安全运营中的告警\事件定级

机翻了一下。

告警等使用以下公式计算得出：

Severity = (Critality + Lethality) – (System Countermeasures + Network Countermeasures）

1. Critality：攻击造成伤害的可能性有多大？

（分数 = 潜在伤害）

• 5：漏洞存在。攻击者可以获得 root 或管理员权限。攻击者可以实施拒绝服务。
• 4：存在漏洞。攻击者可以获得用户级别的访问权限。攻击者可以实施拒绝服务。
• 3：不存在已知漏洞。攻击者可以获得 root 或管理员权限。攻击者可能会导致服务降级。
• 2：不存在已知漏洞。攻击者可以获得用户级别的访问权限。
• 1：不存在已知漏洞。攻击者无法访问。

2. Lethality：攻击的目标是什么？（分数= 目标）

• 5：核心服务，如关键路由器、防火墙、VPN、IDS系统、DNS服务器或身份验证服务器
• 4：电子邮件、Web、数据库和关键应用服务器
• 3：不太重要的应用服务器
• 2：商务桌面系统
• 1：个人终端

3. System Countermeasures：采取了哪些基于主机的预防措施？

（分数=对策）

• 5：应用了适用补丁的当前操作系统。服务器已通过漏洞扫描进行加固和验证。运行基于主机的 IDS 或完整性检查器。存在反病毒签名并已应用于目标系统。
• 4：应用了适用补丁的当前操作系统。操作系统已加固。存在反病毒签名并已应用于目标系统。
• 3：应用了最新补丁的当前操作系统。防病毒签名是最新的。
• 2：当前的操作系统，但缺少一些适用的补丁。防病毒签名不存在或尚未应用于目标系统。
• 1：较旧的操作系统，包括 Windows NT 3.51、Solaris 2.6、Windows 95/98/ME。没有杀毒软件保护。

4. Network Countermeasures：有哪些基于网络的预防措施？（分数=对策）

• 5：限制性（即“拒绝所有允许的除外”）防火墙。防火墙规则已通过渗透测试验证。包括 VPN 在内的所有外部连接都通过（而不是绕过）防火墙。实现了基于网络的 IDS。电子邮件网关过滤此病毒使用的附件。
• 4：限制性防火墙。外部连接（VPN、无线、互联网、业务合作伙伴等）受防火墙保护。电子邮件网关过滤此病毒使用的附件。
• 3：限制性防火墙。电子邮件网关过滤常见的可执行附件。
• 2：允许的防火墙（即“接受所有但”）或允许的服务（例如，HTTP、SMTP）。电子邮件网关不会过滤此病毒使用的所有附件。
• 1：没有实施防火墙。电子邮件网关不过滤任何附件。

使用上面定义的公式的结果，警报级别指示器通常会反映如下严重级别：

低：-8 到 -5

被保护：-4 到 -2

风险上升：-1 到 +2

高：+3 至 +5

严重：+6 至 +8

低

除了对已知黑客活动、已知病毒或其他恶意活动的正常关注之外，不存在异常活动。举例：

• 网络正常探测
• 低风险病毒

采取措施：

• 继续常规预防措施，包括应用供应商安全补丁和定期更新防病毒软件签名文件。
• 继续日常安全监控。
• 确保人员接受有关网络安全政策的适当培训。

被保护

表示存在黑客攻击、病毒或其他恶意活动增加的一般风险。存在恶意网络活动的可能性，但尚未发现已知漏洞，或已发现已知漏洞但未发生重大影响。

举例：

• 发现了一个严重漏洞，但没有报告任何漏洞。

• 一个严重的漏洞正在被利用，但没有产生重大影响。

• 一种新病毒被发现有可能迅速传播。

• 有增加探测或扫描的可靠警告。

• 非关键系统的妥协不会导致数据丢失。

  采取措施：

• 继续上一级推荐的操作。

• 识别易受攻击的系统。

• 实施适当的对策来保护易受攻击的系统。

• 如果可用，在下一个常规周期测试和实施补丁、安装防病毒更新等。

风险上升

表示由于黑客攻击、病毒或其他损害系统或减少服务的恶意活动增加而导致的重大风险。在此级别，有已知漏洞正在被利用，造成中等程度的破坏或破坏，或者造成重大破坏或破坏的可能性很高。

举例：

• 存在对关键漏洞的利用可能造成重大损害。
• 一个严重的漏洞正在被利用，并产生了中等影响。
• 包含敏感信息的安全或关键系统遭到破坏。
• 如果适当，包含非敏感信息的关键系统会受到损害。
• 病毒正在整个 Internet 中快速传播，导致网络流量过大。
• 存在分布式拒绝服务攻击。

采取措施：

• 继续以前级别的建议操作。
• 识别易受攻击的系统。
• 加强对关键系统的监控。
• 立即实施适当的对策来保护易受攻击的关键系统。
• 在可用的情况下，尽快测试和实施补丁、安装防病毒更新等。

高

表示黑客攻击、病毒或其他恶意网络活动增加的高风险，这些活动针对或破坏核心基础设施、导致多个服务中断、导致多个系统破坏或破坏关键基础设施。在这个级别上，漏洞被利用并造成高水平的破坏或破坏，或者严重破坏或破坏的可能性很高。

举例：

• 存在对可能造成严重破坏的关键漏洞的利用。
• 一个严重的漏洞正在被利用，并产生了重大影响。
• 攻击者已获得受感染系统的管理权限。
• 有多种破坏性或破坏性病毒攻击。
• 针对关键基础设施服务的多次拒绝服务攻击。

采取措施：

• 继续以前级别的建议操作。
• 密切监控安全机制，包括防火墙、Web 日志文件、防病毒网关、系统日志文件等，以发现异常活动。
• 考虑限制或关闭与外部网络（如 Internet）的不太重要的连接。
• 考虑隔离任务关键性较低的内部网络，以遏制或限制事件的可能性。
• 考虑使用替代通信方法，例如电话、传真或无线电来代替电子邮件和其他形式的电子通信。
• 如果可用，请立即测试和实施补丁、防病毒更新等。

严重

表示存在黑客攻击、病毒或其他恶意活动的严重风险，从而导致广泛中断和/或对没有已知补救措施的系统造成重大破坏性损害，或削弱一个或多个关键基础设施部门。在这个级别上，漏洞被利用，对关键基础设施资产造成严重或广泛的破坏或破坏。

举例：

• 完全网络故障
• 关键任务应用程序故障
• 关键系统的管理控制受损或丧失
• 关键监控和数据采集 (SCADA) 系统丢失
• 潜在的或实际的生命损失或对国家健康或经济安全的重大影响

采取措施：

• 继续以前级别的建议操作。
• 关闭与 Internet 和外部业务合作伙伴的连接，直到采取适当的纠正措施。
• 隔离内部网络以遏制或限制损害或中断。
• 必要时使用电话、传真或无线电等替代通信方式来代替电子邮件和其他形式的电子通信。