本章为该系列的第12篇,也是事中迎战的第2篇,这一节让我们聊聊演练期间工作量最大的一项任务----安全事件监控与处置。
一、 角色分组
还记得【红蓝/演练】-事前准备(1)之演练组织中介绍的组织架构吗,实战阶段的主力军就是以下三个组:
监控组,负责对安全告警进行处置,及时闭环安全事件或疑似安全事件。
分析研判组,负责处理监控组提交的安全事件工单,对攻击事件进行深入分析,为事件做最终定性,针对成功攻击的事件制定防御方案。处置组,负责对安全风险进行收敛,包括漏洞修复、策略调优等。
二、 监控支撑体系
根据实际的运转经验,演练期间可采用三级支撑体系,即:
一线监控,对原始告警进行监控和初步研判。二线研判,对疑似安全事件进行分析和定性。
三线技术研究,对疑难杂症提供更深入的技术支持。
一线监控
一线监控由监控组承担,核心要求是快速响应。演练这种特殊时期,要保证每一台安全设备都有人监控,可以一人盯一个设备,也可以一人盯多个,主要看人力资源的情况。特殊时期,每一条告警都要逐条分析,拿不准的就抛出来联动排查。对于疑似安全事件的,要及时提交到二线进行处置,避免过多投入精力而影响监控时效性。
一线监控通常由驻场人员承担,为了保证一线的工作质量,一定要对其提出工作要求,在商务阶段就可以将相关要求和交付物落在合同条款中,每个班次人员至少要提交工作日报。
二线研判
二线研判由分析研判组承担,核心要求是准确。当有疑似安全事件发生时,一线监控人员需要将事件升级,由二线研判人员进一步分析,如认定为安全事件,二线人员需要根据事件的具体情况联系处置组进行处置,该下线下线,该修漏洞修漏洞,必要时还需要启动应急响应。
对于单一告警源无法研判的事件,二线人员还要组织一线的联动排查。对于有条件的防守单位,建议二线由企业内部员工承担,此岗位需要具备一定的攻防技术和事件处置经验,能识别攻击类型,能判断被攻击目标是否失陷,能抑制风险,能提出解决方案……冰冻三尺非一日之寒,防守单位在日常工作中就需要培养此类人员,关键时候能起大作用。
三线技术研究
有一定技术门槛的课题可以传递到三线进行技术研究,比如逆向分析、0day分析、溯源反制等。三线可以借助安全公司背后的技术能力做支撑,体量大一点的安全公司,在特殊时期都会建立自己的指挥中心或安全服务中台,以支撑全国的项目需求。
演练期间有采购安全公司驻场服务的防守单位,必要时可以向安全公司申请专业的技术支持。如果本单位二线研判人员具备足够强的技术能力和精力,也可以不依赖于安全公司的支撑,这样能保证内部的安全事件不外漏。活能干就行,谁干不重要。
三、协同联动作战室
战时涉及的人员很多,有事全靠吼是不行的,为了保证各事项高效处理,最好通过工单系统进行线上流转,同时建立内部沟通群组同步信息,如果企业没有部署私有聊天工具,注意不要在群中泄露敏感信息。
在实践中,我见过比较好的做法是搭建线上协同作战室,可同时提供工单和沟通的功能,每个需要调查的安全事件都创建事件沟通群,在群中可以指派处置人,事件处置完毕后将事件群标记为已处置,处置过程都保存在沟通群中,方便回溯,且沟通内容不会通过公网传播。
四、 总结
安全事件的高效监控和处置,核心是建立联动机制,包括设计组织流程和技术平台支撑。如果这篇文章你只能记住一件事的话,那请记住:多级支撑,协同作战。
原创 十九线菜鸟学安全
