362q.cn" /> " />

最近2024中文字幕大全视频_色狠狠综合网_无码aⅴ精品一区二区成人_先锋影音av资源网_成人激情在线播放_久久丝抹精品综合网站_中文字幕1日本_午夜亚洲?v日韩?v无码大全_在线播放亚洲_欧美人妻少妇精品

標(biāo)準(zhǔn)化網(wǎng)絡(luò)安全應(yīng)急響應(yīng)建設(shè)淺析
發(fā)布者:    發(fā)布時(shí)間:2017-07-14    瀏覽次數(shù):2388
 0x01 什么是標(biāo)準(zhǔn)化
      標(biāo)準(zhǔn)化工作主要指制定標(biāo)準(zhǔn)、組織實(shí)施標(biāo)準(zhǔn)和對(duì)標(biāo)準(zhǔn)的實(shí)施進(jìn)行監(jiān)督檢查。對(duì)于企業(yè)來(lái)說(shuō),從原材料進(jìn)廠到產(chǎn)品生產(chǎn)、銷(xiāo)售等各個(gè)環(huán)節(jié)都要有標(biāo)準(zhǔn),不僅有技術(shù)標(biāo)準(zhǔn),而且還要有管理標(biāo)準(zhǔn),工作標(biāo)準(zhǔn)等,即要建立一個(gè)完整的標(biāo)準(zhǔn)化體系。做好企業(yè)標(biāo)準(zhǔn)化工作,對(duì)開(kāi)發(fā)新產(chǎn)品、改善經(jīng)營(yíng)管理、調(diào)整產(chǎn)品結(jié)構(gòu)、開(kāi)拓國(guó)內(nèi)外市場(chǎng)等方面能夠發(fā)揮重要作用。

0x02 標(biāo)準(zhǔn)化的優(yōu)點(diǎn)
1、規(guī)范行為,提高工作效率,降低企業(yè)成本。
2、標(biāo)準(zhǔn)化就是將所有工作模式化,減少不必要環(huán)節(jié),將優(yōu)化過(guò)的工作流程固化下來(lái),所有員工按照統(tǒng)一要求工作,避免錯(cuò)誤率發(fā)生,從而降低成本,提升企業(yè)競(jìng)爭(zhēng)力。

0x03 應(yīng)急響應(yīng)簡(jiǎn)述
網(wǎng)絡(luò)安全應(yīng)急響應(yīng):是指在突發(fā)重大網(wǎng)絡(luò)安全事件后對(duì)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的各種技術(shù)和管理策略與規(guī)程。

應(yīng)急響應(yīng)的活動(dòng)應(yīng)該主要包括兩個(gè)方面:
  • 未雨綢繆(即在事件發(fā)生前事先做好準(zhǔn)備,比如風(fēng)險(xiǎn)評(píng)估、制定安全計(jì)劃、安全意識(shí)的培訓(xùn)、以發(fā)布安全通告的方式進(jìn)行的預(yù)警、以及各種防范措施)

  • 亡羊補(bǔ)牢(即在事件發(fā)生后采取的措施,其目的在于把事件造成的損失降到最小。這些行動(dòng)措施可能來(lái)自于人,也可能來(lái)自系統(tǒng),不如發(fā)現(xiàn)事件發(fā)生后,系統(tǒng)備份、病毒檢測(cè)、后門(mén)檢測(cè)、清除病毒或后門(mén)、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。
事前的計(jì)劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動(dòng)作提供了指導(dǎo),用事后的響應(yīng)來(lái)發(fā)現(xiàn)事前計(jì)劃的不足。(兩者的關(guān)系應(yīng)該為互補(bǔ)與強(qiáng)化)

本文主要是以安全事件后的結(jié)構(gòu)為主。
為最大限度科學(xué)、合理、有序地處置網(wǎng)絡(luò)安全事件,業(yè)內(nèi)通常使用PDCERF方法學(xué),將應(yīng)急響應(yīng)分成:準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)、跟蹤六個(gè)階段工作,并根據(jù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)總體策略對(duì)每個(gè)階段定義適當(dāng)?shù)哪康?,明確響應(yīng)順序和過(guò)程。


  1. 準(zhǔn)備:是安全事件響應(yīng)的第一個(gè)階段,即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備
  2. 檢測(cè):以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng),網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異?;顒?dòng)、現(xiàn)象
  3. 抑制:限制攻擊、破壞所波及的范圍
  4. 根除:找出事件的根源并徹底根除,以避免攻擊者再次使用相同手段攻擊系統(tǒng),引發(fā)安全事件
  5. 恢復(fù):目標(biāo)是把所有被攻破的系統(tǒng)或者網(wǎng)絡(luò)設(shè)備還原到正常的任務(wù)狀態(tài)
  6. 跟蹤:回顧并整合應(yīng)急響應(yīng)事件過(guò)程的相關(guān)信息</font>
復(fù)制代碼

