安全事件SOP:基于实践的安全事件简述
在《应急能力提升7-整体总结与提升》文中提到了:在企业安全运营建设时,大致会经过依赖人工或安全公司提供服务、安全事件处置标准化、自动化响应三个发展阶段:
本系列文章将聚焦介绍常见的安全事件及标准处置方法,即:安全事件处置SOP。
由于作者所处平台及个人视野有限,总结出的SOP虽然经过大量重复的操作、总结及提炼,但仍会存在错误或不足,请同行读者们不吝赐教,这也是分享的初衷。
01
安全事件概述
1.1 安全事件定义
这里引用《国家网络安全事件应急预案》中的定义,网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件(MI)、网络攻击事件(NAI)、信息破坏事件(IDI)、信息内容安全事件(ICSI)、设备设施故障(FF)、灾害性事件(DI)和其他事件(OI),这些是比较官方的分类方法。在实际的工作中,更多的是按照组织职能或工作内容加以区分,比如安全部门中设置了反入侵团队和数据安全团队,则对应网络安全事件和数据安全事件日常运营。
- 网络安全事件:指由于人为操作、网络攻击、软硬件故障、自然灾害等,对账号、信息系统或网络造成危害的事件。就企业安全建设和安全运营而言,可以细分为安全违规事件,风险操作违规、账号口令违规、私搭乱建违规等;网络攻击事件,扫描行为、IOC告警、邮件钓鱼账号疑似被盗等;接收漏洞事件,SRC接收漏洞、CNVD接收漏洞、客户侧接收漏洞和行业监管单位接收漏洞。
- 数据安全事件:指将企业的机密、秘密或其他级别的敏感信息发布到外部环境中,一旦被不法分子利用,造成的安全事件。主要分为内部信息泄露和外部信息泄露两大类。其中内部信息泄露,如U盘文件拷贝、IM文件外发、邮件外发敏感数据、U盘文件创建/写入;外部信息泄露,如公网github信息泄露、敏感数据兜售监测。
1.2 事件分级原则
- 事件分级以量化指标为优先原则,在主观量化损失时应按较高的量化损失或更严重的影响作为评估依据;
- 当判断准确量化存在较大困难或量化所消耗成本较高时,可基于主观判断;
- 在事件持续过程应根据事件进展动态更新事件级别。
1.3 安全事件运营
对于外部攻击导致的安全事件,需要对每一次进行深入分析,找到不足并补强。但针对内部人员导致的安全事件,从发生监测到事后运营,属于单事件运营,起到的防护或警示效果有限。为了进一步让事件发挥出更大的效果,对主机和数据安全事件进行统一化管理,建立以部门为单位的安全风险分数计算、公示机制,并组织违规个人及部门参与安全红线、安全意识培训和考试,以此降低再犯的可能性。
02
—
安全事件处置
2.1 处置原则
1.责任制原则
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的要求,信息系统的业务主管部门、使用部门和运行部门是信息系统协调和处置的直接责任部门,部门负责人是第一负责人。各部门在处置中做好协调和沟通联系,在分工合作的基础上落实处置工作责任制,确保责任落实。
2.快速恢复原则
发生需要跨部门协调处置的网络安全事件时,各部门应按照“解决问题优先,程序次之”的原则共同协作,力争快速恢复系统,使损失最小化。
3.分级处置原则
按照事件的不同级别,应设置不同的响应时间、总结复盘及奖惩等要求:
- 响应时间:不同级别的信息安全事件,第一响应速度都应该是在分钟级甚至秒级的。但安全事件的级别越高,在限时内上报的领导级别就应该越高,比如P5事件仅需一线安全运营工程师或自动化处置,P3事件就应该上报告网络安全部负责人,P2事件就应该上报至网络安全委员会及最高领导;
- 总结复盘:在安全事件处置之后,应针对不同级别的事件做出不同级别的复盘要求,最低级别应该是涉事责任人,然后依次为涉事方部门反馈、网络安全部牵头复盘、网络安全委员会组织复盘并向最高领导做汇报;
- 事后奖惩:对事件进行定责与奖励。鼓励发现安全事件及在安全事件过程中表现优异的个人与行为,对造成安全事件的相关人员或部门进行处罚。安全部门不具备行政处罚能力,需要联动人事部门按照公司要求进行执行。
2.2 处置流程
