“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
峰會(huì)上講過的議題,整理成文章,以供大家批評(píng)指正。對(duì)于企業(yè)應(yīng)急響應(yīng),我想只要從事安全工作的同學(xué)都有接觸,我也一樣,在甲方乙方工作的這幾年,處理過不少應(yīng)急響應(yīng)的事件,但是每個(gè)人都會(huì)有自己做事的方法,在
對(duì)于企業(yè)應(yīng)急響應(yīng),我想只要從事安全工作的同學(xué)都有接觸,我也一樣,在甲方乙方工作的這幾年,處理過不少應(yīng)急響應(yīng)的事件,但是每個(gè)人都會(huì)有自己做事的方法,在這里我主要分享一下我對(duì)應(yīng)急響應(yīng)的理解以及對(duì)碰到的一些案例。
0x00 什么時(shí)候做應(yīng)急響應(yīng)?
應(yīng)急響應(yīng),估計(jì)最近幾年聽到這個(gè)詞更多是因?yàn)楦鞔蠹追焦鹃_始建設(shè)和運(yùn)營自己的應(yīng)急響應(yīng)平臺(tái),也就是 xSRC。看起來對(duì)報(bào)告到這些地方的漏洞進(jìn)行處理就已經(jīng)成為企業(yè)應(yīng)急響應(yīng)的主要工作,但是以我之前在甲方親自參與建設(shè)應(yīng)急響應(yīng)平臺(tái)和去其他企業(yè)應(yīng)急響應(yīng)平臺(tái)提交漏洞的經(jīng)驗(yàn)來看,能真正把平臺(tái)上的漏洞當(dāng)時(shí)應(yīng)急響應(yīng)事件去處理的寥寥無幾,更多的只是:接收->處理這種簡單重復(fù)的流水線工作。因?yàn)樗麄儠?huì)覺得報(bào)告到這些地方的漏洞它的風(fēng)險(xiǎn)是可控的。
我理解的應(yīng)急響應(yīng)是對(duì)突發(fā)的未知的安全事件進(jìn)行應(yīng)急響應(yīng)處理。這種情況一般都是“被黑”了。“被黑”包括很多種:服務(wù)器被入侵,業(yè)務(wù)出現(xiàn)蠕蟲事件,用戶以及公司員工被釣魚攻擊,業(yè)務(wù)被 DDoS 攻擊,核心業(yè)務(wù)出現(xiàn)DNS、鏈路劫持攻擊等等等等。
0x01 為什么做應(yīng)急響應(yīng)?
我在峰會(huì)上說是被逼的,雖然只是開個(gè)玩笑,但是也能夠反映出做應(yīng)急響應(yīng)是一件苦差事,有的時(shí)候要做到 7*24 小時(shí)響應(yīng),我覺得是沒人喜歡這么一件苦差事的,但是作為安全人員這是我們的職責(zé)。
那說到底我們?yōu)槭裁醋鰬?yīng)急響應(yīng)呢,我覺得有以下幾個(gè)因素:
保障業(yè)務(wù)
還原攻擊
明確意圖
解決方案
查漏補(bǔ)缺
司法途徑
對(duì)于甲方的企業(yè)來說業(yè)務(wù)永遠(yuǎn)是第一位的,沒有業(yè)務(wù)何談安全,那么我們做應(yīng)急響應(yīng)首先就是要保障業(yè)務(wù)能夠正常運(yùn)行,其次是還原攻擊場景,攻擊者是通過什么途徑進(jìn)行的攻擊,業(yè)務(wù)中存在什么樣的漏洞,他的意圖是什么?竊取數(shù)據(jù)?炫耀技術(shù)?當(dāng)我們了解到前面的之后就需要提出解決方案,修復(fù)漏洞?還是加強(qiáng)訪問控制?增添監(jiān)控手段?等等,我們把當(dāng)前的問題解決掉之后,我們還需要查漏補(bǔ)缺,來解決業(yè)務(wù)中同樣的漏洞?最后就是需不需要司法的介入。
0x02 怎么做應(yīng)急響應(yīng)?
具體怎么做應(yīng)急響應(yīng),我之前根據(jù)自己做應(yīng)急響應(yīng)的經(jīng)驗(yàn)總結(jié)幾點(diǎn):
確定攻擊時(shí)間
查找攻擊線索
梳理攻擊流程
實(shí)施解決方案
定位攻擊者
確定攻擊時(shí)間能夠幫助我們縮小應(yīng)急響應(yīng)的范圍,有助于我們提高效率,查找攻擊線索,能夠讓我們知道攻擊者都做了什么事情,梳理攻擊流程則是還原整個(gè)攻擊場景,實(shí)施解決方案就是修復(fù)安全漏洞,切斷攻擊途徑,最后就是定位攻擊人,則是取證。
ps:定位攻擊者,我覺得羅卡定律說的挺好的:凡有接觸,必留痕跡。
0x03 為什么做反滲透?
一方面我們可以把被動(dòng)的局面轉(zhuǎn)變?yōu)橹鲃?dòng)的局面,在這種主動(dòng)的局面下我們能夠了解到攻擊者都對(duì)我們做了什么事情,做到什么程度,他下一步的目標(biāo)會(huì)是什么?最關(guān)鍵的我們能夠知道攻擊者是誰。
那么具體怎么做呢?就要用攻擊者的方法反擊攻擊者。說起來簡單,做起來可能就會(huì)發(fā)現(xiàn)很難,但是我們可以借助我們自身的優(yōu)勢,通過業(yè)務(wù)數(shù)據(jù)交叉對(duì)比來對(duì)攻擊者了解更多,甚至可以在攻擊者的后門里面加上攻擊代碼等。
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計(jì)算機(jī)病毒常用分析方法
2016-05-13 -
國內(nèi)首份汽車信息安全報(bào)告:智能汽車危險(xiǎn)!
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計(jì)算機(jī)病毒常用分析方法
2016-05-13 -
現(xiàn)代火車漏洞多多 入侵并非難事
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》