隨著網絡安全法的實施以及安全事件頻發，企業對于內部的安全建設也越來越重視。大公司的企業安全建設咱們先不說，我們今天就來分享下中小型企業應該如何建設標準化的網絡安全體系。一般企業不發生數據泄露都不會當回事，可有的企業真的發生了，而且影響到企業的業務系統安全，開始找各種安全廠商進行解決。解決完之后，后期可能還會發生，我們如何應對企業突發的網絡應急響應事件呢？

今天分享一篇關于標準化建設-網絡安全應急響應的分析文章，對于正在加強企業網絡安全建設的有很大的幫助和指導作用，我們一起來看看。

0x01 什么是標準化

標準化工作主要指制定標準、組織實施標準和對標準的實施進行監督檢查。對于企業來說，從原材料進廠到產品生產、銷售等各個環節都要有標準，不僅有技術標準，而且還要有管理標準，工作標準等，即要建立一個完整的標準化體系。做好企業標準化工作，對開發新產品、改善經營管理、調整產品結構、開拓國內外市場等方面能夠發揮重要作用。

0x02 標準化的優點

1、規范行為，提高工作效率，降低企業成本。

2、標準化就是將所有工作模式化，減少不必要環節，將優化過的工作流程固化下來，所有員工按照統一要求工作，避免錯誤率發生，從而降低成本，提升企業競爭力。

0x03 應急響應簡述

網絡安全應急響應：是指在突發重大網絡安全事件后對包括計算機運行在內的業務運行進行維持或恢復的各種技術和管理策略與規程。

應急響應的活動應該主要包括兩個方面：

未雨綢繆（即在事件發生前事先做好準備，比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防范措施） 亡羊補牢（即在事件發生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統，不如發現事件發生后，系統備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作） 事前的計劃和準備為事件發生后的響應動作提供了指導，用事后的響應來發現事前計劃的不足。（兩者的關系應該為互補與強化）

本文主要是以安全事件后的結構為主。

為最大限度科學、合理、有序地處置網絡安全事件，業內通常使用PDCERF方法學，將應急響應分成：準備、檢測、抑制、根除、恢復、跟蹤六個階段工作，并根據網絡安全應急響應總體策略對每個階段定義適當的目的，明確響應順序和過程。

• 準備：是安全事件響應的第一個階段，即在事件真正發生前為事件響應做好準備

• 檢測：以適當的方法確認在系統，網絡中是否出現了惡意代碼、文件和目錄是否被篡改等異常活動、現象

• 抑制：限制攻擊、破壞所波及的范圍

• 根除：找出事件的根源并徹底根除，以避免攻擊者再次使用相同手段攻擊系統，引發安全事件

• 恢復：目標是把所有被攻破的系統或者網絡設備還原到正常的任務狀態

• 跟蹤：回顧并整合應急響應事件過程的相關信息

0x04 開始思路

先用5W2H分析法來構建這個基礎模型，5W2H分析法又叫七何分析法，是二戰中美國陸軍兵器修理部首創。簡單、方便，易于理解、使用，富有啟發意義，廣泛用于企業管理和技術活動，對于決策和執行性的活動措施也非常有幫助，也有助于彌補考慮問題的疏漏。

（1）WHAT - 是什么？目的是什么？做什么工作？

（2）WHY - 為什么要做？可不可以不做？有沒有替代方案？

（3）WHO - 誰？由誰來做？

（4）WHEN - 何時？什么時間做？什么時機最適宜？

（5）WHERE - 何處？在哪里做？

（6）HOW - 怎么做？如何提高效率？如何實施？方法是什么？

（7）HOW MUCH - 多少？做到什么程度？數量如何？質量水平如何？費用產出如何？

網絡安全應急響應標準化分析：

（1）WHAT – 主要目的

（2）WHY – 目前現狀

（3）WHO – 誰來負責

（4）WHEN – 時間規劃

（5）WHERE – 如何實行

（6）HOW – 具體內容

（7）HOW MUCH – 產出價值

下圖以圍繞提高工作效率和內部安全體系標準流程為主思考方向，包含：乙方網絡安全公司和甲方企業的一些交互點，僅僅舉例，未完整，根據自身情況發散就好。

0x05 過程內容

重點思考的其實就是“具體內容”部分，給出參考框架，因為不同的體系內部的現狀都不一樣，在具體內容輸出中給出一些關鍵點，根據情況自行補充：

• CERT01-網絡安全應急預案

內容：根據內部情況定制，最要內容包括安全事件風險分級，事件處理團隊結構，預防預警信息公布，事件后處置等。可參考《國家網絡安全事件應急預案》作為模板：

http://www.cac.gov.cn/2017-06/27/c_1121220113.htm

• CERT02-安全事件申請處理流程

內容：規范發生安全事件的上報、處置、部門接口等流程制度。

• CERT03-安全事件信息確認

內容：包括正常情況和異常情況后對比描述，發生安全事件的服務器信息（IP地址、操作系統、數據庫、主要服務和應用等），主要用于記錄安全事件的情況。

• CERT04-安全事件處理進度階段報告

內容：記錄安全事件處置進度過程和下一階段的計劃，方便團隊其他成員接入。

• CERT05-安全事件處理結果匯總報告

內容：主要包括，安全事件綜述，安全事件處理過程，安全事件過程還原，安全加固的改進建議。

• CERT06-安全事件處理結果跟蹤

內容：為什么需要這個？處理完安全事件需不需要加固？那么問題來了，大部分情況只能給出加固建議并不能親自動手。需不需要找各種部門接口人？需不需要找到接口人再找相關負責人？然后開發和運維再告訴你今天有點忙明天再改然后就沒有然后了？？？