当发生信息安全事件时,及时止损与快速恢复业务是首要目标。及时止损包括控制或解决事件带来的不良影响,恢复业务需结合实际场景在事件得到有效的遏制或消除后,重新上线提供服务。无论是遏制或解决,按照处置流程进行操作均是标准的动作,常见可以分为五个步骤。
1.告警响应
当收到告警信息时,一线安全运营人员需要对信息进行判断,按照相对应的SOP进行执行。但告警信息的来源非常广,可能是公司内外部人员反馈、各类Sensor告警信息、上级监管单位通报、安全应急响应中心(SRC)接收等渠道,所有安全事件都先由一线安全运营人员处置,处置过程中发现问题或拿不准就上升到二线,二线再根据实际情况发起深入的安全响应措施。
2.分析研判
事件分析是整个处置流程中的重点也是难点,安全事件种类较多,对安全运营人员的能力有较大的考验,可从实际安全运营工作内容及风险治理的角度,将安全事件按照处理的难易程度进行区分:
- 容易处置类:仅靠沟通就能完成处置,关键是需要相关责任人提供详实的证据,附在事件处置工单中才能算是闭环。包括主机安全事件中的违规事件、正常操作、误操作、重复事件、误报;数据安全事件中各类信息泄露;
- 验证处置类:主要是弱口令类数据,需要使用技术手段对事件进行验证。无论是NTA中的弱口令事件告警还是基于HIDS发现的弱口令,都需要进一步验证是否真实存在、是否从外部可利用并造成危害。前者是只要在NTA覆盖的流量范围内,传播弱口令,不管相关系统或服务是否真实存在弱口令,都会进行告警,所以误报会比较大;后者是由于主机账号、服务可能仅本地使用,从非本地的地址访问存在不能利用的情况;
- 深入排查类:主要是指网络攻击类事件,需要对事件进行专业分析,对安全运营人员的技术能力有较高要求,且对于根因的发现、漏洞的排查与修复甚至溯源反制,都取决于安全人员的能力和经验。越是经过攻防实战的人,越能快速定位问题。
3.事件上报
在对安全事件进行分析与判断后,需要对事件进行初步定论,并按照不同级别上报相关领导或安全组织,以获得更多资源支持与决策,推动该事件被更快速处置
4.全面处置
主要从溯源取证、对外公关、业务止损与恢复三方面,对安全事件进行处置。
- 溯源取证:从各安全设备的告警、日志、流量进行分析,摸清攻击者的来龙去脉,还原攻击链;分析攻击者留下的样本、后门文件,进行内部横向排查和清除;
- 对外公关:当安全事件即将在特殊时期发生或已经发生时,且在外界产生不良影响,包括让客户的网络安全面临风险、用户信息遭到泄露等情况,需要联动公关部门对外做好舆情监测和应对策略;
- 业务止损与恢复:对相关业务系统及服务器进行安全加固,监测和发现可能潜在的后门并进行清理,为业务再次上线做准备。
5.总结复盘
每一次事件,对于安全来说都应该是一次涅槃重生、建设更加安全网络环境的机会。深挖事件产生原因、验证安全防护机制、检验安全监测策略,并做横向思考,根据剖析与总结事件,输出事件报告,其中比较重要的除了事件原因就是一系列可提升现有水平的后续改进项。以下为安全事件报告模板:
网络安全事件处置报告单
事件名称 | |||||
|---|---|---|---|---|---|
事件ID | 事件级别 | ||||
报告日期 | 发现来源 | ||||
影响概述 | 事件影响级别 | ||||
外部影响描述:内部影响描述: | |||||
系统信息 | |||||
系统IP | 影响时长 | ||||
负责人 | 负责团队 | ||||
事件关键时间 | |||||
发现时间 | |||||
安全初查时间 | |||||
漏洞修复时间 | |||||
安全复查时间 | |||||
事件处置过程 | |||||
处置过程 | 处置步骤 | 参与人员 | |||
1 | |||||
2 | |||||
影响分析 | |||||
法务影响 | 无 | ||||
业务影响 | 无 | ||||
数据影响 | |||||
安全风险 | 无 | ||||
其他 | 无 | ||||
原因分析 | |||||
原因分类 | □设备设施 □应用系统 □人员 □流程 □外部因素 | ||||
原因分析 | |||||
后续改进 | |||||
腾讯云开发者
