护网中的分析研判岗有多重要

护网中分析研判是属于高级工程师的工作，是攻防演练能否获胜的核心
响应作为遏制攻击、缩小攻击影响面的具体执行阶段，被视为攻防演练中的关键一步。但在对检测到的事件进行处置之前，有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”，攻击研判相当于整个事件响应流程的“军师”，承担分析判断安全事件和决定处置方式的任务。

攻击研判的定义及重要性

网络安全中的攻击研判，可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警，通过结合已有的经验和相关工具，来判断其是否为真实存在的攻击，并根据判断结果做出响应的响应、给出处置建议。
一般来说，对攻击事件的分析研判通常从以下 4 个维度进行：

对已发现攻击的来源进行研判；
综合分析攻击技术、工具和路径，判断其威胁性大小；
攻击意图研判；
处置方式判断。

攻击研判可以看作安全防护流程最为关键的一环。它上承安全告警的分析，下接安全处置的实施，是安全防护过程中技术含量最高的一步。
一个企业组织，拥有攻击研判能力是至关重要的。这样在发生告警的时候，它可以做出正确的判断，进而实施有效的措施，使情况恢复控制。攻击研判，同时也是事件响应过程中最具挑战性的环节：确定是否发生了事件，事件影响面有多大，后续如何遏制或根除异常、可疑活动。

攻击研判中的团队角色分类

为了有效地处理网络安全事件，企业组织需要一个专门从事攻击研判的团队。这个团队的任务是当安全告警发出时，按照既定计划对事件及时进行分析和判断。
以下是一个组织内进行全面、协调的攻击研判所需的角色列表。用户可以根据企业组织的规模、结构以及监管和行业要求来定制此列表。例如，一个人可以担任几个角色，或者几个人可以协调分担一个角色的责任
攻击研判团队由专业安全人员组成，每个人在处理事件时都发挥着重要作用。
安全运营中心。 对每个安全警报进行分类、收集证据并确定适当的行动。轮班工作的分析师必须对网络安全威胁有广泛的了解，他们能够访问各种安全平台和工具，例如SIEM 和 EDR 解决方案。这些工具会生大量的警报，安全分析师需要能够理解和解释这些数据。如果事件为高优先级或超出技能范围，则需上报事件管理团队。
研判管理团队。 管理团队向相关人员提供证据、建议和意见，并确定事件的节奏，确定需要完成哪些任务、谁来完成，以及应该在什么时候完成。所有事件流转和通信也都由管理团队完成。
安全专家团队。 他们只参与重要或高优先级的事件。与运营中心的分析师拥有广泛的技能组合不同，专家团队由具有专业技能的个人组成，例如恶意软件分析师和数字取证专家。该团队提供专家技术建议和分析，并由管理团队分配任务。
威胁狩猎团队。 尝试确定事件的根本原因并还原攻击路径，为后续响应工作提供信息。确定对手能够在环境中访问和操作的条件。这些条件将为事件分类和事件后续活动提供信息，以调整网络和系统，使其实现更好的安全防护功能

分析研判的 6 个步骤

攻击研判属于安全事件响应的一部分，为了更好地了解攻击研判在整个事件响应过程中的作用，我们可以把列出包括攻击研判在内的事件响应全流程，其中蓝色部分属于攻击研判的流程部分。
在攻防实战中，根据告警发生后防守方的响应流程，我们可以把攻击研判服务，划分为以下6 个步骤：

攻击告警真实性研判

在接到告警研判服务请求后，安全专家通过内置的研判溯源模型并结合实际环境，快速分析告警主机的进程和操作审计事件，确认告警的真假以及攻击者还做了其他哪些操作，明确告警主机是不是已被入侵，安全专家进行系统性的梳理并给出详细的研判分析报告
对在系统发出警报后好做出响应的处置以前，需要对警报进行确认，是误报，还是真的有告警事件发生？如果告警是真实的，那么攻击者是正在试图入侵的过程中，还是已经成功入侵？只有确认告警事件为攻击者已经成功入侵后，才会启动响应处置。
告警研判的结果和对应措施也可以用下表直观地展示出来：对在系统发出警报后好做出响应的处置以前，需要对警报进行确认，是误报，还是真的有告警事件发生？如果告警是真实的，那么攻击者是正在试图入侵的过程中，还是已经成功入侵？只有确认告警事件为攻击者已经成功入侵后，才会启动响应处置。
告警研判的结果和对应措施也可以用下表直观地展示出来

告警研判的结论	对应的响应措施
告警为误报不需要处理	需要进行策略优化
告警为尝试攻击，对系统无影响	需要后续持续关注
告警为真实告警，告警主机已被入侵	需要上报决策组进行应急响应

攻击事件调查

一旦确定了告警的真实性，安全专家要通过主机、流量侧的日志以及系统告警等信息，对攻击事件进行调查。并根据攻击行为特征建立一套通用的方法论，生成《XXX 事件调查报告》。用户可以根据这套方法论在自己的安全设备中添加检测规则，以便在下次面对相同攻击的时候快速做出响应。
在这个过程中，请参阅以下关键问题以全面了解攻击事件：

最初的攻击媒介是什么？（即，攻击方如何获得对网络的初始访问权限？）
攻击方如何访问环境？
攻击方是否利用漏洞来获得访问权或特权？
攻击方如何维持指挥和控制？
攻击方在网络或设备上是否有持久性？
持久性的方法是什么（例如，恶意软件后门、webshell、合法凭证、远程工具等）
哪些账户已被盗用，这些账户是什么权限级别（例如，域管理员、本地管理员、用户账户等）？
使用什么方法进行侦察？
是否发生横向移动？如何进行横向移动（例如，RDP、网络共享、恶意软件等）？
数据是否被泄露，如果有，是什么类型的，通过什么机制？

失陷范围排查

安全事件发生时，对于横向移动主机，安全专家首先会根据现有信息找出一台确认失陷的主机，然后以这台失陷主机的数据以及它的互联关系为线索，在用户系统中展开内网溯源，确认是否存在被横向渗透的主机，并循环此过程逐步找出所有失陷主机，确认攻击影响面及具体的失陷范围。

攻击过程还原

攻击溯源是事件响应的关键，也是安全能力提升的关键。通过对被攻击资产的分析与溯源，还原攻击路径与攻击手法，用户不仅能够有效提升攻防演练效果，还可增强常态化安全防御能力，将攻击事件转换为防御势能，避免二次攻击事件的发生

防守方成果报告整理

在攻防演练中，防守方在完成攻击确认到调查、还原的整个流程之后，需要整理出一份防守报告，阐述攻击的真实性、攻击的覆盖范围、攻击者的攻击路径及行为。并将报告提交给组织方，即可得分。

攻击清除处置建议

最后，根据对攻击者所用技术和攻击路径的反向梳理结果，安全团队要综合分析对方的攻击动机和意图，以及用户自身的防护水平及目的，给出合理的处置建议。

参考文献

GB/T 20988-2007 信息安全技术信息系统灾难恢复规范
GB/T 22080-2008 信息技术安全技术信息安全管理体系-要求
GB/T 22080-2016 信息安全技术信息安全管理体系要求
GB/T 22081-2008 信息技术安全技术信息安全管理实用规则
GB/T 22081-2016 信息技术安全技术信息安全控制实践指南
GB/T 24363-2009 信息安全技术信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南