由国际电信联盟推出的应急响应流程
一、准备阶段:主要是用于资产收集,评估分析的资产风险,组建团队,并进行安全加固。
准备阶段,又称为预防阶段,是体系的重点。准备工作包括确保架构的基础安全和部署主动 防御的机制这两个方面。准备阶段工作的部署如图 2 所示
a)架构的基础安全
深度上,部署网络纵深防御。明确生产区域、运维区域、办公区域、对外服务区域的网络安全边界。梳理并完善网络安全策略,按最小化原则配置网络访问权限。在各级网络边界合理部署抗 DDoS(分布式拒绝服务攻击)、IDS(入侵检测系统)、IPS(入侵防御系统)、VPN(虚拟专用网)网关、防火墙等有效的安全技术手段,确保东西向流量安全可控,实现网络纵深防御。广度上,做好攻击面防护,有针对性地对重点目标防护。
对于攻击面防护主要是做到如下四个方面:
1、互联网暴露面管理与防护:清理外围泄露的敏感信息,消除"无管理、无使用、无防护、无必要"的互联网暴露面资产,切实收敛暴露面;降低暴露面资产的弱口令、漏洞、多余账号等安全风险。
2、加强主机与系统防护:加固自有主机、系统的基线配置,清除安全漏洞隐患。
3、移动应用防护:压缩内外部移动应用数量,核查应用安全和业务逻辑安全。强化对移动应用后台系统的防护,加强访问权限控制,排查梳理业务逻辑、中间件等漏洞。
4、终端管理:统一管控终端和下放安全策略,如USB 接口有审核开放、禁止双网卡、禁止维护操作终端的外连行为等;部署防病毒、HIDS(主机入侵监测系统)等。
b)主动防御的部署
1、 安全态势感知:呈现各类安全预警信息,精准发现网络安全事件,定位攻击源,溯源事件过程和攻击路径,实现对安全事件的快速预警通告。
2、网络攻击行为诱捕:对重要的生产网络、核心网络以及业务服务器区域,部署蜜罐等攻击行为诱捕系统,实现对网络渗透行为的及时探测发现与诱捕反制。
3、边界防御:例如部署入侵防御。
二、检测阶段:
主要是日常的运维监控,判断可能发生的安全事件,按照应急响应流程上报。
检测是应急响应的基础,明晰内外部资产的状态,通过各类检测设备,实时发现攻击痕迹,快速定位,为后续响应和溯源提供信息和证据。
美国最大的军火商洛克希德马丁公司(Lockheed Martin)提出的"网络攻击链"( Cyber Kill Chain)模型,也被称为"网络杀伤链"模型,其描述了一次完整的网络攻击需要经历七个阶段,如图所示:
前期部署的防护手段,对应网络攻击杀伤链各阶段的基础数据见表 1
表 1 对应网络攻击杀伤链各阶段的基础数据
|----------------|-----------------------------------------------------------------------------------------------------------------------------------------|
| Kill-Chain 各阶段 | 捕获的基础数据 |
| 侦察目标 | 流量;IPS、IDS 告警;应用认证日志 |
| 制作工具 | 无 |
| 传送工具 | 邮件网关(如特定扩展名命中);Sandbox 告警;PC 的终端安全(含 HIPS 等)告警;互联网访问网关的威胁告警 |
| 触发工具 | NGFW 告警,WAF 告警;墙后的南北向流量监控;HIPS / HIDS 告警;漏洞信息;主机 OS 日志和 Sysmon / Osquery 等实现的增强日志;HTTP 访问,应用(如登录、访问),邮件,AD 日志等;入站 FW 日志或者入站流量监控日志;东西向流量 |
| 安装木马 | 服务器上尽可能多的监控信息,如进程 hash 和行为;HTTP 访问日志、完整请求 payload 和响应 payload 的前 150 字节 |
| 建立连接 | DNS 日志;出站流量中的域名或 IP 访问,证书;出站 FW 日志 |
| 执行攻击成功 | 服务器上尽可能多的监控信息,如进程 hash 和行为 |
表 2 对应网络攻击杀伤链各阶段的威胁情报
|----------------|-----------------------------------------------------------------------------------------------------------------------------------------------------|
| Kill-Chain 各阶段 | 常用的威胁情报数据 |
| 侦察目标 | 收件人邮件地址、目标国家、目标行业、目标个体、扫描特征 |
| 制作工具 | 算法、密钥、特定互斥量、执行流程、加解密方式、特定功能模块、对抗分析措施、源码工程路径、特定数据字串、语言编译环境、特定数字签名、组件组织架构、特别的错误 |
| 传送工具 | 邮件名特征、邮件正文特征、目标邮件和地址、恶意代码进入方式(鱼叉邮件、水坑攻击、U 盘、主动渗透) |
| 触发工具 | 特定特定事件的 CVE、0-day;通用 payload 特征 |
| 安装木马 | 主机特征:Mutex、写入的注册表项、文件名或路径等;Yara rule;特定主机监控程序;规则集;Webshell 特征;初始启动路径;持续启动方式;伪装正常模式 |