0x04 開(kāi)始思路
先用5W2H分析法來(lái)構(gòu)建這個(gè)基礎(chǔ)模型,5W2H分析法又叫七何分析法,是二戰(zhàn)中美國(guó)陸軍兵器修理部首創(chuàng)。簡(jiǎn)單、方便,易于理解、使用,富有啟發(fā)意義,廣泛用于企業(yè)管理和技術(shù)活動(dòng),對(duì)于決策和執(zhí)行性的活動(dòng)措施也非常有幫助,也有助于彌補(bǔ)考慮問(wèn)題的疏漏。
  1. (1)WHAT - 是什么?目的是什么?做什么工作?
復(fù)制代碼
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)標(biāo)準(zhǔn)化分析:
  1. (1)WHAT – 主要目的
  2.  
  3. (2)WHY – 目前現(xiàn)狀
  4.  
  5. (3)WHO – 誰(shuí)來(lái)負(fù)責(zé)
  6.  
  7. (4)WHEN – 時(shí)間規(guī)劃
  8.  
  9. (5)WHERE – 如何實(shí)行
  10.  
  11. (6)HOW – 具體內(nèi)容
  12.  
  13. (7)HOW MUCH – 產(chǎn)出價(jià)值
復(fù)制代碼
下圖以圍繞提高工作效率和內(nèi)部安全體系標(biāo)準(zhǔn)流程為主思考方向,包含:乙方網(wǎng)絡(luò)安全公司和甲方企業(yè)的一些交互點(diǎn),僅僅舉例,未完整,根據(jù)自身情況發(fā)散就好。

0x05 過(guò)程內(nèi)容
重點(diǎn)思考的其實(shí)就是“具體內(nèi)容”部分,給出參考框架,因?yàn)椴煌捏w系內(nèi)部的現(xiàn)狀都不一樣,在具體內(nèi)容輸出中給出一些關(guān)鍵點(diǎn),根據(jù)情況自行補(bǔ)充:

CERT01-網(wǎng)絡(luò)安全應(yīng)急預(yù)案
內(nèi)容:根據(jù)內(nèi)部情況定制,最要內(nèi)容包括安全事件風(fēng)險(xiǎn)分級(jí),事件處理團(tuán)隊(duì)結(jié)構(gòu),預(yù)防預(yù)警信息公布,事件后處置等??蓞⒖肌秶?guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》作為模板:
  1. http://www.cac.gov.cn/2017-06/27/c_1121220113.htm
復(fù)制代碼
CERT02-安全事件申請(qǐng)?zhí)幚砹鞒?/span>
內(nèi)容:規(guī)范發(fā)生安全事件的上報(bào)、處置、部門(mén)接口等流程制度。

CERT03-安全事件信息確認(rèn)
內(nèi)容:包括正常情況和異常情況后對(duì)比描述,發(fā)生安全事件的服務(wù)器信息(IP地址、操作系統(tǒng)、數(shù)據(jù)庫(kù)、主要服務(wù)和應(yīng)用等),主要用于記錄安全事件的情況。

CERT04-安全事件處理進(jìn)度階段報(bào)告
內(nèi)容:記錄安全事件處置進(jìn)度過(guò)程和下一階段的計(jì)劃,方便團(tuán)隊(duì)其他成員接入。

CERT05-安全事件處理結(jié)果匯總報(bào)告
內(nèi)容:主要包括,安全事件綜述,安全事件處理過(guò)程,安全事件過(guò)程還原,安全加固的改進(jìn)建議。

CERT06-安全事件處理結(jié)果跟蹤
內(nèi)容:為什么需要這個(gè)?處理完安全事件需不需要加固?那么問(wèn)題來(lái)了,大部分情況只能給出加固建議并不能親自動(dòng)手。需不需要找各種部門(mén)接口人?需不需要找到接口人再找相關(guān)負(fù)責(zé)人?然后開(kāi)發(fā)和運(yùn)維再告訴你今天有點(diǎn)忙明天再改然后就沒(méi)有然后了???

CERT07-常見(jiàn)安全漏洞攻擊方法參考手冊(cè)
內(nèi)容:可參考wvs、appscan、burpsuite等掃描器的漏洞描述再加上常見(jiàn)的攻擊手法和漏洞利用的特征。

CERT08-常見(jiàn)安全事件處理方法參考手冊(cè)
內(nèi)容:整個(gè)框架最重要的一個(gè)部分,對(duì)各種安全事件進(jìn)行分類(lèi),先看看國(guó)家標(biāo)準(zhǔn)中的分類(lèi)情況:
GB/Z20986-2007《信息安全事件分類(lèi)指南》根據(jù)信息安全事件的起因、表現(xiàn)、結(jié)果等,信息安全事件為惡意程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個(gè)基本分類(lèi),每個(gè)基本分類(lèi)包括若干個(gè)子類(lèi)。

一、惡意程序事件(計(jì)算機(jī)病毒事件,蠕蟲(chóng)事件,特洛伊木馬事件,僵尸網(wǎng)絡(luò)事件,混合攻擊程序事件,網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件,其他有害程序事件)

