· 启动跨组织行动的跟踪能力;
· 指导分析和发现能力;
· 构建整体防御能力,确保有一致和有效的响应活动。
· 相关机构用户的报告;
· 协作方或第三方ICT服务商的报告;
· 组织内部或外部事件报告或异常状况发觉;
· 第三方报告的有关已知基础设施攻击、恶意代码、服务损坏等;
· 涉及一个及以上用户系统的网络入侵;
· 被攻陷的管理员账户。
· 非故意行为造成的事故;
· 用户点击钓鱼邮件但没有被攻击成功;
· 检测可疑和恶意活动的设备环境;
· 建立员工计划;
· 教育用户关于网络威胁和上报的流程;
· 利用网络威胁情报(CTI)主动识别潜在的恶意活动。
· 制定和测试遏制和根除的行动方案;
· 建立收集数字取证和其他数据或证据的手段。
事件响应计划文档化包括联合领导(或管理)的流程和过程,指定流程和过程中的资源配备和人员角色、岗位,设定多部门协作过程中的互通、互动和信息共享机制。
通过部署和实施监测技术和设备,让系统具备安全监测和监控能力,比如防病毒软件(AV)、端点监测和响应(EDR)、数据丢失防护(DLP)、入侵监测和防护(IDS/IPS)、主机/应用/云日志记录、网络流量/数据包捕获(PCAP)、安全信息和事件管理系统(SIEM)等等。
确保应急响应计划的相关人员经过培训和演练,能够随时准备应对网络安全事件。因此,需要对所有人力资源进行培训,培训资源可能来自内部、上级机构/部门的可用能力、第三方组织。同时定期进行恢复演习,以测试组织的可持续性计划和故障转移/备份/恢复系统的有效性,确保这些系统按计划运行。
网络威胁情报可包括威胁状况报告、威胁行动者简介和意图、组织目标和活动,以及更具体的威胁指标和行动方案。
将网络威胁指标和综合威胁信息实时同步至SIEM,可以结合其他防御功能来识别和阻止已知的恶意行为。
· 计算指标,如恶意软件特征的Yara规则和正则表达式,可检测已知的恶意代码或活动迹象;
· 模式和行为,如可用于检测攻击方的战术、技术和程序 (TTP) 的分析方法。
技术(Techniques):涉及攻击者使用的具体技术手段,包括利用软件漏洞、恶意软件的传播方式、数据加密和隐藏通信等。
程序(Procedures):指的是攻击者执行攻击的具体步骤,如入侵系统的详细过程、数据泄露的方法、以及如何维持对受害系统的控制等。
主动防御指的是通过蜜罐、蜜网或沙盒诱导或捕获攻击者的攻击行为和攻击痕迹,或者利用业务层面的虚假数据或信息探测入侵活动的迹象。
在事件应急发生前,需要构建起企业、单位或机关与相关部门的沟通、联络机制(包括方法、渠道、设备),且有统一的、一致的事件分类分级标准。
在攻击期间,需要采取措施确保事件响应和防御系统和流程的正常运转,尤其是在遭受破坏性攻击的情况下(比如勒索病毒攻击或者DDos攻击)。这些措施包括:
· 通过带外手段管理传感器和安全设备;
· 通过电话等非互联网手段(比如电子邮件)进行联络和通报;
· 适用加固的工作站进行监控和响应活动;
· 确保防御系统具有稳健的备份和恢复流程。
基础设施包括具备遏制、复制、分析、重组和记录受攻击主机的能力,具备电子取证和取证数据收集的能力,具备恶意软件处理的手段以及用于恶意软件分析的工具和沙盒工具,且能够为事件相关数据和保存建立安全存储(即只有事件响应人员才能访问)。
· 活动类型;
· 威胁的群体;
· 对手采用的TTP;
· 影响描述。
利用威胁情报创建规则和签名,用于识别攻击事件相关的活动,并确定其影响范围,以及查找事件活动相关信息,以方便确定事件类型,如恶意软件攻击、系统受损、会话劫持、数据损坏、数据外泄等等。
检测和分析的首要目标是确定是否发生了网络安全事件,如果发生,则需要进一步确定受到威胁或攻击的类型、范围和程度。因此,检测和分析阶段需要采用恰当的流程、技术和基线信息,监控、检测异常和可疑活动并发出警报,将潜在威胁和攻击与正常的授权操作区分开来。
1、上报事件:根据应急响应预案上报事件;
2、确定调查范围:利用现有信息确定攻击活动的范围;
3、收集和保存数据:方便对事件进行核实、分类、优先级设定、缓解、报告和归因,收集包括外部、内部和终端设备;
4、进行技术分析
将响应活动中获取的的日志进行存储和分析,将攻击者的行为从时间和活动维度进行关联。
· 攻击者是如何进入环境的?
