应急响应
什么是应急响应
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
应急响应和安全建设,这两者的区别就是应急响应是被动响应、安全建设是主动防御。
应急响应目的
做应急响应的目的是什么,或者说想要得到什么样的效果。
- 遏制事件发酵:不在安全从业人员范畴内
- 找到恶意代码:通过各种动静态分析找到恶意代码、感染文件,进行取样然后清除。
- 分析入侵路径,整理入侵时间线:结合各类日志以及恶意代码本身,将有关证据进行关联分析,构造证据链,重现攻击过程。
- 分析恶意代码行为:找到恶意程序的特征,包括行为、释放的文件、网络通信等,从而得到识别、防御和删除该病毒的方法,使得我们的其他机器能够防得住该恶意程序的攻击。
- 追踪溯源:一般只追溯到攻击IP,这部分更多的是根据前面四个部分刻画出来的攻击者画像去搜索相关的威胁情报。
常见的应急响应事件分类
- web入侵:网页挂马、主页篡改、Webshell、黑页、暗链、业务逻辑
系统入侵:病毒木马、勒索软件、远控后门、挖矿
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
应急响应流程
甲方安全人员:安全事件报警-->安全事件确认-->启动应急预案-->安全事件处理-->撰写安全事件报告-->应急工作总结
乙方安全人员:主要是安全事件处理阶段和后续的撰写安全事件报告阶段,也分一下:收集信息-->判断类型-->深入分析-->清理处置-->产出报告
事件发生后,要首先遏制影响,根据事件种类不同,遏制的方案也有所不同:
- 网站下线(web入侵类)
- 断网隔离(系统入侵类)
- 流量清洗(DDOS)
- 联系运营商(劫持类)
主要步骤
根据多年乙方应急响应的经验,把过程主要分为2个步骤:
- 入侵排查(看一下服务器上是否还存在各种后门
- 溯源(找到攻击者怎么打进来的,甚至定位到攻击者的身份
技巧
- 假设与求证:根据网络情况和开放的服务,猜测可能被怎么打进来的,再去进行验证
- 安全设备辅助:如果有安全设备或者安全软件,可结合告警和日志进行分析,减少工作量
- 眼见为实:不要完全信任客户所说的话,因为他们也不是专业的,可能会存在误判误导
注意事项
易失性原则:做应急响应免不了要做信息收集和取证的,但这里是有一定的先后顺序的,即最容易丢失的据,应该最先收集,其它的依次类推。
要素原则:做应急响应,主要是抓关键证据,即要素,这些要素包括样本、流量、日志、进程及模块、内存、启动项。
避害原则:做应急响应,要做到趋利避害,不能问题还没有解决,反而引入了新的问题。譬如,自己使用的工具被感染而不知情;给用户使用不恰当的工具或软件造成客户主机出现问题;给别人发样本,不加密,不压缩,导致别人误点中毒,最极端的场景就是给别人发勒索样本不加密压缩,导致别人误点中毒。
参考
本系列文章大量参考了bypass007的应急响应实战笔记,以及总结这些年应急响应的经验形成。
最近发现Windows 应急响应手册写得很细,针对Windows的,遇到解决不了的时候也可以参考一下。