網絡安全應急響應有什麼工做流程？

時間 2020-12-28

原文原文鏈接

　　網絡安全學習過程當中，應急響應是什麼？應急響應體系的要素有哪些？應急響應的對象是什麼？應急響應的主要意義是什麼？應急響應的工做流程是怎樣的？是每一個網絡安全工程師都須要瞭解的問題。數據庫

　　什麼是應急響應？安全

　　「應急響應」對應的英文是「Incident Response」或「Emergency Response」等，一般是指一個組織爲了應對各類意外事件的發生所作的準備以及在事件發生後所採起的措施。網絡

　　網絡安全應急響應體系的要素：框架

　　（一）綜合分析與匯聚能力ide

　　網絡安全領域的應急保障，有其自身較爲明顯的特色，其對象靈活多變、信息複雜海量，難以徹底靠人力進行綜合分析決策，須要依靠自動化的現代分析工具，實現對不一樣來源海量信息的自動採集、識別和關聯分析，造成態勢分析結果，爲指揮機構和專家提供決策依據。完整、高效、智能化，是知足現實需求的必然選擇。所以，應有效創建以信息匯聚（採集、接入、過濾、範化、歸併）、管理（存儲、利用、管理）、分析（基礎分析、統計分析、業務關聯性分析、技術關聯性分析）、發佈（多維展示）等爲核心的完整能力體系，在重大信息安全事件發生時，可以迅速聚集各種最新信息，造成易於辨識的態勢分析結果，最大限度地爲應急指揮機構提供決策參考依據。工具

　　（二）綜合管理能力佈局

　　伴隨着互聯網的飛速發展，網絡安全領域相關的技術手段不斷翻新，對應急指揮的能力、效率、準確程度要求更高。在實現網絡與信息安全應急指揮業務的過程當中，應注重用信息化手段創建完整的業務流程，注重創建集網絡安全綜合管理、動態監測、預警、應急響應爲一體的網絡安全綜合管理能力。學習

　　要切實認識到數據資源管理的重要性，結合平常應急演練和管理工做，作好應急資源庫、專家庫、案例庫、預案庫等重要數據資源的整合、管理工做，在應急處理流程中，可以依託自動化手段，針對具體事件的研判處置推送關聯性信息，不斷豐富數據資源。計算機網絡

　　（三）處理網絡安全平常管理與應急響應關係的能力設計

　　網絡安全平常管理與應急響應有較爲明顯的區別，其主要體如今如下3個方面。

　　一、業務類型不一樣。平常管理工做主要包括對較小的信息安全事件進行處置，組織開展應急演練工做等，而應急響應工做通常面對較嚴重的信息安全事件，須要根據國家政策要求，進行必要的上報，並開展或配合開展專家聯合研判、協同處置、資源保障、應急隊伍管理等工做。

　　二、響應流程不一樣。平常管理工做中，對較小事件的處理在流程上要求簡單快速，研判、處置等工做由少許專業人員完成便可。而應急響應工做，須要有信息上報、聯合審批、分類下發等重要環節，響應流程較爲複雜。

　　三、涉及範圍不一樣。應急響應工做狀態下，嚴重的網絡安全事件波及範圍廣，須要較多的涉事單位、技術支撐機構和我的進行有效協同，也須要調集更多的應急資源進行保障，其涉及範圍遠大於平常工做狀態。

　　然而，網絡安全平常管理與應急工做不可簡單割裂。例如，二者都須要創建在對快速變化的信息進行綜合分析、研判、輔助決策的基礎之上，擁有不少相同的信息來源和自動化匯聚、分析手段。同時，平常工做中的應急演練管理、預案管理等工做，自己也是應急響應能力建設的一部分。所以，在流程機制設計、自動化平臺支撐等方面，應充分考慮2種工做狀態的聯繫，除對重大突發網絡安全事件應急響應業務進行能力設計實現外，還應注重強化對平常業務的支撐能力，以可以最大限度地發揮管理機構能力和效力。

　　（四）協同做戰能力

　　研判、處置重大網絡信息安全事件，須要多個單位、部門和應急隊伍進行支撐和協調，須要建設良好的通訊保障基礎設施，創建順暢的信息溝通機制，並經過常常開展應急演練工做，使各單位、我的可以在面對不一樣類型的事件時，熟悉所承擔的應急響應角色，熟練開展協同保障工做。

