网络安全威胁情报之事件响应周期
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
就像我们需要一种用于讨论情报概念的标准语言一样,我们需要一种语言来讨论事件。这个过程可以从防御者角度以及攻击者角度两方面来看。让我们从防御者开始。
事件响应周期由入侵检测和事件响应的主要步骤组成。这种模型的目标是审视未知类型的攻击(钓鱼、Web入侵、SQL注入等)并概括所有这些攻击的通用步骤。图1说明了这个循环周期。
图1 事件响应周期
关于事件响应周期的概念一开始有一些争论。第一个相关文献似乎来自美国国家标准与技术研究院(National Institute of Standards and Technology)关于事件响应的重要文件“NIST 800-61Computer Security Incident Handling Guide”。这个指南是政府机构处理安全事件的基础。尽管这个文件介绍了大量关键概念,但其中最重要的一点是对事件响应周期的描述,它为事件响应过程提供了防御者的视角。
一、预备
对于一个防御者来说,事件发生的第一个阶段是在攻击开始之前:预备阶段。预备工作是防御者通过部署新的检测系统、创建和更新签名以及了解系统基线和网络活动来获取先机。这是网络安全架构和安全运营的组合。其中许多步骤超出了安全团队的范围,这里还会涉及网络运维、网络架构设计、系统管理,甚至一线IT支撑服务。
预备应着重于四个关键要素,其中两个是技术性的,另两个是非技术性的:
监测(Telemetry)
你无法发现你看不到的东西。事件响应者需要专门的系统来识别和调查入侵。这些系统的范围从网络到主机,并应在多个层面提供调查各种活动的能力。
加固(Hardening)
比快速识别入侵更好的唯一事情就是什么事也没有发生。预备工作应确保补丁被正确安装、配置被锁定,以及其他能阻挡攻击的安全工具,比如虚拟私有网络(VPN)和防火墙等已被正确配置。
流程与文档(Process and documentation)
在非技术方面,流程是可以提前准备的第一道防线。在事件发生时,最糟糕的莫过于手忙脚乱地试图弄清楚自己在做什么。有了流程(例如应急响应预案、通知机制和沟通机制),定期梳理有关网络配置、系统配置和系统所有者等常见问题的文档,有利于加快响应速度。
演练(Practice)
预备的最后一件事就是定期开展预案演练。这将帮助你提前识别并纠正未来应对事件时会出现的问题。最好的事件响应团队是那些一起经历过事件的团队,最好的办法就是演练。
在讨论计算机网络防御时,很多人能很快列出攻击者拥有的所有优势。这些优势大部分都令人惊讶:在计算机网络利用攻击中,攻击者可以选择攻击的位置和时间。很多人没有考虑到防御者的关键优势:即应对进攻的能力。对手可以进行侦测,但是在许多情况下,攻击的对象是一个黑匣子,就算黑客攻进来后,他依然没有完全理解攻击目标。防御者可以通过充分利用这一点来做足准备。
二、识别
识别阶段是防御者识别攻击者如何影响其环境的阶段。这里可以有多种方法:
识别进入网络的攻击者,例如针对服务器的攻击或传入的网络钓鱼电子邮件。
发现来自受感染主机的C2流量。
当攻击者开始窃取数据时,看到大量的流量飙升。
在你当地的联邦调查局接受特工的访问。
最后,常见的情况是,在Brian Krebs的一篇文章中被曝光。
无论是哪种方式,识别阶段始于你意识到网络资源受到了攻击。在事件响应周期的模型中,识别阶段是整个入侵检测阶段,这是个涉及许多细节的复杂话题。在这里显然是合理简化了,因为这个周期的重点是事件响应的端到端流程。这个阶段通常会引发一个事件调查,在开始直接响应之前识别更多关于攻击和攻击者的信息。威胁情报的关键目标之一就是增强识别阶段,提高早期识别攻击者的方法的准确性和数量。
从事件响应的角度来看,识别阶段不是简单地了解发生或学习新攻击者的攻击方式。识别阶段开始时,攻击已对用户、系统或资源有直接影响,因为这是一个事件,必须有影响。
另一方面,如果对手有能力、意图和机会,那么对手确实构成威胁。这不是事件周期的开始,而是情报周期。只有在你的环境中识别出对手之后,才会开始一个事件。
三、遏制
