聊聊安全事件管理的那点事儿

小李是某家企业的安全负责人，公司的服务器被入侵了，由于发现的不是及时，应急响应及处置也很慢，给公司造成不可挽回的损失，然后被公司裁了祭天。

----------------以上虚构，请向下看---------------------------------‍‍

安全事件（Security Incident）是指由于外部攻击者或者内部员工有意或无意的操作，最终导致服务中的业务功能出现完全或间歇中断、数据异常、访问缓慢、用户敏感信息泄露等场景，并对业务收益、用户体验、企业形象等产生影响的意外现象。而安全事件管理(Security Incident Management)，说的是安全组织通过对突发安全事件的识别、分析、处置，从而降低对信息资产影响的过程，这是安全运营工作最重要的一部分。

安全事件管理主要包含事前准备，事中处理，以及事后反思三部分。

• 事前准备阶段

在事前准备阶段，企业应按自身实际情况制定相应的安全事件管理策略，通常包含安全事件管理组织与人员、定级标准、工具集准备及制定相应预案等内容。

建立安全事件管理团队，至少由专家组、安全应急响应工程师、业务人员以及政府关系人员组成。

• 信息安全委员会专家组，负责对相应安全事件预案、制度及规程内容进行审核并对履行过程进行监督管理，对升级的安全事件进行评估确认及指导，在安全事件的定级上有最终裁定权。

• 应急响应人员，负责安全事件相应的制度文件进行拟定及修改，制定相应的安全事件处理预案，对发生的安全事件级别进行识别评定，同时协助处理安全事件。

• 业务部门人员，负责执行业务恢复流程，执行安全解决方案，以及验证业务正常状态

• 政府关系人员，负责对内外的事件通报，以及配合调查取证上报电子证据给相应的监管部门。

建立适当的安全事件管理的组织及团队，确认相应人员的角色责任，能够有效的对安全事件进行处理，降低事件的影响，提高安全运营人员的工作效率。

制定安全事件定级，主要目的是通过事件定级确认修复时间，简单的定级标准及修复时间示例，如表所示。

安全事件定级标准及修复时间对应表

企业的安全事件定级标准应参考多个维度，如安全合规、信息泄露、用户敏感信息、网络安全、系统安全、页面篡改、木马病毒等进行安全事件的分级。

确定事件修复时间，如A级事件4个小时，B级事件1天，C级事件4天，D级事件7天。企业应按照实际情况制定修复时间，如在规定修复时间内无法完成，企业将启动灾难恢复计划。

为了更好的完成工作，安全人员应该建立相应的安全事件处理平台以及系统，持续收集相应的软件、程序及工具，并形成安全工具集，比如信息收集工具、漏洞扫描工具、流量分析工具、密码爆破工具、无线测试工具、网络嗅探工具、进程查看工具、流量分析工具、应用扫描工具、移动端测试工具、数据库扫描及注入工具、专用漏洞利用工具、压力测试工具以及木马专杀工具等。

工具没有好坏，当使用的人是黑客的时候，工具就变成了伤害企业的黑客工具，但是当使用的人是安全从业人员，那么工具就会变成帮助企业完善安全防护措施的安全工具。

除了准备相应的工具，安全人员还需要准备相应的安全预案，如业务方面、网络方面、系统方面以及内部攻击方面等相关流程及处理手段，并定期进行演练检验有效性。预案越完善，当事件来临的时候处理会越发从容。

比如业务服务遭受了拒绝服务攻击，安全运营人员通过预案流程进行处理，当发现有疑似攻击时，验证是否为攻击，如果确认为攻击，则立即进行封禁止损(通知网络部门进行近源封禁)，或按流程将业务流量切换到清洗机房，同时通知安全分析人员进行调查分析，安全分析人员通过调查取证，查明攻击的来源、攻击的类型，并形成证据链提交给政府关系团队进行上报。

