“企業(yè)應急響應和反滲透”之真實案例分析

2015-08-26 14:20:04 大云網(wǎng)　點擊量：評論 (0)

峰會上講過的議題，整理成文章，以供大家批評指正。對于企業(yè)應急響應，我想只要從事安全工作的同學都有接觸，我也一樣，在甲方乙方工作的這幾年，處理過不少應急響應的事件，但是每個人都會有自己做事的方法，在

峰會上講過的議題，整理成文章，以供大家批評指正。

對于企業(yè)應急響應，我想只要從事安全工作的同學都有接觸，我也一樣，在甲方乙方工作的這幾年，處理過不少應急響應的事件，但是每個人都會有自己做事的方法，在這里我主要分享一下我對應急響應的理解以及對碰到的一些案例。

0x00 什么時候做應急響應?

應急響應，估計最近幾年聽到這個詞更多是因為各大甲方公司開始建設和運營自己的應急響應平臺，也就是 xSRC。看起來對報告到這些地方的漏洞進行處理就已經(jīng)成為企業(yè)應急響應的主要工作，但是以我之前在甲方親自參與建設應急響應平臺和去其他企業(yè)應急響應平臺提交漏洞的經(jīng)驗來看，能真正把平臺上的漏洞當時應急響應事件去處理的寥寥無幾，更多的只是：接收->處理這種簡單重復的流水線工作。因為他們會覺得報告到這些地方的漏洞它的風險是可控的。

我理解的應急響應是對突發(fā)的未知的安全事件進行應急響應處理。這種情況一般都是“被黑”了。“被黑”包括很多種：服務器被入侵，業(yè)務出現(xiàn)蠕蟲事件，用戶以及公司員工被釣魚攻擊，業(yè)務被 DDoS 攻擊，核心業(yè)務出現(xiàn)DNS、鏈路劫持攻擊等等等等。

0x01 為什么做應急響應?

我在峰會上說是被逼的，雖然只是開個玩笑，但是也能夠反映出做應急響應是一件苦差事，有的時候要做到 7*24 小時響應，我覺得是沒人喜歡這么一件苦差事的，但是作為安全人員這是我們的職責。

那說到底我們?yōu)槭裁醋鰬表憫兀矣X得有以下幾個因素：

保障業(yè)務

還原攻擊

明確意圖

解決方案

查漏補缺

司法途徑

對于甲方的企業(yè)來說業(yè)務永遠是第一位的，沒有業(yè)務何談安全，那么我們做應急響應首先就是要保障業(yè)務能夠正常運行，其次是還原攻擊場景，攻擊者是通過什么途徑進行的攻擊，業(yè)務中存在什么樣的漏洞，他的意圖是什么?竊取數(shù)據(jù)?炫耀技術?當我們了解到前面的之后就需要提出解決方案，修復漏洞?還是加強訪問控制?增添監(jiān)控手段?等等，我們把當前的問題解決掉之后，我們還需要查漏補缺，來解決業(yè)務中同樣的漏洞?最后就是需不需要司法的介入。

0x02 怎么做應急響應?

具體怎么做應急響應，我之前根據(jù)自己做應急響應的經(jīng)驗總結幾點：

確定攻擊時間

查找攻擊線索

梳理攻擊流程

實施解決方案

定位攻擊者

確定攻擊時間能夠幫助我們縮小應急響應的范圍，有助于我們提高效率，查找攻擊線索，能夠讓我們知道攻擊者都做了什么事情，梳理攻擊流程則是還原整個攻擊場景，實施解決方案就是修復安全漏洞，切斷攻擊途徑，最后就是定位攻擊人，則是取證。

ps：定位攻擊者，我覺得羅卡定律說的挺好的：凡有接觸，必留痕跡。

0x03 為什么做反滲透?

一方面我們可以把被動的局面轉(zhuǎn)變?yōu)橹鲃拥木置妫谶@種主動的局面下我們能夠了解到攻擊者都對我們做了什么事情，做到什么程度，他下一步的目標會是什么?最關鍵的我們能夠知道攻擊者是誰。

那么具體怎么做呢?就要用攻擊者的方法反擊攻擊者。說起來簡單，做起來可能就會發(fā)現(xiàn)很難，但是我們可以借助我們自身的優(yōu)勢，通過業(yè)務數(shù)據(jù)交叉對比來對攻擊者了解更多，甚至可以在攻擊者的后門里面加上攻擊代碼等。