威胁情报驱动:F3EAD 之消除
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
一旦确定了当前威胁,调查过威胁获得权限及在网络中移动的方式,就该消除威胁了。这一阶段称为“消除”(Finish),不仅包括清理攻击者留在网络中的据点,还包括堵住攻击者最初获得权限的入口。
“消除”阶段不仅仅涉及删除系统的恶意软件,正因如此,我们才会在“查找”和“定位”阶段花费大量时间。为了精准打击攻击者活动,理解攻击者作业过程、清除攻击所遗留的恶意软件及其衍生物、封堵通信渠道、清理据点、取消不必要的授权以及清理在定位阶段揭露出来的其他异常情况,这些都是非常必要的。要想精准地消除对手,就需要深入了解攻击者,包括他们的动机和行为,只有这样,你才能充满信心地加强系统安全,夺回网络的控制权。
一、消除并非反击
“消除”并不是说要“黑”回去。那是因为,除非你是政府部门或权威机构,否则反击是一个非常非常糟糕的想法!你问为什么?有以下几个原因:
攻击溯源很少能准确无误,而且你并不总能知道实际攻击了哪个系统。攻击者很少会直接利用自身的基础设施发起攻击。他们会将其他受害者主机作为跳板,这就意味着,如果你认为某台主机正在攻击你,于是对其采取行动,但结果很可能证明该主机属于某家医院,或者是其他什么国家的电脑,进而由于你触犯了该国或本国的法律,引起新的麻烦。
你无法预见所采取的行动导致什么后果。你可能觉得自己只是结束了一个会话或者删除了几个文件,但鉴于网络的复杂性(不得不承认,我们常常连自己的系统也不够了解),除非你确切知道目标系统是如何配置的,你很难准确预见行动后果。在军事行动中,包括传统F3EAD循环在内,如果需要确切了解行动后果以及可能造成的连带损伤情况,需要根据“定位”阶段产生的信息,对模拟环境进行演练。在情报驱动的事件响应中,定位活动都是在你自己的网络进行的,因此无法绘制出攻击者的网络拓扑结构。要做到这一点,就只有采取进攻行动,而这很可能是违法的。
你并不清楚自己在和谁纠缠。就算你已全面调查过进入你的环境的攻击者,认为已经摸透了他们的动机和意图,也知道怎样让他们停手,你的行动很可能会让你的对手恼羞成怒,变本加厉地攻击你。在极特殊的情况下,你可能会发现自己在攻击的对手是一个主权国家,而你的行为可能会危害到国家安全,不仅给自己带来麻烦,还会连累其他无辜的企业或机构。
可能会触犯法律。未经授权访问受保护系统是违法的。即使这些系统的使用者是坏人,他们依然受到法律的保护,访问这些系统依然是法律所不允许的。
总之,请不要认为我们教唆进攻行为。整个“消除”阶段都应在你自己的网络中进行,而不是在它之外!
二、消除的各阶段
在你的网络中“消除”攻击者可采取多种形式。赶走攻击者,防止他们卷土重来的最佳方式,取决于“定位”阶段所发现的活动性质、企业的复杂度和风险容忍度,以及你所拥有的法定权限。
“消除”阶段分三步走:缓解,修复,重构。既然分成了三个阶段,就说明你无法同时全部做到。即使在全面调查之后,可以快速采取某些战术响应行动,但是许多的战略响应行动(如重新规划)会需要更长时间。下面讨论这三个阶段。
1、缓解
在事件发生过程中,防御团队往往不得不对问题采取缓解措施。缓解措施都是临时性的,用于在长效改善方案实施的同时,防止入侵造成的后果愈加恶化。
理想情况下,缓解措施应该快速应用,并且协调一致地进行,避免在切断对手访问权限之前,给予对手反应的机会。在杀伤链的多个阶段中都可以采取缓解措施,包括载荷投送阶段、通信控制阶段以及达成目标阶段。
被对手察觉
当事件响应团队从“定位”阶段过渡到“消除”阶段时,需要考虑到对手对你的清除行动会有什么反应。调查过程在很大程度上是被动的(收集和分析信息),但响应是必要时则是主动的。这可能会让对手察觉到,导致他们改变战术或采取新的行动。为了防止对手做出反应,你需要对行动有所计划,然后尽快执行计划,注意不要让对手利用他们的权限在你的环境中驻留。
