企业安全建设之应急响应

随着网络安全环境变得更加复杂，界限变得模糊，安全事件频发，有的企业在安全建设初期或者没有合适的应急响应体系及流程，很多企业安全人员都变成了“救火队长”，陷入了出现问题，急忙解决事件的点对点恶性循环中，有时候甚至还要被领导误解，着实让人精疲力尽，心力交瘁，有苦说不出，头痛不已，那么，面对这样的情况，如何建立应急响应体系与流程呢？

一、目标

规范应急响应的流程，提升应急响应能力，减少“救火队长”的情况出现

二、威胁情报

说到应急响应，势必都会想到威胁情报，也可以说是情报驱动应急响应。那什么是威胁情报呢？旨在为面临威胁的资产主体提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。那怎么样开展威胁情报工作呢？可以从OODA模型、情报获取、情报分析、情报决策、情报处置这五个方面说起。

2.1 OODA模型

在实际的我们采用的是OODA循环（又叫博伊德环）模型，它是由Observation观察、Orientation判断、Decision决策、Action执行四个步骤，将行动前的动作，进行了一步步分解。这些步骤，可以让我们的行动，有据可依，通过这个循环，则可以让我们的行动更加系统化、理性化。

2.2 情报获取

我们在做威胁情报收集之时，获取的途径一般都是互联网上预警的漏洞，主要包括Twitter，BM X-Force Exchange，CNVD,以及360cert等各种厂商公众号，情报共享群等，当然肯定还需要注意监管机构预警的漏洞情报。

注意，一般甲方企业都会与很多厂商有项目合作，在情报收集这一块，可以跟各家安全厂商沟通，希望能免费帮忙提供威胁情报支持，当然在资金充足的情况下，也可以采用付费订阅的方式每周或每天发送至工作邮箱。

2.3 情报分析

收集完成情报之后，因为非常多的情报，我们需要进行初步的筛选，可以根据漏洞利用的难易程度，受影响范围，还有网上是否已经有POC来进行区分，也就是优先级，一般我们都会选择远程代码执行，任意代码执行，exp，poc的漏洞优先进行分析，这样可以尽量快速的处理，毕竟每个企业的安全人员都是非常少的。

2.4 情报决策

对筛选的漏洞进行分析后，一般我们都会将写个情报分析报告，其中会包括情报来源，情报类型，可利用情况，修复方式，受影响的资产（需特别注意对互联网可访问资产），是否已有poc，等，从而得出一个风险级别，发送给领导决策，审阅，一般高危以上的情报，且单位也有受影响的资产，这时都会直接找领导现场沟通，待同意后再进行下一步操作，切记，邮件一定要领导审阅。

2.5 情报处置

针对已筛选出的情报，领导也审阅完成，这时就根据内部的规范流程，准备好应急处置的方案，受影响的资产，反馈表等，提交流程给开发团队，对漏洞进行修复处置，这时我们也需要跟进验证漏洞的修复情况，直至修复完成。这一步的反馈表是为了防止有资产更新的情况未发现，需开发反馈的，如已有实时同步的资产管理平台，反馈表也可忽略。