前两个阶段可以认为主要是被动的,侧重于信息收集。实际响应措施的第一阶段(即针对网络攻击采取的具体行动)是遏制。遏制是一开始尝试减缓攻击者的行为,短平快地控制风险,同时准备更长期的响应。这些短期的响应可能不会使攻击停止,但它们大大降低了攻击者继续实现目标的能力。这些行动应该以迅速而受控的方式进行,以限制对手的反击机会。
常见的遏制措施如下:
在网络交换机上禁用某台受感染计算机的连接端口(断网操作)。
阻断到恶意网络资源的访问,如IP(在防火墙)、域名或特定的URL(通过Proxy网络代理)。
在控制入侵者的情况下临时锁定用户账号。
禁用对手正在利用的系统服务或软件。
在许多事件响应的案例中,防御者可以选择完全跳过遏制阶段。风险遏制通过改变环境缓解进攻或使对手出局,但有时对手可能仍可以控制环境。
绕过遏制
遏制对于那些进攻方法(使用商业恶意软件)有限,无法应变的菜鸟对手往往是最有效的。那么复杂的对手呢?在许多情况下,遏制阶段可以阻挡他们。他们可能会建立新的工具,建立二级后门,甚至开始破坏性的攻击。因此,大多数事件响应最终可能需要采取消除措施。
四、消除
消除是中长期的修复努力,意在保持良好状态使攻击者出局(不像遏制阶段的临时措施)。这些行动应该经过深思熟虑,可能需要花费大量的时间和资源进行部署。它们专注于抵御对手未来的大部分攻击计划。
常见的消除措施如下:
删除对手安装的所有恶意软件和工具。
重置并修复所有受影响的用户和服务账号。
重新创建攻击者可能已获取的密钥,例如共享密码,证书和令牌。
响应者往往会采取斩草除根的方式消除风险。在这种情况下,应急人员很可能在系统无任何入侵痕迹的情况下采取补救措施。例如,在攻击者访问一个VPN服务器之后重新生成所有的VPN证书。这种方法在根除不知道自己不知道的风险方面是有效的。在这种情况下,我们不可能100%知道对手做了什么,最终我们需要为这些措施付出许多努力。
必要的行动方式取决于所涉及的服务或信息的种类。在活动目录管理的Windows环境中执行全部密码重置相对简单,在主流浏览器中重新生成并重新部署带域锁定的扩展验证(EV)TLS证书非常困难。事件响应团队需要与企业风险管理团队和系统/应用管理团队合作,以确定在这些情况下要走多远。
擦除并重装VS移除
信息技术和安全团队之间最常见的辩论之一,就是如何处理感染恶意软件的系统。防病毒系统宣称可以移除恶意软件,但是大多数有经验的事件响应者过去一直被这种攻击困扰,他们更愿意坚持全面清除系统并重装操作系统。以史为鉴的做法是关键,每个组织在这一点上都需要为自己而战。
在2015年的春天,宾夕法尼亚州立大学为了响应入侵行为将自己的网络断网了三天。之后,必须恢复网络并上线正常服务。这样的恢复需要从系统中删除恶意软件,权限重置(如密码和证书等),修补软件以及许多其他更改,以彻底消除攻击者的存在并限制攻击者返回的能力。因此在开展上述整治行动之前,将整个网络离线处理(限制攻击者在修复阶段的攻击应变能力),在我们应对一个具备持久化攻击威胁的对手时,是一种常见的模式。
五、恢复
遏制和消除往往需要采取激烈的行动。恢复是回到无事件状态的过程。在某些方面,攻击本身需要的恢复较少,更多的是源自事件响应者采取的行动。
例如,如果从用户那里获取受感染系统进行取证分析,则恢复阶段涉及返还或更换用户的系统,以便用户可以继续他的工作。如果整个网络受到入侵,恢复阶段就是铲除攻击者在整个网络上采取的任何行动,这可能是一个漫长的过程。
这个阶段取决于前两个阶段所采取的行动,攻击者的方法以及受到攻击的资源。它通常需要与其他团队进行协调,例如桌面管理员和网络工程师。
事件响应经常是团体行动,需要各种安全和非安全团队的行动,而在恢复阶段体现得尤其明显。安全性可能会为系统恢复的方式设定一定的要求(其中大部分将在消除期间进行),但在恢复阶段,在事件响应团队的任务完成后,恢复主要由IT和系统所有者来处理。弄清楚如何有效地协作是关键,在IR小组完全消除威胁之前,很少响应动作能比IT开始恢复更快。
六、反思
与许多其他安全和情报周期类似,反思是事件响应周期的最后一个阶段,这里包括抽出时间来评估过去的决策并学习在未来如何改进。
反思阶段评估团队每一步的表现。一般来说,这个过程需要根据事件报告并回答一些基本问题:
(1)发生了什么事?