对载荷投送的缓解措施
设法阻止对手再次进入环境尤为重要。阻断对手的入侵路径,会用到在“定位”阶段收集的信息,这些信息可以告诉你这个对手的惯用作业手法;也会用到“定位”阶段收集的信息,这些信息将告诉你这个对手如何进入了你的网络。对载荷投送的缓解可能包括:阻断被用于投送载荷的电子邮件地址、附件,停用可登录环境的被窃凭证。对载荷投送的缓解措施通常最不易于被攻击者察觉,因为采取该措施并不会影响当前活动的会话,而只会影响他们将来获取或重新获取权限的企图。
对通信控制的缓解措施
如果对手正在以某种形式进行通信控制,那么进行修复之前,一个最重要的行动就是切断这一通路。缓解措施的总体要点就是不要让你的对手在你夺回控制权的时候改变环境。对手想做到这一点,最简单的方法就是借助现有连接建立一个新的访问系统的方法。比如,攻击者除了植入主RAT之外,还另外植入了一个具有不同特征的辅助RAT,但是通信间隔要长得多,从而不容易被检测到。在这种情况下,攻击者可能会放任他们的主RAT被清除,因为他们知道以后还能回来。
撤消会话
不幸的是,即使用户修改了被盗的密码,许多在线系统(如电子邮件)并不会自动撤消已存在的会话。这就会导致你认为已经取消了访问权限,但攻击者仍然处于登录状态。这可能会破坏缓解和修复工作的效果,因为在事件响应小组确信资源得到加固之后,攻击者仍可以重新获得全部控制权,并能监视响应人员的后续行动,做出相应调整。对于防御者来说,没有什么比遭受认为已被修复的带病毒主机入侵更糟糕的了。在修改用户密码时,撤消现有会话是很重要的。
另外,也不要忘记为应用程序设置专用密码。有些服务商为客户端或第三方服务设置了一次密码(one-time password)。因为几乎不做修改,可以被攻击者长期使用,即使终端受害者定期修改密码,也没有作用。
对达成目标的缓解措施
利益相关方通常希望立即采取针对达成目标的缓解措施。得知你的环境中存在着某个对手,他可能在访问或窃取敏感信息,这会让每个人都如坐针毡,如芒在背。在保证你的网络安全的同时,减轻攻击者的行动造成的后果,降低危害的严重程度,这是一种平衡的艺术,旨在保护信息而不给对手改变策略另辟蹊径达成目标的机会。
针对达成目标的缓解措施主要是限制对敏感信息的访问、减少可用的网络传输方式,从而防止数据泄露,或者关闭全部受影响资源。不过,要知道攻击者的目标可不只是窃取信息。他们可能利用你的网络作为跳板去攻击另一个受害者,或者对其他目标进行拒绝服务攻击。这些操作可以通过网络访问控制来修复,或根据需要限制出站连接。
对“玻璃巫师”的缓解措施
在之前的文章中,我们重点研究了我们的对手“玻璃巫师”的作业方式——通过寻找外部信息来了解他们的活动,更具体地说,他们是如何成功地入侵我们的系统,以及他们在入侵成功后采取了什么行动。现在我们了解了我们的对手,可以针对他们的活动采取缓解措施,从而展开“消除”阶段的工作。
我们发现“玻璃巫师”通过鱼叉式钓鱼电子邮件进入我们的网络,在“定位”阶段,我们已经能够识别电子邮件主题、附件(以简历作为主题,发送对象为人力资源部门)以及发件人。为了降低攻击者故伎重演的风险,我们把类似的电子邮件全部转发给沙箱分析,这也会帮助我们发现各种企图重新获取访问权限的行为。我们还会与人力资源部门沟通,让他们知道这种威胁,提高警惕。
为了缓解通信控制活动,我们将阻断连接已知命令控制服务器的流量,同时,对于已知被“玻璃巫师”使用的通信控制方法予以阻断或监控。我们知道,对手在察觉到事情败露后可能会改变战术,所以我们要做好准备,应对他们为保持或夺回据点所做的任何改变。
最后,我们将强制在整个环境中重置密码(包括服务账户),并撤销在线系统和应用程序的所有会话,因为我们知道攻击者几乎肯定获取了用户和系统的凭证。我们知道“玻璃巫师”会在我们的网络中寻找哪类信息,但评估后发现这类信息在网络中(包括用户系统和电子邮件)到处都是。我们要加大对数据库等存储大量信息的系统的监控力度,并要在重构环节注意如何更好地跟踪和保护敏感信息。
