(yīng)急響應(yīng)的活動應(yīng)該主要包括兩個方面：

未雨綢繆（即在事件發(fā)生前事先做好準(zhǔn)備，比如風(fēng)險評估、制定安全計劃、安全意識的培訓(xùn)、以發(fā)布安全通告的方式進行的預(yù)警、以及各種防范措施）
亡羊補牢（即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統(tǒng)，不如發(fā)現(xiàn)事件發(fā)生后，系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。

事前的計劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動作提供了指導(dǎo)，用事后的響應(yīng)來發(fā)現(xiàn)事前計劃的不足。（兩者的關(guān)系應(yīng)該為互補與強化）

本文主要是以安全事件后的結(jié)構(gòu)為主。

為最大限度科學(xué)、合理、有序地處置網(wǎng)絡(luò)安全事件，業(yè)內(nèi)通常使用PDCERF方法學(xué)，將應(yīng)急響應(yīng)分成：準(zhǔn)備、檢測、抑制、根除、恢復(fù)、跟蹤六個階段工作，并根據(jù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)總體策略對每個階段定義適當(dāng)?shù)哪康?，明確響應(yīng)順序和過程。

準(zhǔn)備：是安全事件響應(yīng)的第一個階段，即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備
檢測：以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)，網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異?；顒?、現(xiàn)象
抑制：限制攻擊、破壞所波及的范圍
根除：找出事件的根源并徹底根除，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件
恢復(fù)：目標(biāo)是把所有被攻破的系統(tǒng)或者網(wǎng)絡(luò)設(shè)備還原到正常的任務(wù)狀態(tài)
跟蹤：回顧并整合應(yīng)急響應(yīng)事件過程的相關(guān)信息</font>

復(fù)制代碼

0x04 開始思路

先用5W2H分析法來構(gòu)建這個基礎(chǔ)模型，5W2H分析法又叫七何分析法，是二戰(zhàn)中美國陸軍兵器修理部首創(chuàng)。簡單、方便，易于理解、使用，富有啟發(fā)意義，廣泛用于企業(yè)管理和技術(shù)活動，對于決策和執(zhí)行性的活動措施也非常有幫助，也有助于彌補考慮問題的疏漏。

（1）WHAT - 是什么？目的是什么？做什么工作？

復(fù)制代碼

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)標(biāo)準(zhǔn)化分析：

（1）WHAT – 主要目的
（2）WHY – 目前現(xiàn)狀
（3）WHO – 誰來負(fù)責(zé)
（4）WHEN – 時間規(guī)劃
（5）WHERE – 如何實行
（6）HOW – 具體內(nèi)容
（7）HOW MUCH – 產(chǎn)出價值

復(fù)制代碼

下圖以圍繞提高工作效率和內(nèi)部安全體系標(biāo)準(zhǔn)流程為主思考方向，包含：乙方網(wǎng)絡(luò)安全公司和甲方企業(yè)的一些交互點，僅僅舉例，未完整，根據(jù)自身情況發(fā)散就好。

0x05 過程內(nèi)容

重點思考的其實就是“具體內(nèi)容”部分，給出參考框架，因為不同的體系內(nèi)部的現(xiàn)狀都不一樣，在具體內(nèi)容輸出中給出一些關(guān)鍵點，根據(jù)情況自行補充：

CERT01-網(wǎng)絡(luò)安全應(yīng)急預(yù)案

內(nèi)容：根據(jù)內(nèi)部情況定制，最要內(nèi)容包括安全事件風(fēng)險分級，事件處理團隊結(jié)構(gòu)，預(yù)防預(yù)警信息公布，事件后處置等?？蓞⒖肌秶揖W(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》作為模板：

http://www.cac.gov.cn/2017-06/27/c_1121220113.htm

復(fù)制代碼

CERT02-安全事件申請?zhí)幚砹鞒?/span>

內(nèi)容：規(guī)范發(fā)生安全事件的上報、處置、部門接口等流程制度。

CERT03-安全事件信息確認(rèn)

內(nèi)容：包括正常情況和異常情況后對比描述，發(fā)生安全事件的服務(wù)器信息（IP地址、操作系統(tǒng)、數(shù)據(jù)庫、主要服務(wù)和應(yīng)用等），主要用于記錄安全事件的情況。

