在《应急能力提升7-整体总结与提升》文中提到了:在企业安全运营建设时,大致会经过依赖人工或安全公司提供服务、安全事件处置标准化、自动化响应三个发展阶段:
本系列文章将聚焦介绍常见的安全事件及标准处置方法,即:安全事件处置SOP。
由于作者所处平台及个人视野有限,总结出的SOP虽然经过大量重复的操作、总结及提炼,但仍会存在错误或不足,请同行读者们不吝赐教,这也是分享的初衷。
安全事件概述
这里引用《国家网络安全事件应急预案》中的定义,网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件(MI)、网络攻击事件(NAI)、信息破坏事件(IDI)、信息内容安全事件(ICSI)、设备设施故障(FF)、灾害性事件(DI)和其他事件(OI),这些是比较官方的分类方法。在实际的工作中,更多的是按照组织职能或工作内容加以区分,比如安全部门中设置了反入侵团队和数据安全团队,则对应网络安全事件和数据安全事件日常运营。
1.2 事件分级原则
1.3 安全事件运营
对于外部攻击导致的安全事件,需要对每一次进行深入分析,找到不足并补强。但针对内部人员导致的安全事件,从发生监测到事后运营,属于单事件运营,起到的防护或警示效果有限。为了进一步让事件发挥出更大的效果,对主机和数据安全事件进行统一化管理,建立以部门为单位的安全风险分数计算、公示机制,并组织违规个人及部门参与安全红线、安全意识培训和考试,以此降低再犯的可能性。
02
—
安全事件处置
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的要求,信息系统的业务主管部门、使用部门和运行部门是信息系统协调和处置的直接责任部门,部门负责人是第一负责人。各部门在处置中做好协调和沟通联系,在分工合作的基础上落实处置工作责任制,确保责任落实。
发生需要跨部门协调处置的网络安全事件时,各部门应按照“解决问题优先,程序次之”的原则共同协作,力争快速恢复系统,使损失最小化。
按照事件的不同级别,应设置不同的响应时间、总结复盘及奖惩等要求:
当发生信息安全事件时,及时止损与快速恢复业务是首要目标。及时止损包括控制或解决事件带来的不良影响,恢复业务需结合实际场景在事件得到有效的遏制或消除后,重新上线提供服务。无论是遏制或解决,按照处置流程进行操作均是标准的动作,常见可以分为五个步骤。
当收到告警信息时,一线安全运营人员需要对信息进行判断,按照相对应的SOP进行执行。但告警信息的来源非常广,可能是公司内外部人员反馈、各类Sensor告警信息、上级监管单位通报、安全应急响应中心(SRC)接收等渠道,所有安全事件都先由一线安全运营人员处置,处置过程中发现问题或拿不准就上升到二线,二线再根据实际情况发起深入的安全响应措施。
事件分析是整个处置流程中的重点也是难点,安全事件种类较多,对安全运营人员的能力有较大的考验,可从实际安全运营工作内容及风险治理的角度,将安全事件按照处理的难易程度进行区分:
在对安全事件进行分析与判断后,需要对事件进行初步定论,并按照不同级别上报相关领导或安全组织,以获得更多资源支持与决策,推动该事件被更快速处置
主要从溯源取证、对外公关、业务止损与恢复三方面,对安全事件进行处置。
每一次事件,对于安全来说都应该是一次涅槃重生、建设更加安全网络环境的机会。深挖事件产生原因、验证安全防护机制、检验安全监测策略,并做横向思考,根据剖析与总结事件,输出事件报告,其中比较重要的除了事件原因就是一系列可提升现有水平的后续改进项。以下为安全事件报告模板:
网络安全事件处置报告单
事件名称 | |||||
---|---|---|---|---|---|
事件ID | 事件级别 | ||||
报告日期 | 发现来源 | ||||
影响概述 | 事件影响级别 | ||||
外部影响描述:内部影响描述: | |||||
系统信息 | |||||
系统IP | 影响时长 | ||||
负责人 | 负责团队 | ||||
事件关键时间 | |||||
发现时间 | |||||
安全初查时间 | |||||
漏洞修复时间 | |||||
安全复查时间 | |||||
事件处置过程 | |||||
处置过程 | 处置步骤 | 参与人员 | |||
1 | |||||
2 | |||||
影响分析 | |||||
法务影响 | 无 | ||||
业务影响 | 无 | ||||
数据影响 | |||||
安全风险 | 无 | ||||
其他 | 无 | ||||
原因分析 | |||||
原因分类 | □设备设施 □应用系统 □人员 □流程 □外部因素 | ||||
原因分析 | |||||
后续改进 |