一旦采取了缓解措施,制止或限制了对手所造成的破坏,就该进入修复环节,这将对攻击者产生更持久的影响。
2、修复
所谓修复是这样一个过程:既要夺走对手的全部能力,又要让失陷的系统不再被对手所利用。不同于缓解工作,修复工作注重于杀伤链的另外一些阶段,最明显的是突防利用、安装植入和达成目标这三个阶段。
对突防利用的修复工作
修复工作在绝大多数情况下意味着要打补丁。漏洞利用总是要依赖某个系统缺陷,因此,防范攻击者利用漏洞攻击系统的首要方法,要么是让被攻击目标无法访问(将系统置于防火墙之后,或者放在别的什么具有访问控制能力的设备后面),要么就是修补系统缺陷。如果已经有了可用的补丁程序,则优先考虑为系统打补丁,并确认之前为什么没有打补丁,不过,在某些情况下可能没有可用的补丁程序。此时,修复工作就要与软件厂商合作开展,他们可能知道这个问题,也可能并不知道。在彻底解决问题的漫长过程中,可以采取临时的缓解措施,例如将有漏洞的系统隔离,或者加强访问控制并予以监控。
许多企业都有大量的定制代码,所以,在某些情况下你无法联系到供应商,而只能联系负责开发的团队。如果你的企业在使用定制工具或代码,那么当出现安全问题时,最好与内部应用程序开发团队建立一套合作流程。
为社会工程打补丁
俗话说“世上没有给人类准备的补丁”。撇开其中的嘲讽意味,用户往往并不了解或无法分辨攻击的迹象。凭借着这个事实,全无技术含量的攻击也会屡屡得手,比如借助仿冒的应用程序发起攻击,或者使用结合了巧妙的社工技巧的文档宏作为诱饵发起攻击。尽管有些技术方法有助于对付这类攻击,但关键的漏洞并不在于技术。从根本上解决这个问题只能依靠培训用户,让他们能够辨别并躲过这类攻击手段,同时,还应该为用户上报可疑活动建立一套流程,让他们不必担心遭到报复,或者当众丢脸。
对安装植入的修复工作
从表面上看,对安装植入的修复工作并不复杂:只需要删除突防利用过程所创建及植入的全部内容即可。虽然道理没有错,但对已植入恶意软件的修复工作不仅麻烦而且耗时,往往需要投入大量的时间和精力。
恶意软件是什么?通常情况下,它是一个或多个可执行程序,可能还包括一些程序库,还需要一套持久化机制,来保障最初的可执行文件在系统重新启动或出错的情况下仍能在系统上运行。在突防利用的时点,攻击者掌控了系统,采取的行动可能各种各样。只有认识到这一点,才会深入理解系统,展开充分的调查。
鉴于这种复杂性,怎样才能圆满又彻底地清除已植入恶意软件?这并不总是像删除文件那样简单。响应人员会就清除恶意软件还是格式化系统再重装而产生争论。杀毒软件是基于恶意软件可以被成功清除的假设而工作的,但是很多事件响应人员发现事情并非总是如此。在这一点上,不同的事件响应团队会有不同的处理方式。
要么删除恶意软件,要么重装系统
通常我们会在这里讲一个有趣的案例,或者幽默地建议你自己来决定,但是我们现在要给你标准的建议:重新格式化!尽管你会结合具体情况酌情对待,但我们总是建议重新格式化。只有这样,才能百分之百地确保恶意软件被消除,攻击者在系统中的行动将得到彻底缓解。对于一些专用系统(比如控制系统),这样做可能是不实现的;但只要条件允许,这是帮助你确认没有任何遗漏事项的最好方法。
对达成目标的修复工作
并不是达成目标阶段的每个行动都可以得到修复,但还是需要考虑到。想做到这一点,一方面受限于你的监测能力,另一方面受攻击者所采取的行动的影响。
对于数据窃取行动,除了确定哪些信息被窃,以及评估损失(高度依赖于哪些数据被窃),通常很难再做更多的事情。例如,2013年,安全公司Bit 9遭到针对性攻击,公司的代码签名数字证书可能被攻击者窃取。任何软件只要被这些数字证书签名,就会得到Windows操作系统内在安全机制的信任。因此,对于本次攻击最好的修复方法,就是向证书颁发机构提出撤销证书的请求,作废该证书及使用该证书签名的软件。
