“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
前言
安全事件管理流程对接ITIL事件管理流程,整体流程可以分为下面三个阶段。
阶段一:事件上报
该阶段左侧对接安全运营内部的告警和问题上报,由一二线告警运营人员对日常处理告警进行反馈,三线告警专家会同攻防对抗专家、数据安全专家、终端安全专家、事件流程管理专家对汇报情况进行汇总分析,最后经由各专家提议决定,运营负责人审批后,作为安全风险事件进行上报。
阶段二:事件调查
事件完成上报后,会录入至ITIL系统,这就是事件调查开始。
在安全运营团队内部,指定安全事件跟进人员,安全事件跟进人员从一、二线告警运营人员手中接手上报事件的第一手消息,并由此展开事件调查。
在事件调查过程中,需要调查并记录下面五项信息,这样事件调查报告才能算完整:
处理过程,事件调查处理过程的事实记录。应包含具体时间点和时间点下的具体操作行为。
影响面分析,发生什么事情,该事情产生了哪些影响。
原因分析,发生事件的原因是什么,需要有直接原因和根本原因分析。
幸运和做得好的,在事件处理过程中,有哪些幸运的地方,有哪些做得好需要坚持的地方。
后续改进事项,通过事件分析,得出后续改进和优化事项。
阶段三:事件上会和待办跟进
完成事件调查报告后,会由安全领导在公司每周的IT事件例会中对事件进行介绍说明,由IT的运维、网络、开发等领导对事件进行评议,最后完成评议的事件,按事件改进事项及IT事件例会中讨论措施录入ITIL待办。经由团队长对待办进行分发,由相关同事改进完成后,提交团队长进行验收形成闭环。
事件上报标准
在安全运营事件管理实践过程中,我们通过对历史安全事件进行分析归纳,确立上报安全事件应符合以下标准:
具有典型性,与往常处理告警不同,如往常处理终端病毒告警为用户手动下载,当前遇到病毒由攻击者通过微信聊天工具进行投递,该情况此前未遇到过,具有典型性。
涉及数量较大,远大于往常处理数量,如往常处理员工通过微信外发敏感数据告警外发数量为上百条,当前遇到外发敏感信息涉及上万条,已经超过数量级,涉及数量较大。
反复出现。当一个告警反复出现后,通过上报事件对问题进行深入分析,最后尝试通过深度挖掘,在源头解决问题。
涉及违规、违反既定策略。告警本身是由于违反公司相关管理规范,违反既定策略要求导致,根据情节严重程度进行判定。
涉及其他团队,通过事件推进。告警涉及其他团队,通过上报事件指出问题方式,能更加利于问题推动解决。
事件调查要求
调查过程要求:
依据事实,说了什么、做了什么、造成的影响和风险,都有记录可支撑,都有记录可佐证(证实、证伪)这些记录就是证据,是确凿的。
没有记录的(比如打了电话、没有录音)、调查人员推测的(比如没有证据),就不叫证据;但也应该在报告中呈现出来,并告知读者“这是推测”“没有证据”,便于读者区分。
对听到的、看到的内容,要有疑点分析。
对疑点,要去获取证据进行证实或证伪或无法证明,但对于这个疑点的结论是什么,要在报告中说明。
报告编写要求:
让事件报告阅读者充分了解事件前后及事件相关的事实,并作出正确的判断(对是否违规、违规情节严重性的定性、定量判断)。
让事件报告阅读者尽可能一次性掌握所有事实,减少沟通成本。
事实应该是中性的、无歧义,在描述中要严格区分“事实”和“观点”
不断地补充事实、证据,不断地证明和证伪;事实要完整、准确、真实。
所有事实阐述清楚,疑点证明完毕,对事件调查结论(是否违规、违规情节严重性的定性、定量判断)要给出建议。
常见事件调查关注点(供参考)
数据安全类:
1.数据情况:
a.是什么数据?
b.涉及哪些敏感信息类型?
c.量级多少?
d.数据来源?
e.数据的拥有是否合理?
2.当事人情况:
a.为什么执行此操作?
b.操作是否工作需要?
c.操作是否经过授权?
d.使用过程是否遵守最小化原则?
e.是否签署保密协议?
f.是否知悉公司数据安全规定?
g.近期是否有离职倾向、岗位调动?
3.造成影响情况:
a.是否造成敏感数据泄露?
b.是否在网上扩散?
c.是否造成恶劣影响?
4.应急措施:
a.是否删除敏感数据?
b.是否提供承诺函?
c.当事人领导告知和确认
d.部门合规人员告知和确认
内部脆弱性类:
1.问题情况:
a.是什么问题?
b.为什么出现问题?
c.造成什么影响,影响范围多大?
d.是否被攻击者利用?
2.日常检测为何没发现?
异常软件类:
1.为何使用,在什么场景下使用?
2.异常软件来源?
3.异常软件分析情况
4.如果是外编同事,项目经理是谁?
5.是否签署保密协议,是否有参与安全意识培训,成绩如何?
6.用户是否知道不应使用异常软件?
7.应急措施:
a.是否有拦截、查杀
b.是否在网络侧封禁
c.排查其他设备存在同样情况
是否了重装系统。
