浅谈安全事件响应

本文旨在探讨一下我眼中的安全事件的响应流程。

在讨论安全事件的响应流程之前，首先得先定义什么叫做安全事件。一般的病毒感染事件其实并不能称作安全事件，当病毒感染和传播扩大到一定的量或者严重影响了业务的正常运转的时候，此时就构成了安全事件。

安全事件包括但不限于以下几种情况：

1、某种病毒在短时间内迅速感染了大量计算机或者服务器

2、某种病毒引发了业务系统的瘫痪，严重影响业务的正常运行

3、大量计算机或者用户报告发现类似的可疑或者奇怪的文件或者行为，但是杀毒软件确无法识别

4、企业内部和外部系统遭到入侵

5、物理安全，比如：地震，洪水，海啸，盗窃等

针对以上的发生安全事件，一般的响应流程如下：

1、快速识别危险程度：这一步一般需要由安全事件经理（Security Incident Manager）与安全运维中心（Security Operation Center）紧急联系相关部门了解受影响的范围，从而判断事件的危险程度，比如是否涉及关键的业务系统（SAP系统），是否影响File Share server 或者是 DC等比较关键的核心IT服务器等。

2、制定应急响应计划：由SOC搜索响应计划知识库，判断是否此类安全事件已有类似的先例，如有参照之前的计划，否则制定全新的响应计划。

3、执行应急响应计划：由SOC按照已制定的计划，协调反病毒AV，Network，服务器以及其他相关部门执行。这个过程可能包括确认杀毒软件可以查杀此类病毒及其变种，网络防火墙block所有可能连接C&C服务器的流量，服务器关闭所有的文件共享避免病毒传播，邮件服务器block所有相关的Spam mail等。

4、沟通和反馈响应结果：定期向上级领导或者客户反馈和报告响应结果，比如：每个2-4小时通报一次最新的结果和情况。

5、对此次事件的后续追踪：分析事件的root cause，编写事件报告，总结并更新已有的响应计划，如是新的安全事件，则制定全新的响应计划并入知识库储备。

 安全事件响应过程：

• 识别（Identification）
• 控制（Containment）
• 消除（Eradication）
• 恢复（Recovery）
• 总结（Lesson Learned）