有关达成目标的修复的其他示例包括:阻断DDoS僵尸的出站网络活动,向信用卡发卡机构申请作废被盗的信用卡号码,修改密码或其他被窃凭证,甚至包括审查被盗软件的全部源代码。在事情真实发生之前,任何预测都是不现实的,但无论如何,对达成目标行动的修复都需要深入调查,找出问题的根本原因,找到攻击者的目标,这不但需要失陷资源给予的协助,还需要一点创造性。
对“玻璃巫师”的修复
我们知道“玻璃巫师”是一个老练的攻击者,使用包括Hikit和ZOX系列在内的多种恶意软件,而这两种恶意软件都曾出现在我们的系统中。修复失陷系统应尽量考虑为这些主机重新安装系统,不过,有时并不能这样做。就算我们打算给所有的主机重新安装系统,有些失陷服务器还是需要以不同的方式来处理。
以域控制器为例,由于被许多系统所依赖,为重建服务器而停机就是不可接受的,因此我们必须采取不同的方法。在这种情况下,我们决定首先采取适当措施削弱对手使用被盗凭证访问系统或者进行通信控制的能力,然后再重建系统,并限制只能进行指定白名单的正常活动,对任何非正常活动均给予警告。报道称“玻璃巫师”将试图重新进入网络,对此我们坚信不疑,虽然不知道攻击者会怎样做,但我们知道要对任何异常活动都保持警惕。新的系统经过合理配置且安全措施就位后,我们将立即一次性替换全部受害系统。
我们还发现“玻璃巫师”曾在我们的一些主机中使用过CVE-2013-3893漏洞,所以我们需要与信息安全团队合作,检测全部系统中使用旧版本Internet Explorer的情况并修补漏洞。我们已经强制执行证书更改,并将此作为缓解流程的一部分,但是我们决定,监控尝试使用几个旧帐户的行为,从而发现尝试使用凭证重新获得访问权限的攻击者。
3、重构
情报驱动的事件响应数据的一个最有效的用途,是一种高级修复形式:事件响应小组根据既往事件趋势,确定攻击的常见模式,致力于从战略层面延缓这种趋势。这些缓解措施通常不是小幅改善,可能是小到系统配置微调或额外的用户培训,大到生产工艺的彻底转变,比如开发新的安全工具,甚至是网络的全面重构。
通常情况下,这类巨变会发生在一次大规模入侵之后,但是,根据轻度甚至失败的入侵发现趋势,并且借助受利用漏洞、弱点的情报,以此驱动改变的能力也不能被低估。
对“玻璃巫师”的重构
我们已确定了几个架构和流程相关的问题,正是它们为“玻璃巫师”提供了入侵我们的机会。其一是多台主机从2013以来都有一个漏洞。补丁程序通常是可以修补多个漏洞的较大程序包的一部分,随同这个程序包一起安装,所以,我们知道这些系统上还有其他漏洞没有得到修补。我们需要进一步了解为什么补丁修补过程并未奏效,并做出必要调整。
我们还确定了几个环境内认证和访问受到控制的问题。“玻璃巫师”能够使用合法账户在我们的环境中移动,而我们并未使用任何能够识别这些账户可疑活动的技术。
因为解决这个问题需要额外的资金,我们无法立即着手。我们所采取的缓解和修复措施令网络得到加固和保护,后续的架构调整可以同步计划和实施。
三、采取行动
对于对手活动的消除行动,需要战略、运营计划以及战术行动。一旦行动计划准备就绪,各责任方都知道行动内容和执行时间,就到了真正行动的时候了。
在《网络安全之情报浅析》中,我们讨论过与攻击者活动有关的5D,即攻击者针对目标系统或目标网络所采取的阻止(deny)、降级(degrade)、干扰(disrupt)、欺骗(deceive)或销毁(destroy)行动。在消除阶段,我们也可以利用同样的5D来确定将攻击者从网络中驱除所应采取的行动。再次强调,所能采取的行动仅能在你的网络内部进行,决不应该指向你所控制的系统之外。
1、阻止
阻止是一项最基本的响应行动,在几乎所有情况下,它都是对攻击者活动的首选回应。攻击者打算访问你的网络和信息。他们企图在不同系统之间自由移动,以便找到并偷走所需数据。阻止的目的就是让他们无法做到这一点。
假设攻击者已经以某种方式进入了你的网络,他们可能随后会安装后门或者转储用户凭据,以便维持访问权限。理想情况下,你在“定位”阶段就应该发现了这些活动,在本阶段,你才能专注于以某种方式夺走这类权限,从而彻底阻止攻击者访问你的网络。以下是一些阻止攻击者访问或移动的方法:
