应急响应 | 企业安全开发生命周期（SDL）实践

前言

应急响应并不仅仅是对被黑的机器进行检查是否中了botnet病毒、是否被rootkit或者是否被挂了webshell等操作。实际上，它涉及到的技术含量非常高，包括如何定位问题、如何修复漏洞以及如何防止类似问题再次发生等内容。因此，建立完善的应急响应机制和体系，提高应急处置能力，对于确保软件的安全性至关重要。

在传统软件开发生命周期中，响应阶段是与技术相关的最后一环节。微软在该阶段所推崇的安全活动为执行事件响应计划。

在实际落地时，可以扩展响应渠道，例如从漏洞预警信息监测、从SRC接收到产品相关的漏洞信息等入手。这些渠道可以帮助企业及时发现潜在的安全问题并采取措施进行修复。此外，还可以将被动式接收产品漏洞信息转变为每季度进行漏洞扫描，主动发现已上线产品的漏洞并进行安全响应。

目的

为了在发生安全事件时能够快速、有效地应对和处理这些事件，以保护系统和数据的安全和完整性。以下是一些具体的原因：

1. 减少损失：通过及时的应急响应，可以尽快地控制和消除安全事件的影响，从而减少企业的损失。
2. 提高安全性：应急响应可以帮助企业及时发现和修复安全漏洞，从而提高系统的安全性。
3. 遵守法规：许多国家和地区都有相关的法规要求企业必须建立完善的应急响应机制，并定期进行演练和测试。
4. 增强信誉：一个有效的应急响应计划可以提高企业的信誉度，增强客户对企业的信任感。
5. 提高竞争力：在同行业中，拥有高效应急响应能力的企业在面对安全威胁时更具优势，能够更快地恢复业务运营，从而保持竞争优势。

安全活动

安全响应阶段的安全活动主要围绕安全事件响应、季度漏洞扫描和安全威胁预警开展。这些活动旨在帮助企业及时发现和处理安全事件，提高企业的应急响应能力。

安全事件响应

当发生安全事件时，企业需要迅速启动应急响应计划，采取有效措施控制和消除安全事件的影响。这包括定位问题、修复漏洞、恢复受影响的系统和设备等。

• 应急响应计划制：定建立完善的应急响应机制和体系，明确在发生安全事件时的应对措施和流程。

• 应急预案编制：应包含目的、依据、范围、等级划分、处置流程、处置方法、参考事件等。

• 定期应急演练：通过模拟实际情况进行应急演练，可以帮助企业检验应急响应计划的有效性，并提高员工的应急处理能力和协同工作能力。尽可能模拟真实的安全事件场景，例如网络攻击、系统故障等。

季度漏洞扫描

企业需要定期对系统进行漏洞扫描，发现并及时修复安全漏洞，防止被黑客利用。这可以帮助企业提高系统的安全性，减少安全风险。

安全威胁预警

企业需要关注各种安全威胁信息，建立有效的安全威胁预警机制。这可以帮助企业及时发现潜在的安全问题，采取预防措施避免安全事件发生。

以下是一些关于如何进行漏洞预警的建议：

1. 建立漏洞库：企业应该建立一个漏洞库，收集和整理相关的漏洞信息，包括CVE漏洞、CNVD漏洞库、国内外安全公司的安全风险通告等。
2. 定期监测：企业应该定期对漏洞库进行监测，及时发现新的漏洞信息，并根据漏洞的严重程度和影响范围制定相应的应对措施。
3. 分析漏洞：企业应该对发现的漏洞进行分析，了解其原理和影响范围，以便更好地制定应对方案。
4. 及时修复：企业应该尽快修复发现的漏洞，以减少安全风险对业务的影响程度。
5. 持续改进：企业应该持续改进漏洞预警机制和体系，以适应不断变化的安全威胁和技术环境。

小结

安全响应需要通用、常规地进行。漏洞预警处置中的漏洞推修落实情况一直是公认的难题，因为存在漏洞的资产可能无法完全梳理清楚，这也反映出资产安全管理和漏洞管理的痛点，属于较为综合类的难题。

介入安全响应的思路是将能发现的资产先推修，持续地发现问题并解决能发现的问题。这种方法可以帮助企业及时发现和修复潜在的安全问题，提高系统的安全性。同时，通过持续地发现问题和解决问题，企业可以逐步完善自己的安全管理体系，提高应急响应能力。

在实施安全运营时，企业需要注意以下几点：

1. 建立完善的安全管理体系：企业需要建立完善的安全管理体系，包括资产管理、漏洞管理、事件响应等方面。
2. 定期进行安全评估：企业需要定期对系统进行安全评估，发现并修复潜在的安全问题。
3. 加强员工培训：企业需要加强员工的安全意识培训，提高他们的安全意识和技能。
4. 持续改进：企业需要持续改进自己的安全管理体系和技术手段，以适应不断变化的安全威胁和技术环境。

来源: https://www.freebuf.com/vuls/387893.html

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！

原文始发于微信公众号（白帽子左一）：应急响应 | 企业安全开发生命周期（SDL）实践