“企业应急响应和反渗透”之真实案例分析

2015-08-26 14:20:04 大云网　点击量：评论 (0)

峰会上讲过的议题，整理成文章，以供大家批评指正。对于企业应急响应，我想只要从事安全工作的同学都有接触，我也一样，在甲方乙方工作的这几年，处理过不少应急响应的事件，但是每个人都会有自己做事的方法，在

峰会上讲过的议题，整理成文章，以供大家批评指正。

对于企业应急响应，我想只要从事安全工作的同学都有接触，我也一样，在甲方乙方工作的这几年，处理过不少应急响应的事件，但是每个人都会有自己做事的方法，在这里我主要分享一下我对应急响应的理解以及对碰到的一些案例。

0x00 什么时候做应急响应?

应急响应，估计最近几年听到这个词更多是因为各大甲方公司开始建设和运营自己的应急响应平台，也就是 xSRC。看起来对报告到这些地方的漏洞进行处理就已经成为企业应急响应的主要工作，但是以我之前在甲方亲自参与建设应急响应平台和去其他企业应急响应平台提交漏洞的经验来看，能真正把平台上的漏洞当时应急响应事件去处理的寥寥无几，更多的只是：接收->处理这种简单重复的流水线工作。因为他们会觉得报告到这些地方的漏洞它的风险是可控的。

我理解的应急响应是对突发的未知的安全事件进行应急响应处理。这种情况一般都是“被黑”了。“被黑”包括很多种：服务器被入侵，业务出现蠕虫事件，用户以及公司员工被钓鱼攻击，业务被 DDoS 攻击，核心业务出现DNS、链路劫持攻击等等等等。

0x01 为什么做应急响应?

我在峰会上说是被逼的，虽然只是开个玩笑，但是也能够反映出做应急响应是一件苦差事，有的时候要做到 7*24 小时响应，我觉得是没人喜欢这么一件苦差事的，但是作为安全人员这是我们的职责。

那说到底我们为什么做应急响应呢，我觉得有以下几个因素：

保障业务

还原攻击

明确意图

解决方案

查漏补缺

司法途径

对于甲方的企业来说业务永远是第一位的，没有业务何谈安全，那么我们做应急响应首先就是要保障业务能够正常运行，其次是还原攻击场景，攻击者是通过什么途径进行的攻击，业务中存在什么样的漏洞，他的意图是什么?窃取数据?炫耀技术?当我们了解到前面的之后就需要提出解决方案，修复漏洞?还是加强访问控制?增添监控手段?等等，我们把当前的问题解决掉之后，我们还需要查漏补缺，来解决业务中同样的漏洞?最后就是需不需要司法的介入。

0x02 怎么做应急响应?

具体怎么做应急响应，我之前根据自己做应急响应的经验总结几点：

确定攻击时间

查找攻击线索

梳理攻击流程

实施解决方案

定位攻击者

确定攻击时间能够帮助我们缩小应急响应的范围，有助于我们提高效率，查找攻击线索，能够让我们知道攻击者都做了什么事情，梳理攻击流程则是还原整个攻击场景，实施解决方案就是修复安全漏洞，切断攻击途径，最后就是定位攻击人，则是取证。

ps：定位攻击者，我觉得罗卡定律说的挺好的：凡有接触，必留痕迹。

0x03 为什么做反渗透?

一方面我们可以把被动的局面转变为主动的局面，在这种主动的局面下我们能够了解到攻击者都对我们做了什么事情，做到什么程度，他下一步的目标会是什么?最关键的我们能够知道攻击者是谁。

那么具体怎么做呢?就要用攻击者的方法反击攻击者。说起来简单，做起来可能就会发现很难，但是我们可以借助我们自身的优势，通过业务数据交叉对比来对攻击者了解更多，甚至可以在攻击者的后门里面加上攻击代码等。