安全知识库 | 应急响应-概念篇

众智维安 2022-02-23

1898

点击蓝字关注我们

此文为连载文章，由OPENX实验室原创发布。

OPENX Labs

众智维麒麟安全实验室

概

念

开

篇

随着国家信息化建设进程的加速，计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多，网络边界不断扩大，网络安全管理的难度日趋增大，各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展，但实践证明，现实中再完备的安全保护也无法抵御所有危险。因此，完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。

网络安全应急响应概述

1.1

应急响应的定义

“应急响应”对应的英文是Incident Response或Emergency Response，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。其目的是降低突发事件造成的损失，包括人民生命、财产，国家企业的经济损失。

1.2

计算机网络安全应急响应

🔹计算机网络应急响应的对象是哪些？

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件，而这些事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒等。

🔹应急响应做什么？

应急响应的主要动作包括两方面：第一、未雨绸缪，在事件发生之前做好充足准备，如人员安全意识培训、风险评估、系统漏洞预警跟踪、应急演练等各项措施。第二、亡羊补牢，在事件发生之后采取各项措施，将事件损失降到最小，如系统备份、病毒检测、后门检测、隔离恢复等操作。

以上两方面工作其实是相互补充，只有事前准备充足，事后才能有序开展恢复工作，否则应急响应将会陷入混乱，而这些毫无章法的响应动作有可能会造成比事件本身更大的损失；而事件结束后，也可以发现事前准备有哪些不足，进一步完善准备工作。两个动作形成正向反馈机制，逐步强化安全防范体系。

1.3

网络安全事件分级

对网络安全事件的分级主要考虑三个要素：信息系统的重要性、系统损失和社会影响。根据社会影响范围和危害程度，公共互联网网络安全突发事件分为四级：特别重大事件、重大事件、较大事件、一般事件。具体介绍如下：

🔹特别重大事件

符合下列情形之一的，为特别重大网络安全事件：

（1）全国范围大量互联网用户无法正常上网；

（2）.CN国家顶级域名系统解析效率大幅下降；

（3）1亿以上互联网用户信息泄露；

（4）网络病毒在全国范围大面积爆发；

（5）其他造成或可能造成特别重大危害或影响的网络安全事件。

🔹重大事件

符合下列情形之一的，为重大网络安全事件：

（1）多个省大量互联网用户无法正常上网；

（2）在全国范围有影响力的网站或平台访问出现严重异常；

（3）大型域名解析系统访问出现严重异常；

（4）1千万以上互联网用户信息泄露；

（5）网络病毒在多个省范围内大面积爆发；

（6）其他造成或可能造成重大危害或影响的网络安全事件。

🔹较大事件

符合下列情形之一的，为较大网络安全事件：

（1）1个省内大量互联网用户无法正常上网；

（2）在省内有影响力的网站或平台访问出现严重异常；

（3）1百万以上互联网用户信息泄露；

（4）网络病毒在1个省范围内大面积爆发；

（5）其他造成或可能造成较大危害或影响的网络安全事件。

🔹一般事件

符合下列情形之一的，为一般网络安全事件：

（1）1个地市大量互联网用户无法正常上网；

（2）10万以上互联网用户信息泄露；

（3）其他造成或可能造成一般危害或影响的网络安全事件。

网络应急响应处置流程

根据应急响应的PDCERF模型可分为6个阶段来处理，分别是准备（Preparation）、检测（Detection）、遏制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）。

准备阶段

这个阶段以预防为主。主要工作涉及应急制度，安全设备及应急响应小组，是人和检测工具的准备。

检测阶段

🔹事件研判：要从服务器、安全设备的日志中、甚至管理员的操作记录中分析是否有不正常或者明显的黑客行为，判断事件是已经发生还是正在进行中，判断出受灾面积和攻击者入侵的点；

🔹安全事件分级：根据上面检测到的结果初步判断事件类型，定义此次安全事件的级别，确定应急等级，启动哪一级应急方案。

遏制阶段

及时采取行动遏制事件发展，控制受害范围。重点确定遏制的方法，如隔离网络、修改防火墙或路由器的过滤规则、关闭受害服务器等，确保方法对各业务影响最小，列出若干选项并说明相关风险，由服务对象做决定。

根除阶段

🔹利用检测阶段收集到的信息分析漏洞原因并彻底根除；

🔹后门排查，主机安全加固。

恢复阶段

🔹用备份恢复被攻击主机；

🔹服务重新上线并持续监控，判断修复措施有效性。

跟踪阶段

🔹根据各种监控去确定没有其他的攻击行为和攻击向量，特别是曾经出现问题的地方；

🔹开会反省此次事件，形成事件处理的总结报告；

🔹总结应急响应人员相互沟通过程中的缺陷，持续改进工作流程。

关于麒麟安全实验室

麒麟安全实验室（原OPENX实验室）成立于2019年，是众智维科技旗下专注安全对抗前沿技术研究的专业团队。实验室以攻防基础理论框架、先进攻防技术AI推理、安全能力发展体系为主要研究方向。实验室成立以来多次承接国家级网络安全科研课题，牵头相关标准编制。有关网络安全政策、体系方面的研究成果被多个省市、行业列入“十四五规划“之中。实验室多次为省部级大型攻防演练提供平台运营和裁判管理服务，是工信部网络安全试点示范项目大规模攻防运营管理方向的牵头单位，是国家计算机网络与信息安全管理中心科研项目合作单位，CNCERT省级支撑单位，南京市网络安全应急技术支撑单位，CNNVD三级支撑单位，CNVD支撑单位。

关于众智维科技

南京众智维信息科技有限公司，拥有著名的麒麟安全实验室，拥有多项核心专利，近30项软件著作权。2020年12月获得国资背景资本方Pre-A轮数千万级投资。众智维科技坚持“众智创新重塑安全生态、AI运营赋能网信安全“，通过持续建设体系化的攻防管理运营平台，集网络安全实战与演练、技术培训与指南、体系研发与应用为一体，可以为所有网络安全需求方提供服务。主营业务包括演练保障、安全管理运维、流量分析、端点防护、SOAR、AI/ML、重保支持、安全集成等。

安全

文章转载自众智维安，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

安全知识库 | 应急响应-概念篇

评论