• 事中处理阶段

在事中处理阶段，通过事件处理流程对疑似事件进行检测与验证，进行事件响应及处理，如事件上报、缓解止损、调查取证、业务恢复以及问题最终修复。

安全事件处理流程，如图所示。

安全事件处理流程中各阶段的行动包括以下内容：

• 在事件识别阶段，当安全运营人员收到疑是安全事件通知后，来源包含但不限于安全监控，内部扫描，外部提交、威胁情报以及其它渠道，安全运营人员需要立即进行识别验证，如果存在，则进入事件响应处理阶段。注：疑是B级以上安全事件由信息安全委员会专家组进行最后确认。

• 在事件响应处理阶段，根据安全预案对事件进行处理，由安全响应人员对安全事件进行止损缓解操作，如断开网络连接、迁移业务流量等，并将存在的问题转到相关责任部门处理，安全人员则对事件原因进行分析。

• 在事件分析阶段，安全人员对受影响的业务系统及主机系统进行调查取证，定位根本原因，给公关部门内外部通告提供相关证据，同时制定安全实施方案，对业务恢复提供支持。安全人员对安全事件发生的根本原因、影响范围、修复时长以及严重程度进行分析及评估，决定是否开展升级检查，如果开展检查，则进入事件升级阶段。

• 在业务恢复阶段，在事件分析阶段的同时，业务部门按照既定的业务恢复流程对业务进行恢复，并验证业务是否正常运行，如果正常，则上报处理结果并纪录到安全案例库。如未正常提供服务，则进入事件升级阶段。

• 在事件升级阶段，当决定否开展专项检测，则由专家组进行指导，启动专项流程，确认是否存在其它问题，执行事件调查分析，并进行业务恢复流程，事件升级或者紧急处理流程，专家组及安全人员从中进行指导并彻底修复或规避处理。如果无其它问题，则确认现有策略及基线是否需要变更，如果需要变更则进入策略改进阶段。

• 最后在安全策略改进阶段，在分析阶段安全问题发现的同时，确认是否修改安全策略的基线配置，如果确认修改配置，则进入配置变更流程，部署完成，并定期检查安全策略及基线配置的有效性标准。如果不修改，则完成本阶段。整个流程记录归档。至此整个安全事件处理流程结束。

而当安全人员在事件分析阶段，通过调查取证和追溯反制，固定证据，并形成证据链，由专家组根据事件的影响，决定是否提交给政府关系团队进行上报处理。

• 事后反思阶段

安全人员在事件处理完成后应该进行事件复盘、经验总结以及安全策略更新，每个事件都应进行总结与反思，查找不足之处，如处理流程、预案及工具准备、防护盲区，以及根据事件处理报告对比攻击者的思路及路径，从而总结经验教训。

在复盘过程中需要格外注意的三方面指标，这同样是安全运营的关键指标。

• 平均故障检测时间(MeanTimeToDetect，MTTD)是指事件发生到检测出所花费的时间平均值，用于查看安全事件的检测速度，验证安全检测能力有效性以及检测能力是否全面覆盖。

    MTTD=(S1t-D1t)+(S2t-D2t)+(Snt-Dnt)/n(S是安全事件，t是时间，D是检测，1,2,...n是次数)

• 平均修复时间(MeanTimeToRepair，MTTR)是事件发生后修复正常时间的平均值，用于查看安全事件的解决速度，验证安全协同能力以及业务系统的恢复能力有效性以及是否需要改进及优化。

    MTTR=总修复时间/事件次数

• 平均无故障间隔(MeanTimeBetweenFailure，MTBF)是指同类型安全事件再次发生时间的平均值，用于查看安全事件的发生频率，验证安全策略有效性以及策略措施是否需要更新。

    MTBF=总运行时间/安全事件发生次数

安全组织通过对整个事件的复盘，根据这些指标找到安全策略措施的不足，如处理流程、工具、预案以及防护盲区等，从而更新相应的防护策略措施，优化相应流程，更新应急预案，提高事件检测速度与解决速度，最终提升安全防护能力。

安全事件管理是企业安全运营体系中非常重要的一部分，加强对安全事件前、中、后阶段管 理，做好事件应急响应，有利于企业安全事件的快速处理和安全防护策略的更新，从而持续 提升企业安全保护水平。

PS：应该再顺一顺语言的，有事，先发了，大家看一乐。‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

原文始发于微信公众号（安全管理杂谈）：聊聊安全事件管理的那点事儿