随着网络环境变得更加复杂,界限变得模糊,安全事件频发,有的企业在安全建设初期或者没有合适的应急响应体系及流程,很多企业安全人员都变成了“救火队长”,陷入了出现问题,急忙解决事件的点对点恶性循环中,有时候甚至还要被领导误解,着实让人精疲力尽,心力交瘁,有苦说不出,头痛不已,那么,面对这样的情况,如何建立应急响应体系与流程呢?
规范应急响应的流程,提升应急响应能力,减少“救火队长”的情况出现
说到应急响应,势必都会想到威胁情报,也可以说是情报驱动应急响应。那什么是威胁情报呢?旨在为面临威胁的资产主体提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。那怎么样开展威胁情报工作呢?可以从OODA模型、情报获取、情报分析、情报决策、情报处置这五个方面说起。 2.1 OODA模型
在实际的我们采用的是OODA循环(又叫博伊德环)模型,它是由Observation观察、Orientation判断、Decision决策、Action执行四个步骤,
将行动前的动作,进行了一步步分解。这些步骤,可以让我们的行动,有据可依,通过这个循环,则可以让我们的行动更加系统化、理性化。
2.2 情报获取
我们在做威胁情报收集之时,获取的途径一般都是互联网上预警的漏洞,主要包括Twitter,BM X-Force Exchange,CNVD,以及360cert等各种厂商,情报共享等,当然肯定还需要注意监管机构预警的漏洞情报。
注意,一般甲方企业都会与很多厂商有项目合作,在情报收集这一块,可以跟各家安全厂商沟通,希望能免费帮忙提供威胁情报支持,当然在资金充足的情况下,也可以采用付费订阅的方式每周或每天发送至工作邮箱。eoa
2.3 情报分析
收集完成情报之后,因为非常多的情报,我们需要进行初步的筛选,可以根据漏洞利用的难易程度,受影响范围,还有网上是否已经有POC来进行区分,也就是优先级,一般我们都会选择远程代码执行,任意代码执行,exp,poc的漏洞优先进行分析,这样可以尽量快速的处理,毕竟每个企业的安全人员都是非常少的。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议