“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析

2015-08-26 14:20:04 大云網(wǎng)　點(diǎn)擊量：評論 (0)

峰會上講過的議題，整理成文章，以供大家批評指正。對于企業(yè)應(yīng)急響應(yīng)，我想只要從事安全工作的同學(xué)都有接觸，我也一樣，在甲方乙方工作的這幾年，處理過不少應(yīng)急響應(yīng)的事件，但是每個人都會有自己做事的方法，在

峰會上講過的議題，整理成文章，以供大家批評指正。

對于企業(yè)應(yīng)急響應(yīng)，我想只要從事安全工作的同學(xué)都有接觸，我也一樣，在甲方乙方工作的這幾年，處理過不少應(yīng)急響應(yīng)的事件，但是每個人都會有自己做事的方法，在這里我主要分享一下我對應(yīng)急響應(yīng)的理解以及對碰到的一些案例。

0x00 什么時候做應(yīng)急響應(yīng)?

應(yīng)急響應(yīng)，估計最近幾年聽到這個詞更多是因為各大甲方公司開始建設(shè)和運(yùn)營自己的應(yīng)急響應(yīng)平臺，也就是 xSRC?？雌饋韺蟾娴竭@些地方的漏洞進(jìn)行處理就已經(jīng)成為企業(yè)應(yīng)急響應(yīng)的主要工作，但是以我之前在甲方親自參與建設(shè)應(yīng)急響應(yīng)平臺和去其他企業(yè)應(yīng)急響應(yīng)平臺提交漏洞的經(jīng)驗來看，能真正把平臺上的漏洞當(dāng)時應(yīng)急響應(yīng)事件去處理的寥寥無幾，更多的只是：接收->處理這種簡單重復(fù)的流水線工作。因為他們會覺得報告到這些地方的漏洞它的風(fēng)險是可控的。

我理解的應(yīng)急響應(yīng)是對突發(fā)的未知的安全事件進(jìn)行應(yīng)急響應(yīng)處理。這種情況一般都是“被黑”了。“被黑”包括很多種：服務(wù)器被入侵，業(yè)務(wù)出現(xiàn)蠕蟲事件，用戶以及公司員工被釣魚攻擊，業(yè)務(wù)被 DDoS 攻擊，核心業(yè)務(wù)出現(xiàn)DNS、鏈路劫持攻擊等等等等。

0x01 為什么做應(yīng)急響應(yīng)?

我在峰會上說是被逼的，雖然只是開個玩笑，但是也能夠反映出做應(yīng)急響應(yīng)是一件苦差事，有的時候要做到 7*24 小時響應(yīng)，我覺得是沒人喜歡這么一件苦差事的，但是作為安全人員這是我們的職責(zé)。

那說到底我們?yōu)槭裁醋鰬?yīng)急響應(yīng)呢，我覺得有以下幾個因素：

保障業(yè)務(wù)

還原攻擊

明確意圖

解決方案

查漏補(bǔ)缺

司法途徑

對于甲方的企業(yè)來說業(yè)務(wù)永遠(yuǎn)是第一位的，沒有業(yè)務(wù)何談安全，那么我們做應(yīng)急響應(yīng)首先就是要保障業(yè)務(wù)能夠正常運(yùn)行，其次是還原攻擊場景，攻擊者是通過什么途徑進(jìn)行的攻擊，業(yè)務(wù)中存在什么樣的漏洞，他的意圖是什么?竊取數(shù)據(jù)?炫耀技術(shù)?當(dāng)我們了解到前面的之后就需要提出解決方案，修復(fù)漏洞?還是加強(qiáng)訪問控制?增添監(jiān)控手段?等等，我們把當(dāng)前的問題解決掉之后，我們還需要查漏補(bǔ)缺，來解決業(yè)務(wù)中同樣的漏洞?最后就是需不需要司法的介入。

0x02 怎么做應(yīng)急響應(yīng)?

具體怎么做應(yīng)急響應(yīng)，我之前根據(jù)自己做應(yīng)急響應(yīng)的經(jīng)驗總結(jié)幾點(diǎn)：

確定攻擊時間

查找攻擊線索

梳理攻擊流程

實(shí)施解決方案

定位攻擊者

確定攻擊時間能夠幫助我們縮小應(yīng)急響應(yīng)的范圍，有助于我們提高效率，查找攻擊線索，能夠讓我們知道攻擊者都做了什么事情，梳理攻擊流程則是還原整個攻擊場景，實(shí)施解決方案就是修復(fù)安全漏洞，切斷攻擊途徑，最后就是定位攻擊人，則是取證。

ps：定位攻擊者，我覺得羅卡定律說的挺好的：凡有接觸，必留痕跡。

0x03 為什么做反滲透?

一方面我們可以把被動的局面轉(zhuǎn)變?yōu)橹鲃拥木置?，在這種主動的局面下我們能夠了解到攻擊者都對我們做了什么事情，做到什么程度，他下一步的目標(biāo)會是什么?最關(guān)鍵的我們能夠知道攻擊者是誰。

那么具體怎么做呢?就要用攻擊者的方法反擊攻擊者。說起來簡單，做起來可能就會發(fā)現(xiàn)很難，但是我們可以借助我們自身的優(yōu)勢，通過業(yè)務(wù)數(shù)據(jù)交叉對比來對攻擊者了解更多，甚至可以在攻擊者的后門里面加上攻擊代碼等。

責(zé)任編輯：大云網(wǎng)

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