@不喜丶不悲
2年前 提问
1个回答
应急响应建立威胁情报包括哪些方面
X0_0X
2年前
应急响应建立威胁情报包括以下方面:
OODA模型:在实际的我们采用的是OODA循环(又叫博伊德环)模型,它是由Observation观察、Orientation判断、Decision决策、Action执行四个步骤,将行动前的动作,进行了一步步分解。这些步骤,可以让我们的行动,有据可依,通过这个循环,则可以让我们的行动更加系统化、理性化。
情报获取:在情报收集这一块,可以跟各家安全厂商沟通,希望能免费帮忙提供威胁情报支持,当然在资金充足的情况下,也可以采用付费订阅的方式每周或每天发送至工作邮箱。
情报分析:可以根据漏洞利用的难易程度,受影响范围,还有网上是否已经有POC来进行区分,也就是优先级,一般我们都会选择远程代码执行,任意代码执行,exp,poc的漏洞优先进行分析,这样可以尽量快速的处理,毕竟每个企业的安全人员都是非常少的。
情报决策:一般我们都会将写个情报分析报告,其中会包括情报来源,情报类型,可利用情况,修复方式,受影响的资产,是否已有poc,等,从而得出一个风险级别,发送给领导决策,审阅,一般高危以上的情报,且单位也有受影响的资产,这时都会直接找领导现场沟通,待同意后再进行下一步操作,切记,邮件一定要领导审阅。
情报处置:针对已筛选出的情报,领导也审阅完成,这时就根据内部的规范流程,准备好应急处置的方案,受影响的资产,反馈表等,提交流程给开发团队,对漏洞进行修复处置,这时我们也需要跟进验证漏洞的修复情况,直至修复完成。