CERT04-安全事件處理進度階段報告

內(nèi)容：記錄安全事件處置進度過程和下一階段的計劃，方便團隊其他成員接入。

CERT05-安全事件處理結(jié)果匯總報告

內(nèi)容：主要包括，安全事件綜述，安全事件處理過程，安全事件過程還原，安全加固的改進建議。

CERT06-安全事件處理結(jié)果跟蹤

內(nèi)容：為什么需要這個？處理完安全事件需不需要加固？那么問題來了，大部分情況只能給出加固建議并不能親自動手。需不需要找各種部門接口人？需不需要找到接口人再找相關(guān)負(fù)責(zé)人？然后開發(fā)和運維再告訴你今天有點忙明天再改然后就沒有然后了？？？

CERT07-常見安全漏洞攻擊方法參考手冊

內(nèi)容：可參考wvs、appscan、burpsuite等掃描器的漏洞描述再加上常見的攻擊手法和漏洞利用的特征。

CERT08-常見安全事件處理方法參考手冊

內(nèi)容：整個框架最重要的一個部分，對各種安全事件進行分類，先看看國家標(biāo)準(zhǔn)中的分類情況：

GB/Z20986-2007《信息安全事件分類指南》根據(jù)信息安全事件的起因、表現(xiàn)、結(jié)果等，信息安全事件為惡意程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個基本分類，每個基本分類包括若干個子類。

一、惡意程序事件（計算機病毒事件，蠕蟲事件，特洛伊木馬事件，僵尸網(wǎng)絡(luò)事件，混合攻擊程序事件，網(wǎng)頁內(nèi)嵌惡意代碼事件，其他有害程序事件）

二、網(wǎng)絡(luò)攻擊事件（拒絕服務(wù)器攻擊事件，后門攻擊事件，漏洞攻擊事件，網(wǎng)絡(luò)掃描竊聽事件，網(wǎng)絡(luò)釣魚事件，干擾事件，其他網(wǎng)絡(luò)攻擊事件）

三、信息破壞事件（信息篡改事件，信息假冒事件，信息泄露事件，信息竊取事件，信息丟失事件，其他信息破壞事件）

四、信息內(nèi)容安全事件（違反憲法和法律，行政法規(guī)的信息安全事件、針對社會事項進行討論評論形成網(wǎng)上敏感的輿論熱點，出現(xiàn)一定規(guī)模炒作的信息安全事件、組織串聯(lián)，煽動集會游行的信息安全事件、其他信息內(nèi)容安全事件）

五、設(shè)備設(shè)施故障（軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、其他設(shè)備設(shè)施故障）

六、災(zāi)害性事件

七、其他信息安全事件

事實上我們要關(guān)注的應(yīng)該屬于一、二、三部分中的內(nèi)容，通過整理團隊內(nèi)部歷史處理過的上千起安全事件，然后對占比高的相同類型事件做了分類，然后針對比例高的分類做常規(guī)處理思路、手法整理，參考：

1）網(wǎng)絡(luò)攻擊事件

主要現(xiàn)象：安全掃描器攻擊，黑客利用掃描器對目標(biāo)進行漏洞探測，并在發(fā)現(xiàn)漏洞后進一步利用漏洞攻擊；暴力破解攻擊，對目標(biāo)系統(tǒng)賬號密碼進行暴力破解，獲取后臺管理員權(quán)限；系統(tǒng)漏洞攻擊，利用操作系統(tǒng)/應(yīng)用系統(tǒng)中存在漏洞進行攻擊；WEB漏洞攻擊，通過SQL注入漏洞、上傳漏洞、XSS漏洞、越權(quán)訪問漏洞等各種WEB漏洞進行攻擊。

2）WEB惡意代碼事件

主要現(xiàn)象：網(wǎng)站存在賭博、色情、釣魚等非法子頁面和WEBSHELL以及漏洞掛馬頁面

3）惡意程序事件（Windows/linux）

主要現(xiàn)象：操作系統(tǒng)響應(yīng)緩慢，非繁忙時段流量異常，存在異常系統(tǒng)進程以及服務(wù)，存在異常的外連現(xiàn)象。

4）拒絕服務(wù)事件

主要現(xiàn)象：網(wǎng)站和服務(wù)器無法訪問，業(yè)務(wù)中斷，用戶無法訪問。

通過常見事件類型的分類，以PDCERF模型為基礎(chǔ)整合適合自身環(huán)境的處理方式：