• CERT07-常見安全漏洞攻擊方法參考手冊

內容：可參考wvs、appscan、burpsuite等掃描器的漏洞描述再加上常見的攻擊手法和漏洞利用的特征。

• CERT08-常見安全事件處理方法參考手冊

內容：整個框架最重要的一個部分，對各種安全事件進行分類，先看看國家標準中的分類情況：

GB/Z20986-2007《信息安全事件分類指南》根據信息安全事件的起因、表現、結果等，信息安全事件為惡意程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件等7個基本分類，每個基本分類包括若干個子類。

一、惡意程序事件（計算機病毒事件，蠕蟲事件，特洛伊木馬事件，僵尸網絡事件，混合攻擊程序事件，網頁內嵌惡意代碼事件，其他有害程序事件）

二、網絡攻擊事件（拒絕服務器攻擊事件，后門攻擊事件，漏洞攻擊事件，網絡掃描竊聽事件，網絡釣魚事件，干擾事件，其他網絡攻擊事件）

三、信息破壞事件（信息篡改事件，信息假冒事件，信息泄露事件，信息竊取事件，信息丟失事件，其他信息破壞事件）

四、信息內容安全事件（違反憲法和法律，行政法規的信息安全事件、針對社會事項進行討論評論形成網上敏感的輿論熱點，出現一定規模炒作的信息安全事件、組織串聯，煽動集會游行的信息安全事件、其他信息內容安全事件）

五、設備設施故障（軟硬件自身故障、外圍保障設施故障、人為破壞事故、其他設備設施故障）

六、災害性事件

七、其他信息安全事件

事實上我們要關注的應該屬于一、二、三部分中的內容，通過整理團隊內部歷史處理過的上千起安全事件，然后對占比高的相同類型事件做了分類，然后針對比例高的分類做常規處理思路、手法整理，參考：

1）網絡攻擊事件

主要現象： 安全掃描器攻擊，黑客利用掃描器對目標進行漏洞探測，并在發現漏洞后進一步利用漏洞攻擊；暴力破解攻擊，對目標系統賬號密碼進行暴力破解，獲取后臺管理員權限；系統漏洞攻擊，利用操作系統/應用系統中存在漏洞進行攻擊；WEB漏洞攻擊，通過SQL注入漏洞、上傳漏洞、XSS漏洞、越權訪問漏洞等各種WEB漏洞進行攻擊。

2）WEB惡意代碼事件

主要現象： 網站存在賭博、色情、釣魚等非法子頁面和WEBSHELL以及漏洞掛馬頁面

3）惡意程序事件（Windows/linux）

主要現象：操作系統響應緩慢，非繁忙時段流量異常，存在異常系統進程以及服務，存在異常的外連現象。

4）拒絕服務事件

主要現象：網站和服務器無法訪問，業務中斷，用戶無法訪問。

通過常見事件類型的分類，以PDCERF模型為基礎整合適合自身環境的處理方式：

對應整理常見安全事件的處理方法、思路以及用到的一些工具。

• CERT09-常見安全加固方法參考手冊

內容：主要涉及win/linux賬號管理、日志配置、文件權限、中間件配置、數據庫配置等。

• CERT10-安全事件信息統計

內容：記錄內部安全事件（包括事件類型，系統應用，系統信息，事件原因等）作為后期完善安全體系的數據支持。

• CERT11-安全培訓

內容：圍繞《CERT08-常見安全事件處理方法參考手冊》的內容。

• CERT12-內部的安全事件整體案例/安全知識wiki

內容：安全事件處理的詳細過程分享，以及持續更新新的安全技術作為內部能力提升的一個渠道。

總的來說，01-03是流程規范定制，04-06是具體處理內容，07-11是為前面的做支撐和持續更新。

0x06 后期思考

最終的目的之一，提高效率，那么就避免不了自動化工具的實現，通過每種常規安全事件類型，把處理步驟中相同的點匯集，例如這樣：

文章主要圍繞了安全事件應急響應中的“未雨綢繆”部分，那么在下篇再講講“亡羊補牢”方面，是“威脅情報、態勢感知？“不不不，沒有大數據支持的這種都是很虛的，會以開源蜜罐和SIEM（安全信息和事件管理系統）為主來構建”亡羊補牢“部分。

當把這兩方面整合后，有沒有想到這就是管理檢測和響應（MDR）的孵化期？？？

本文作者：4rt1st 原文地址：https://secvul.com/topics/707.html

懸鏡安全實驗室是北京安普諾旗下強大而又專業的安全團隊，實驗室核心成員來自北京大學信息安全實驗室，具有多年的漏洞挖掘、逆向分析、機器學習等核心技能。

目前，實驗室主要職責是前沿安全技術研究和為企業客戶提供專業的安全服務和安全咨詢，主要包括基于深度學習的Web威脅檢測引擎研究、惡意樣本分析、高級滲透測試服務、主機安全巡檢服務、應急響應服務、服務器防黑加固服務等方面的安全工作。

如果您有企業應急響應服務需求，可以聯系我們。電話咨詢：010-89029979

總結

以上是生活随笔為你收集整理的企业安全建设丨标准化建设之网络安全应急响应浅析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。