湖北武汉网络安全专家安全事件分析服务

​​​​​​1.1 术语、定义

 

威胁 Threat

 

可能对信息系统造成危害的不期望事件的潜在原由。

 

威胁情报 Threat Intelligence

 

威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件 HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。

 

失陷主机 The Fall of the Host

 

失陷主机是指已经被入侵成功的内网主机，失陷主机是组织内部潜伏的危害之一。

 

漏洞 Vulnerability

 

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

 

风险 Risk

 

一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。可通过事件的概率及其后果进行度量。

 

措施 Measures

 

为消除或控制信息安全威胁造成的风险在可接受的范围内的行为。

 

1.2 缩略词

 

UEBA（User and Entity Behavior Analytics）

 

用户和实体行为分析

 

APT（Advanced Persistent Threat）

 

高级可持续威胁

 

服务概述

 

 

2.1 服务概念

 

安全专家分析（Security Professional Analysis）服务是深信服安服专家通过定期或持续上门

 

的方式，综合运用丰富的技术经验及威胁情报知识库，借助深信服安全感知平台强大的设备对

 

接能力及安全检测能力结合客户业务应用、实际情况，以及安全专家现场的自主发现，对安全

 

日志、流量进行分析研判，并对发现的威胁、脆弱性、事件进行挖掘和定位，最终得出较为精

 

准的安全分析结果，通过面对面汇报与解读，使客户尽早发现关键风险问题，并通过提供可落

 

地修复处置建议和指导，推动客户闭环风险问题。

 

2.2 服务必要性

 

 

2.2.1 外部安全形势恶劣，安全工作压力大

 

根据 Verizon 2019 年数据泄露调查报告，攻击者往往在数分钟内就攻击成功，而作为防守方

 

发现攻击事件往往需要数周、甚至数月，造成这种情况的本质原因是攻防双方能力不对等。作

 

为攻击者，大多数由兴趣和利益驱动，因此催生了很多攻击高手，他们可随时调集互联网上的

 

各种资源，并且很有可能借助庞大的地下黑产链条对目标业务系统实施网络攻击。作为防守方，

 

安全部门能够调集的资源有限，威胁情报的来源不足，日常工作以单位业务为目标，难以一直

集中精力研究攻防技术，导致现阶段安全攻防能力不对等，安全工作压力大。

 

2.2.2 日志告警看不懂，安全工作要求高

 

面对巨大的安全工作压力，企业的安全能力就显得不足。在已经部署了相应的检测和防御设备之后

，首当其冲的不足就是安全分析处置人员的能力不足。纯靠安全设备无法有效处置海量告警日志；

也无法发现高危的安全威胁。网络安全表面看起来是攻防之间的博弈关系，但实际是海量攻击手法

和海量防御手法之间的较量。这意味着企业或组织要想拥有更强大的防御能力，就必须了解攻击的

各个阶段，并根据各个攻击阶段评估下一阶段攻击手法，制定防御措施。对于安全分析人员来说，

则只有了解攻击手法、精通防御手段以及具备安全数据分析能力才能更好地发现攻击行为和对应

的脆弱性。对于隐藏的安全威胁，甚至需要从攻击链的各个阶段进行深度挖掘，并给出实锤。如

网络攻击生命周期中，在执行攻击前，往往有侦察、利用和控制阶段。因此，对于以业务为首要

目标的安全部门来说，安全工作要求高、难度大。

 

 

2.2.3 安全问题不知如何整改，安全风险闭环难

 

对于企业和组织的安全部门来说，告警的产生只是安全工作的第一步，关键风险在哪里？背

后有哪些隐患？为什么会有这些隐患？这些隐患又该怎么处理？很多单位组织在发生安全风险

后不知道该怎么做，也无法找到这些安全风险背后的根因导，致安全事件频发等现象。所能做

的仅仅只能通报批评，缺乏专业化的处置及整改建议，风险问题酒得不到闭环，陷入恶性循环。

 

2.3 服务收益

 

深信服安全专家分析服务为单位组织定期开展安全日志的主动分析与安全事件的响应工作，可以为

单位组织带来的具体服务收益如下：通过定期上门服务，帮助客户形成周期性的检视、闭环工作模式，每一次服务都是相互衔接的，在一次次循环中，不断提升组织安全性，从恶性循环变成良性循环；

通过安全专家分析，提前识别内部网络和业务系统潜在的脆弱点和隐患，提出相应的整改建议，避免发生的信息安全事件，造成业务中断、经济损失或社会影响；基于客户实际情况，以攻防视角，深度挖掘分析客户看不懂的日志、告警，形成内外部威胁、安全事件等问题，并给出处置建议，提升单位组织安全能力；提供分析报告和解读服务，将分析结果结构化呈现，面对面讲解，使客户一目了然发现自己存在的问题和下一步工作的方向，避免千头万绪不知从何做起。

3实施标准和原则

 

3.1 政策文件或标准

 

深信服安全专家分析服务参考下列国内、国际相关的标准或框架：

50. 《信息安全技术 信息安全事件分类分级指》（GB/Z 20986-2007）
50. 《信息技术 安全技术 信息安全事件管理 第 1 部分：事件管理原理》（GB/T 20985.1-2017）
50. 《信息安全技术 信息安全风险处理实施指南》（GB/T 33132-2016）
50. 《信息安全技术 信息系统安全运维管理指南》（GB/T 36626-2018）
50. 《信息安全技术 网络安全威胁信息格式规范》（GB/T 36643-2018）
50. Gartner 自适应安全框架(Adaptive Security Architecture, ASA)
50. ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)模型

3.2 服务原则

深信服在提供安全专家分析服务中，将遵循下列原则。

标准化原则

严格遵守国家和行业的相关法规、标准，并参考国际的标准来实施。业务主导原则安全专家分析服务主要围绕安全设备呈现的安全日志开展工作，其保障核心是信息系统所承载的业务。规范性原则制订严谨的工作方案，通过规范的项目管理在人员安排、项目实施环节、质量保障和时间进

度等方面进行严格管控。