| 建立连接 | 域名、URL(统一资源定位符)、历史解析 IP、WHOIS;SSL 证书;域名注册信息;域名使用偏好;域名命名偏好;IP、IP 反查域名、历史域名解析、RDNS;IP 所在 ASN、地址位置;域名或 IP 信誉评级、标签、关联事件和关联通信样本;通信协议;后门工具;工具类型;工具配置;认证凭据 |
| 执行攻击成功 | 目标数据、打包方法、传输方法、破坏功能 |
三、抑制阶段:
主要任务是限制事件的扩散和减少影响的范围和影响的程度,同时监测抑制手段的效果。
抑制阶段根据检测阶段的告警结果和前期制定的应急预案,采用安全防护设备进行自动封堵或人工处置,包括网络封堵、设置黑洞路由、域名封堵、WAF 拦截、边界防火墙拦截、隔离主机等。
四、根除阶段:
通过分析这次安全事件,给出相应清除危害的方法。
传统的根除阶段重在排查遗漏的入侵者后门、同类设备或系统是否沦陷,加固同类设备或系统中可能被利用的漏洞。但随着网络攻防形势的发展,对企业或组织的溯源和反制能力要求也越来越高。
溯源需要充分利用检测阶段捕获的攻击行为告警、攻击 IP 等信息,例如通过分析捕获的恶意文件、钓鱼邮件的附件获取攻击者的 IP 或域名,结合威胁情报,还原攻击链,给出攻击者画像,追溯到真实的攻击者身份。还可以利用蜜罐、蜜网等诱捕手段获取到攻击者的信息
反制是对攻击者的服务器实施反向渗透,获取攻击者服务器主机权限,收集攻击者服务器上的攻击信息,并对部分攻击信息进行验证,进一步收集攻击者的身份信息,确保溯源的准确性。常用的溯源反制技术手段如下
1、IP 定位技术:根据 IP 定位物理地址。通过 IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息。
2、ID 追踪术:搜索引擎、社交平台、技术论坛,与社工库匹配。例如利用 ID 从技术论坛追溯邮箱,通过邮箱反追踪真实姓名,通过姓名找到相关简历信息。
3、网站 URL:通过域名 Whois 查询或者攻击者IP 的历史解析记录,获得注册人姓名、地址、电话和邮箱。
4、恶意样本:提取样本特征、用户名、ID、邮箱、C2 服务器等信息定位到攻击者。
5、社交账号:基于相关社交网站的 JSONP 接口敏感信息泄露,且网站登录未注销,可获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等。
五、恢复阶段:
把被破坏的数据或系统还原到正常运作状态。恢复后,需要验证系统网络连接、系统服务是否恢复到攻击破坏之前。观察是否有扫描、探测等行为,确保入侵者不能再次入侵。
六、跟踪阶段:
回顾应急响应的过程,事后分析总结,优化应急预案和响应流程,重新做风险分析。
跟踪阶段需要将安全事件过程复盘,梳理前期防护漏洞,更新防护策略,找出误报策略进行处理,把经验固化。利用自动安全运营的手段,优化分析模型,反向输入到安全防护设备中,形成闭环
攻防演练中的应急响应
实战攻防演练有四个显著的特点,即短时间、高强度的网络对抗、高级 0day 的投入、无破坏性攻击。由于时间太短,攻击者必然要从易到难地尝试,或者找准某个目标,直接利用其漏洞尝试。这就使得在准备阶段部署蜜罐和蜜网极为重要。蜜罐捕获的攻击样本,只要信息量充足,就可以溯源到攻击者的身份。以下为应急响应体系在某次攻防演练中的应急响应实例:
1、准备阶段:部署了远程桌面和 MySQL 数据库两个公网蜜罐。
2、进入实战监测阶段:某互联网暴露面资产遭受大量的扫描行为,筛选发现 MySQL 数据库蜜罐的一个扫描 IP 存在漏洞。该攻击 IP 只是扫描,未有成功入侵的痕迹。
3、抑制阶段:将该攻击 IP 纳入黑名单,限制进一步的探测访问。
4、根除阶段:尝试探测攻击 IP,发现该攻击 IP存在 phpmyadmin 弱口令,通过数据库写文件拿到webshell,获得了系统的 system 权限。很明显,这是攻击者的一台 windows"肉鸡",为了溯源攻击者的身份,需要找到攻击者留在这台"肉鸡"中的后门。分析后门程序,找到了其他几台被控制的"肉鸡",同时获得攻击者控制端的域名。在微步在线上查询该域名的历史解析 IP,并且对其中一个 IP 查找历史解析域名,查询到可疑的 QQ 号码,利用 QQ 号码溯源到攻击者的真实身份并取证。
5、恢复和跟踪总结:本实例中的攻击未成功入侵,因此无需恢复。同时总结获得从蜜罐部署、蜜罐捕获信息到反制、溯源的实战经验。
真实入侵攻击的应急响应
由于攻击时间不固定,真实入侵攻击比攻防演练攻击的时间跨度更大,所以需要从大量的探测行为中筛选有用信息。以下为应急响应的例子:
1、准备阶段:对重点保护的区域部署了流量探针、日志审计、态势感知等安全设备。
2、监测阶段:态势感知捕获到来自 IP 为 X.X.X.X 的攻击事件。
3、抑制阶段:将该攻击 IP 纳入黑名单,限制其进一步的探测访问。
4、根除阶段:在各大情报库中查询该 IP,将得到的结果整理表如 3
|------------|---------------|
| 情报库 | 查询结果 |
| 微步情报 | 垃圾邮件、恶意扫描等 |
| 360 威胁情报中心 | 存在port scan行为 |
| xxxxxx | xxxxxxx |
5、恢复和跟踪总结:假如确认该 IP 未入侵成功,将相关信息取证提交给上级部门。