· 攻击者是否利用漏洞获取访问权限或特权?
· 攻击者是如何维持指挥和控制能力的?
· 攻击者是否在网络或设备上有持久性访问能力?
· 持久性访问能力的方法或形式是什么(比如后门、Webshell、合法凭证、远程工具等)?
· 哪些账户被入侵,权限级别如何(如域管理员、本地管理员、用户账户等)?
· 攻击者侦察使用的是什么方法?(可检测和确定可能的攻击意图)。
· 是否怀疑存在横向移动?横向移动是如何进行的(如RDP、网络共享、恶意软件等)?
· 数据是否外泄,如果是,是什么类型的数据,通过什么机制外泄的?
评估和剖析受影响系统和网络,发现攻击行为的细微活动,尤其是利用正常的基线对比。
尝试找出事件的根本原因,收集可用于进一步搜索的威胁信息,为后续响应工作提供信息。识别出攻击者在当前环境内能够继续访问和运行的约束条件,为后续的响应策略和活动提供参考。
确定并记录可用于网络关联分析的事件指标。
将识别的TTP内容与ATT&CK模型进行对比,分析TTP是如何对应到攻击生命周期中的。
TTP描述的是为什么(试图实现的技术目标,即战术)、做什么(实现目标的机制,即技术)和怎么做(实现特定结果的方式,即程序)。
利用现有信息和响应活动的结果,确定任何其他可能受影响的系统、设备和账户,根据这些信息确定入侵指标(IOC)和TTP,可以为检测工具提供反馈。
受攻击机构利用网络安全应急预案向上级主管部门或第三方技术支撑单位寻求技术支持。
利用已经获得的攻击方的TTP信息,响应团队通过修改工具和防御策略延缓攻击方的攻击速度和攻击范围,提供攻击行为被发现的可能性。其重点在于预防和检测战术上,比如恶意执行、持久化、凭证访问、横向移动和2C(命令与控制),以最大化降低信息外泄或运营影响的概率。
遏制阶段的目的是通过消除攻击者的访问权限来防止进一步的破坏,并减少攻击事件产生的直接影响。因此攻击的情境不同,遏制的策略和手段也不同,比如针对无文件的恶意代码的抑制手段不同于抑制勒索病毒。
在评估遏制行动方案时,应当考虑:
· 遏制过程的持续时间、所需资源和遏制效果(如完全遏制、部分遏制、程度未知);
· 遏制操作对收集、保存、保护和记录攻击证据的影响。
遏制活动主要是指临时的缓解活动,以隔离、阻止攻击者的进一步行动,主要的遏制活动包括:
· 更新防火墙策略;
· 更新访问控制列表,阻止未经授权的访问;
· 关闭服务器的特定端口和服务;
· 更改系统管理员的密码、凭证或取消访问权限;
· 将攻击者引导至蜜罐或蜜网,监控攻击者的行为,同时收集攻击证据。
根除和恢复阶段的目标是消除事件的入侵痕迹(如删除恶意代码),减少漏洞和漏洞利用条件,并恢复系统的正常运行。在进行根除和恢复操作之前,需要确保所有在环境中的持久化手段都已经被查明,攻击者的行为已经得到充分遏制,并且取证也完整。
根除行动是消除所有入侵的证据和入侵的痕迹,防止攻击者继续在环境中存在,防止攻击者在环境中仍然留有后门等持久化的手段或工具。
根除手段包括:
· 重新构建系统;
· 重新构建硬件环境;
· 用纯净版本替换受损文件;
· 安装补丁;
· 重置被入侵的账户和密码。
这个阶段主要内容是重建系统和网络,恢复系统和业务的正常运行,并验证恢复计划是否成功执行,恢复过程中不存在任何攻击者的迹象。
事件后的活动是记录事件、撰写报告,向相关领导单位进行情况通报,强化环境防止类似事件的发生,并吸取经验教训,改进对未来应急事件的响应和处置。
这个阶段的活动包括调整监控系统和监测机制、撰写事件报告、经验教训总结。
其中,分析经验教训的内容包括基础设施问题、组织决策问题、流程问题、角色/职责/权限问题、技能培训问题、工具/系统问题。
作者:裴伟伟
2024年6月11日
洞源实验室