　　0一、準備工做

　　此階段以預防爲主，在事件真正發生前爲應急響應作好準備。主要包括如下幾項內容：

　　制定用於應急響應工做流程的文檔計劃，並創建一組基於威脅態勢的合理防護措施；

　　制定預警與報警的方式流程，創建一組儘量高效的事件處理程序；

　　創建備份的體系和流程，按照相關網絡安全政策配置安全設備和軟件；

　　創建一個支持事件響應活動的基礎設施，得到處理問題必備的資源和人員，進行相關的安全培訓，能夠進行應急反映事件處理的預演方案；

　　0二、事件檢測階段

　　識別和發現各類網絡安全緊急事件。一旦被***檢測機制或另外可信的站點警告已經檢側到了***，須要肯定系統和數據被***到了什麼程度。***響應須要管理層批准，須要決定是否關閉被破壞的系統及是否繼續業務，是否繼續收集***者活動數據（包括保護這些活動的相關證據）。通報信息的數據和類型，通知什麼人。主要包括如下幾種處理方法：

　　佈局***檢測設備、全局預警系統，肯定網絡異常狀況；

　　預估事件的範圍和影響的嚴重程度，來決定啓動相應的應急響應的方案；

　　事件的風險危害有多大，涉及到多少網絡，影響了多少主機，狀況危急程度；

　　肯定事件責任人人選，即指定一個責任人全權處理此事件並給予必要資源；

　　***者利用的漏洞傳播的範圍有多大，經過彙總，肯定是否發生了全網的大規模***事件；

　　通常典型的事故現象包括：

　　（1）帳號被盜用；

　　（2）騷擾性的垃圾信息；

　　（3）業務服務功能失效；

　　（4）業務內容被明顯篡改；

　　（5）系統崩潰、資源不足。

　　0三、抑制處置

　　在***檢測系統檢測到有安全事件發生以後，抑制的目的在於限制***範圍，限制潛在的損失與破壞，在事件被抑制之後，應該找出事件根源並完全根除；而後就該着手系統恢復，把全部受侵害的系統、應用、數據庫等恢復到它們正常的任務狀態。

　　收集***相關的全部資料，收集並保護證據，保證安全地獲取而且保存證據；

　　肯定使系統恢復正常的需求和時間表、從可信的備份介質中恢復用戶數據和應用服務；

　　抑制採用的方式可能有多種，常見的包括：

　　（1）關掉已受害的系統；

　　（2）斷開網絡；

　　（3）修改防火牆或路由器的過濾規則；

　　（4）封鎖或刪除被攻破的登陸帳號；

　　（5）關閉可被***利用的服務功能。

　　0四、根除階段

　　經過對有關惡意代碼或行爲的分析結果，找出事件根源明確相應的補救措施並完全清除，並對***源進行準肯定位並採起措施將其中斷；清理系統、恢復數據、程序、服務，把全部被攻破的系統和網絡設備完全還原到正常的任務狀態。

　　總之，信息安全應急響應體系應該從以上幾個方面來更加完善，統一規範事件報告格式，創建及時堆確的安全事件上報體系，在分類的基礎上，進一步研究針對各種安全事件的響應對策，從而創建一個應急決策專家系統，創建網絡安全事件數據庫，這項工做對於事件應急響應處置過程具備十分重要的意義

　　對事件的確認僅是初步的事件分析過程。事件分析的目的是找出問題出現的根本緣由。在事件分析的過程當中主要有主動和被動2種方式。

　　主動方式：是採用***誘騙技術，經過讓***方去侵入一個受監視存在漏洞的系統，直接觀察***方所採用的***方法。

　　被動方式：是根據系統的異常現象去追查問題的根本緣由。被動方式會綜合用到如下的多種方法。

　　（1）系統異常行爲分析：這是在維護系統及其環境特徵白板的基礎上，經過與正常狀況作比較，找出***者的活動軌跡以及***者在系統中植下的***代碼。

　　（2）日誌審計：日誌審計是經過檢查系統及其環境的日誌信息和告警信息來分析是否有***者作了哪些違規行爲。

　　（3）***監測：對於還在進行的***行爲，***監測方式經過捕獲並檢測進出系統的數據流，利用***監測工具所帶的***特徵數據庫，能夠在事件分析過程當中幫助定位***的類型。

　　（4）安全風險評估：不管是利用系統漏洞進行的網絡***仍是感染病毒，都會對系統形成破壞，經過漏洞掃描工具或者是防病毒軟件等安全風險評估工具掃描系統的漏洞或病毒能夠有效地幫助定位***事件。

