CERT02-安全事件申请处理流程
内容:规范发生安全事件的上报、处置、部门接口等流程制度。
CERT03-安全事件信息确认
内容:包括正常情况和异常情况后对比描述,发生安全事件的服务器信息(IP地址、操作系统、数据库、主要服务和应用等),主要用于记录安全事件的情况。
CERT04-安全事件处理进度阶段报告
内容:记录安全事件处置进度过程和下一阶段的计划,方便团队其他成员接入。
CERT05-安全事件处理结果汇总报告
内容:主要包括,安全事件综述,安全事件处理过程,安全事件过程还原,安全加固的改进建议。
CERT06-安全事件处理结果跟踪
内容:为什么需要这个?处理完安全事件需不需要加固?那么问题来了,大部分情况只能给出加固建议并不能亲自动手。需不需要找各种部门接口人?需不需要找到接口人再找相关负责人?然后开发和运维再告诉你今天有点忙明天再改然后就没有然后了???
CERT07-常见安全漏洞攻击方法参考手册
内容:可参考wvs、appscan、burpsuite等扫描器的漏洞描述再加上常见的攻击手法和漏洞利用的特征。
CERT08-常见安全事件处理方法参考手册
内容:整个框架更重要的一个部分,对各种安全事件进行分类,先看看国家标准中的分类情况:
GB/Z20986-2007《信息安全事件分类指南》根据信息安全事件的起因、表现、结果等,信息安全事件为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类包括若干个子类。
一、恶意程序事件(计算机病毒事件,蠕虫事件,特洛伊木马事件,僵尸网络事件,混合攻击程序事件,网页内嵌恶意代码事件,其他有害程序事件)
二、网络攻击事件(拒绝服务器攻击事件,后门攻击事件,漏洞攻击事件,网络扫描窃听事件,网络钓鱼事件,干扰事件,其他网络攻击事件)
三、信息破坏事件(信息篡改事件,信息假冒事件,信息泄露事件,信息窃取事件,信息丢失事件,其他信息破坏事件)
四、信息内容安全事件(违反宪法和法律,行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件、组织串联,煽动集会游行的信息安全事件、其他信息内容安全事件)
五、设备设施故障(软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障)
六、灾害性事件
七、其他信息安全事件
事实上我们要关注的应该属于一、二、三部分中的内容,通过整理团队内部历史处理过的上千起安全事件,然后对占比高的相同类型事件做了分类,然后针对比例高的分类做常规处理思路、手法整理,参考:
1)网络攻击事件
主要现象: 安全扫描器攻击,黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞攻击;暴力破解攻击,对目标系统账号密码进行暴力破解,获取后台管理员权限;系统漏洞攻击,利用操作系统/应用系统中存在漏洞进行攻击;WEB漏洞攻击,通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种WEB漏洞进行攻击。
2)WEB恶意代码事件
主要现象: 网站存在赌博、色情、钓鱼等非法子页面和WEBSHELL以及漏洞挂马页面
3)恶意程序事件(Windows/linux)
主要现象:操作系统响应缓慢,非繁忙时段流量异常,存在异常系统进程以及服务,存在异常的外连现象。
4)拒绝服务事件
主要现象:网站和服务器无法访问,业务中断,用户无法访问。
通过常见事件类型的分类,以PDCERF模型为基础整合适合自身环境的处理方式:
对应整理常见安全事件的处理方法、思路以及用到的一些工具。
CERT09-常见安全加固方法参考手册
内容:主要涉及win/linux账号管理、日志配置、文件权限、中间件配置、数据库配置等。
CERT10-安全事件信息统计
内容:记录内部安全事件(包括事件类型,系统应用,系统信息,事件原因等)作为后期完善安全体系的数据支持。
CERT11-安全培训
内容:围绕《CERT08-常见安全事件处理方法参考手册》的内容。
CERT12-内部的安全事件整体案例/安全知识wiki
内容:安全事件处理的详细过程分享,以及持续更新新的安全技术作为内部能力提升的一个渠道。
总的来说,01-03是流程规范定制,04-06是具体处理内容,07-11是为前面的做支撑和持续更新。
0x06 后期思考
更终的目的之一,提高效率,那么就避免不了自动化工具的实现,通过每种常规安全事件类型,把处理步骤中相同的点汇集,例如这样:
文章主要围绕了安全事件应急响应中的“未雨绸缪”部分,那么在下篇再讲讲“亡羊补牢”方面,是“威胁情报、态势感知?“不不不,没有大数据支持的这种都是很虚的,会以开源蜜罐和SIEM(安全信息和事件管理系统)为主来构建”亡羊补牢“部分。
当把这两方面整合后,有没有想到这就是管理检测和响应(MDR)的孵化期???