(2)我们在哪方面做得好?
(3)我们在哪方面可以做得更好?
(4)下一次我们要做什么不同的事?
作为一个练习,这往往是艰巨的。许多团队拒绝审视经验教训或进行事后审视。出现这种情况的原因很多,从担心所犯的错误被曝光(导致IR团队受到指责),到没有时间去做这件事。不管是什么原因,只有反思才能让事件响应团队快速成长。反思阶段的目标是如何使下一个事件响应变得更快更顺畅,或者理想地永远不会发生同类事件。如果没有关键的这一步,IR团队(以及他们合作的团队)将会犯同样的错误,受到同类的阻力困扰,而不能确定改进的方向。
尽管这个阶段很重要,但是反思工作不一定会非常艰巨。其实应该是相反的,一个好的事后行动不需要花费太多时间,也不需要卷入参与事件响应的每个人。以下是在“反思”过程中对每个阶段进行评估时,你想要提出的一些详细的基础问题:
预备(Preparation)
我们怎么样才能完全规避这个事件呢?这包括对网络体系结构、系统配置、用户培训甚至策略的改变。
哪些策略或工具可以改进整个过程?
识别(Identification)
什么监测资源(IDS、网络流量、DNS等)可以使识别这种攻击变得更容易或更快速?
什么特征或威胁情报可以用得上?
遏制(Containment)
哪些遏制措施是有效的?
哪些是无效的?
如果其他遏制措施更容易部署,它们是否有用?
消除(Eradication)
哪些消除措施进展顺利?
有什么更好的措施?
恢复(Recovery)
什么减缓了恢复的进度?(提示:注重沟通,因为这是恢复进展最艰巨的部分之一。)
响应的恢复动作告诉我们关于对手的哪些信息?
反思(Lessons Learned)
不要流于形式,而是要评估如何更有效地吸取经验教训。例如,如果响应者在整个过程中做笔记,这会有帮助吗?反思是否拖延了太久导致信息已丢失或被遗忘了?
反思也可以练习(与事件响应过程的任何其他环节一样)。不要仅反思实际发生的安全事件,也要花时间建立红蓝对抗演练和桌面演练的反思过程。
最终,“反思”的关键在于了解到,虽然早期的反思过程将是痛苦的,但是它们不断改进——这是要点。早期的反思将会发现各种缺陷:缺少技术,缺少团队成员,糟糕的流程和错误的推断。随着这个过程的不断深入,随之而来的痛苦是很正常的,但要花时间和精力克服它们。很少有事情能像一些棘手的经验总结一样快地提高IR团队和IR的能力。另外,吸取这些教训,并与你的领导和相关团队分享。虽然这似乎是在揭团队的短,但在许多情况下,这些报告提供了充足的理由来进行改进,以提高后续的事件响应能力。
事件响应周期是事件响应者学习的第一个模型,它简洁地描述了事件调查的生命周期。这里的关键要点是,花时间来评估你的团队在每个阶段的执行能力,从预备阶段到反思阶段。
微信公众号:计算机与网络安全
ID:Computer-network