　　0五、恢復階段

　　讓系統恢復破壞以前的正常運行環境。恢復階段的主要任務是把被破壞的信息完全地還原到正常運做狀態。肯定使系統恢復正常的需求和時間表、從可信的備份介質中恢復用戶數據、打開系統和應用服務、恢復系統網絡鏈接、驗證恢復系統、觀察其餘的掃描、探測等可能表示***者再次侵襲的信號。通常來講，要成功地恢復被破壞的系統，須要維護乾淨的備份系統，編制並維護系統恢復的操做手冊，並且在系統重裝後須要對系統進行全面的安全加固。

　　0六、跟進階段

　　跟蹤階段的主要任務是回顧並整合應急響應過程的相關信息，進行過後分析總結、修訂安全計劃、政策、程序並進行訓練以防止再次***，基於***的嚴重性和影響，肯定是否進行新的風險分析、給系統和網絡資產製定一個新的目錄清單、若是須要，參與調查和起訴。這一階段的工做對於準備階段工做的開展起到重要的支持做用。

　　跟蹤階段的工做主要包括3個方面的內容。

　　（1）造成事件處理的最終報告。

　　（2）檢查應急響應過程當中存在的問題，從新評估和修改事件響應過程。

　　（3）評估應急響應人員相互溝通在事件處理上存在的缺陷，以促進過後進行有針對性的培訓。

　　應急響應的對象是什麼？

　　計算機網絡安全事件應急響應的對象是指針對計算機或網絡所存儲、傳輸、處理的信息的安全事件，事件的主體可能來自天然界、系統自身故障、組織內部或外部的人、計算機病毒或蠕蟲等。

　　按照計算機信息系統安全的三個目標，能夠把安全事件定義爲破壞信息或信息處理系統CIA的行爲。好比：

　　1.破壞保密性的安全事件：好比***系統並讀取信息、搭線竊聽、遠程探測網絡拓撲結構和計算機系統配置等；

　　2.破壞完整性的安全事件：好比***系統並篡改數據、劫持網絡鏈接並篡改或插入數據、安裝特洛伊***（如BackOrifice2K）、計算機病毒（修改文件或引導區）等；

　　3.破壞可用性（戰時最可能出現的網絡***）的安全事件：好比系統故障、拒絕服務***、計算機蠕蟲（以消耗系統資源或網絡帶寬爲目的）等。可是愈來愈多的人意識到，CIA界定的範圍過小了，好比如下事件一般也是應急響應的對象：

　　4.掃描：包括地址掃描和端口掃描等，爲了侵入系統尋找系統漏洞。

　　5.抵賴：指一個實體否定本身曾經執行過的某種操做，好比在電子商務中交易方之一否定本身曾經定購過某種商品，或者商家否定本身曾經接受過訂單。

　　6.垃圾郵件騷擾：垃圾郵件是指接收者沒有訂閱卻被強行塞入信箱的廣告、政治宣傳等郵件，不只耗費大量的網絡與存儲資源，也浪費了接收者的時間。

　　7.傳播色情內容：儘管不一樣的地區和國家政策不一樣，可是多數國家對於色情信息的傳播是限制的，特別是對於青少年兒童的不良影響是各國都極力反對的。

　　8.愚弄和欺詐：是指散發虛假信息形成的事件，好比曾經發生過幾個組織發佈應急通告，聲稱出現了一種可怕的病毒「Virtual Card for You」，致使大量驚惶失措的用戶刪除了硬盤中很重要的數據，致使系統沒法啓動。

　　應急響應的主要意義是什麼？

　　應急響應的活動應該主要包括兩個方面：

　　第1、未雨綢繆，即在事件發生前事先作好準備，好比風險評估、制定安全計劃、安全意識的培訓、以發佈安全通告的方式進行的預警、以及各類防範措施；

　　第2、亡羊補牢，即在事件發生後採起的措施，其目的在於把事件形成的損失降到最小。這些行動措施可能來自於人，也可能來自系統，不如發現事件發生後，系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、***者取證等一系列操做。

　　以上兩個方面的工做是相互補充的。首先，事前的計劃和準備爲事件發生後的響應動做提供了指導框架，不然，響應動做將陷入混亂，而這些毫無章法的響應動做有可能形成比事件自己更大的損失；其次，過後的響應可能發現事前計劃的不足，吸收教訓，從而進一步完善安全計劃。所以，這兩個方面應該造成一種正反饋的機制，逐步強化組織的安全防範體系。