二、網(wǎng)絡(luò)攻擊事件(拒絕服務(wù)器攻擊事件,后門(mén)攻擊事件,漏洞攻擊事件,網(wǎng)絡(luò)掃描竊聽(tīng)事件,網(wǎng)絡(luò)釣魚(yú)事件,干擾事件,其他網(wǎng)絡(luò)攻擊事件)

三、信息破壞事件(信息篡改事件,信息假冒事件,信息泄露事件,信息竊取事件,信息丟失事件,其他信息破壞事件)

四、信息內(nèi)容安全事件(違反憲法和法律,行政法規(guī)的信息安全事件、針對(duì)社會(huì)事項(xiàng)進(jìn)行討論評(píng)論形成網(wǎng)上敏感的輿論熱點(diǎn),出現(xiàn)一定規(guī)模炒作的信息安全事件、組織串聯(lián),煽動(dòng)集會(huì)游行的信息安全事件、其他信息內(nèi)容安全事件)

五、設(shè)備設(shè)施故障(軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、其他設(shè)備設(shè)施故障)

六、災(zāi)害性事件
七、其他信息安全事件
      事實(shí)上我們要關(guān)注的應(yīng)該屬于一、二、三部分中的內(nèi)容,通過(guò)整理團(tuán)隊(duì)內(nèi)部歷史處理過(guò)的上千起安全事件,然后對(duì)占比高的相同類(lèi)型事件做了分類(lèi),然后針對(duì)比例高的分類(lèi)做常規(guī)處理思路、手法整理,參考:
1)網(wǎng)絡(luò)攻擊事件
主要現(xiàn)象: 安全掃描器攻擊,黑客利用掃描器對(duì)目標(biāo)進(jìn)行漏洞探測(cè),并在發(fā)現(xiàn)漏洞后進(jìn)一步利用漏洞攻擊;暴力破解攻擊,對(duì)目標(biāo)系統(tǒng)賬號(hào)密碼進(jìn)行暴力破解,獲取后臺(tái)管理員權(quán)限;系統(tǒng)漏洞攻擊,利用操作系統(tǒng)/應(yīng)用系統(tǒng)中存在漏洞進(jìn)行攻擊;WEB漏洞攻擊,通過(guò)SQL注入漏洞、上傳漏洞、XSS漏洞、越權(quán)訪(fǎng)問(wèn)漏洞等各種WEB漏洞進(jìn)行攻擊。

2)WEB惡意代碼事件
主要現(xiàn)象: 網(wǎng)站存在賭博、色情、釣魚(yú)等非法子頁(yè)面和WEBSHELL以及漏洞掛馬頁(yè)面

3)惡意程序事件(Windows/linux)
主要現(xiàn)象:操作系統(tǒng)響應(yīng)緩慢,非繁忙時(shí)段流量異常,存在異常系統(tǒng)進(jìn)程以及服務(wù),存在異常的外連現(xiàn)象。

4)拒絕服務(wù)事件
主要現(xiàn)象:網(wǎng)站和服務(wù)器無(wú)法訪(fǎng)問(wèn),業(yè)務(wù)中斷,用戶(hù)無(wú)法訪(fǎng)問(wèn)。
通過(guò)常見(jiàn)事件類(lèi)型的分類(lèi),以PDCERF模型為基礎(chǔ)整合適合自身環(huán)境的處理方式:



對(duì)應(yīng)整理常見(jiàn)安全事件的處理方法、思路以及用到的一些工具。

CERT09-常見(jiàn)安全加固方法參考手冊(cè)
內(nèi)容:主要涉及win/linux賬號(hào)管理、日志配置、文件權(quán)限、中間件配置、數(shù)據(jù)庫(kù)配置等。

CERT10-安全事件信息統(tǒng)計(jì)
內(nèi)容:記錄內(nèi)部安全事件(包括事件類(lèi)型,系統(tǒng)應(yīng)用,系統(tǒng)信息,事件原因等)作為后期完善安全體系的數(shù)據(jù)支持。

CERT11-安全培訓(xùn)
內(nèi)容:圍繞《CERT08-常見(jiàn)安全事件處理方法參考手冊(cè)》的內(nèi)容。

CERT12-內(nèi)部的安全事件整體案例/安全知識(shí)wiki
內(nèi)容:安全事件處理的詳細(xì)過(guò)程分享,以及持續(xù)更新新的安全技術(shù)作為內(nèi)部能力提升的一個(gè)渠道。
總的來(lái)說(shuō),01-03是流程規(guī)范定制,04-06是具體處理內(nèi)容,07-11是為前面的做支撐和持續(xù)更新。

0x06 后期思考
最終的目的之一,提高效率,那么就避免不了自動(dòng)化工具的實(shí)現(xiàn),通過(guò)每種常規(guī)安全事件類(lèi)型,把處理步驟中相同的點(diǎn)匯集,例如這樣:

©2001-2018   深圳市歐克信息技術(shù)有限公司   版權(quán)所有   | 粵ICP備07005905號(hào)    362q.cn 
友情鏈接:www.sangfor.com.cn www.51cto.com https://www.microsoftstore.com.cn www.cisco.com