WalBuk28/incident-response-maturity-wlg
GitHub: WalBuk28/incident-response-maturity-wlg
以虚构物流企业为案例,完成 SIM3 v2 事件响应成熟度评估与 STIX 2.1 威胁情报结构化映射的教学型安全项目。
Stars: 0 | Forks: 0
# 事件响应成熟度与威胁情报 — Winderby Logistics Group
一项防御性安全评估工作,旨在评估一家中型物流公司的**事件响应成熟度**,并将来自真实入侵场景的威胁情报进行结构化。包含两项互补的工作:
1. 对 *Winderby Logistics Group* (WLG) 的 **SIM3 (Security Incident Management Maturity Model, v2)** 评估 —— 涵盖组织、人员、工具和流程的 45 个参数 —— 以 **ENISA Basic** 成熟度目标为基准进行对标。
2. 对一起仓储自动化入侵进行 **STIX 2.1** 结构化处理,并结合 **IR 生命周期** (NIST SP 800-61) 演练一起可疑账号事件的排查过程。
## 组织概况
WLG 是一家虚构的英国物流运营商(拥有三个配送中心,混合的 IT/OT 环境,以及一名兼职分析师,并由仅在办公时间提供服务的 MSSP 提供支持)—— 这是一个非常真实的“处于数字化转型期”的中小企业案例,其事件响应能力是随机发展起来的。任务简报:评估他们应对安全事件的真实准备情况,并展示达到可防御的基线水平需要进行哪些改进。
## 核心发现
| 指标 | 结果 |
|---|---|
| 评估的 SIM3 参数 | **45** (O:11 · H:7 · T:10 · P:17) |
| 达到或高于 ENISA Basic | **8 / 45** |
| 低于 ENISA Basic 的差距 | **37 / 45** |
| 最薄弱的领域 | **流程** — 17 个参数中有 16 个低于目标 |
| 系统性根本原因 | 缺乏正式的 IR **授权、权限或服务描述** — 能力完全处于非正式状态 |
完整的逐项参数评分请参见
**[MATURITY-ASSESSMENT.md](MATURITY-ASSESSMENT.md)**。
## 评估方法
- **框架:** SIM3 v2 (Open CSIRT Foundation) — 这是 ENISA 和 FIRST 用于评估 CSIRT/SOC 能力的同一模型。每个参数根据*存在性*、*文档化*和*执行度*的成熟度进行打分,从 0(不存在)到 4(持续优化)。
- **基线:** 以 ENISA "Basic" 成熟度作为目标配置,因此每个得分都表示为**与公认标准之间的差距**,而不是抽象的数字。
- **证据:** WLG 公司概况和事件叙述 — 包括组织结构、工具使用情况以及事件期间观察到的行为。
- **输出:** 一份优先级的整改路线图,优先提升成本低、影响大的薄弱环节(授权、权限、服务描述、事件处理流程)。
## 威胁情报 — 仓储入侵事件
一项单独的练习将发生在 WLG Midlands 配送中心的逼真入侵事件结构化为可共享的威胁情报:
- 从 `WLG-WHCTRL02` 到一个东欧 IP 的出站 C2 风格流量
- 一个外观极具迷惑性的账号 (`svc-backup-old`) 在夜间创建的恶意计划任务
- 车队遥测身份验证失败、操作员笔记本电脑上的 USB 活动以及旧版 Windows Server 2008 R2 崩溃
映射到 **STIX 2.1** 对象(Threat Actor → Attack Pattern → Indicator →
Observed Data → Identity/Target)以及 **NIST SP 800-61 IR 生命周期** —
请参见 **[THREAT-INTEL-STIX.md](THREAT-INTEL-STIX.md)**。
## 此项目展示的能力
- 熟练运用正式的成熟度模型 (SIM3) 和公认的基线 (ENISA) — 即评估安全*计划*,而不仅仅是系统。
- 将混乱的组织现状转化为 CISO 可执行、具有可辩护性且划分优先级的路线图。
- 将事件数据结构化为标准化、可共享的威胁情报 (STIX),并将响应流程与 NIST SP 800-61 保持一致。
## 代码仓库
```
README.md this overview
MATURITY-ASSESSMENT.md full 45-parameter SIM3 scoring vs ENISA Basic + roadmap
THREAT-INTEL-STIX.md STIX 2.1 mapping + NIST SP 800-61 IR lifecycle
```
## 注意
Winderby Logistics Group 是一个虚构的教学场景;此处的所有数据均为合成数据。本仓库是我个人的分析和报告。
标签:STIX, 反取证, 威胁情报, 安全评估, 库, 应急响应, 开发者工具, 成熟度评估, 防御加固