使用凭证访问
如果攻击者使用了被窃凭证或默认凭证访问网络,最好的办法就是修改这类凭证或删除原有账户,切断攻击者的访问途径。查找攻击者利用被窃凭证为自己新建的账户也同样重要。
后门及植入
我们在《网络安全之情报浅析》中讨论过后门和植入,了解到它们的工作原理以及攻击者如何使用它们,并能有效而彻底地将这些用来访问你的网络的工具清除。阻止访问的前提是你了解后门最初是如何安装的。在删除攻击者的工具的同时,通常还需要修改证书,因为这两者往往是相辅相成的。攻击者要么通过凭证获取访问权限,然后安装后门程序;要么是先获取权限,再转储凭证。
横向移动
阻止访问不仅仅是阻止攻击者从外部进入你的网络,这需要确保他们不具备在网络中横向移动的能力。我们曾提到过,“消除”阶段不仅是把攻击者踢出你的网络,还要确保你解决了最初让他们进入网络的问题,这才算是阻止了他们在整个网络的访问能力。在“查找”和“定位”阶段,你可能已经确定了攻击者在网络中移动的方法——无论是常见手法,还是在本事件或你的环境所使用的专用手段——重要的是,解决掉那些让这类方法大行其道的问题。
你在“定位”阶段收集的所有信息都可用于制定计划,确保能够彻底阻止攻击者的访问能力。然而,有时阻止访问是不够的,因为访问权限是攻击者会立即尝试夺回的决定性因素。同样重要的是,在攻击者尝试夺回网络权限或取得信息访问能力,以及在他们从网络获取信息的时候,采取措施予以干扰。
2、干扰
在传统行动中,通常无法阻止对手的行动能力。目标就只能变为迫使攻击者所采取的行动无效,削弱他们的行动能力。如果面对的是高级攻击者,简单地阻止访问恐怕无法奏效,这时就应该采取干扰和降级的方法。
许多企业遭受过同一批攻击者的反复入侵,这是因为永久性阻止访问难于执行。下定决心入侵网络的攻击者总能找到某种方法,尤其当网络中存在那种可用来规避技术安全措施的目标用户。
攻击者能够重新进入网络并不代表他们能够获取想要的信息。因此,要阻止攻击者访问他们想要的信息,就要知道他们在找什么(应在“查找”和“定位”阶段确定这些),然后采取措施来限制他们对这些信息的访问。比如,在关键信息周围设置额外的访问控制措施,并在检测到有人试图查找或访问这些信息时发出额外的警报,或者为共享资源的访问加入额外的身份验证。只有知道攻击者要找什么信息,知道这些信息在网络的什么位置,才能采取上述步骤。
3、降级
降级步骤的目的在于迫使攻击者亮出底牌,从而更有效地对抗他们。不过,此举并非为了多收集一些攻击者的战术信息,而是要影响使他们已被识别的早期活动效果。
4、欺骗
欺骗是指通过提供虚假的或有误的信息摆脱攻击者的做法。多数情况下用于达成目标阶段。例如,对于专门窃取知识产权的攻击者,设法让他们获取到因材质类型有误而可能导致失败的产品方案。这个想法是通过贬低攻击者的窃取成果,希望迫使他们把注意力转向其他目标。
另一种常见的欺骗技术是蜜罐(honeypot),这是一种看起来像网络环境中的常用系统却暗地设置了强化的监控手段的系统。比如,配置一台仿冒的数据库服务器,在正常端口提供正常的监听服务——甚至可以故意采用ma-contracts-db(其中,ma暗指并购)。攻击者在进入网络环境后可能会查找主机,查找哪些主机可能包含有用数据,然后尝试访问。因为内部人员都知道这些主机并无实际用处,尝试访问这些主机的必然是攻击者。通过检测对这些系统的访问尝试,防御者就可以得到告警。蜜罐不仅可以是系统,该技术也可用于其他环境,如社交网络或用户角色。
上述方法理论上行得通,但在实践中,欺骗技术的作用很难有效发挥。欺骗手段主要依赖诱饵来诱惑攻击者。这一过程如履薄冰。如果诱饵没有足够的诱惑力,攻击者就不会试图访问它;如果诱饵太诱人了,攻击者又可能会察觉到,躲开诱饵。即使你选择的诱饵近乎完美,欺骗仍然是一个挑战,诱饵的真实程度才是最重要的。假设你现在想使用虚假身份在社交网络上识别网络钓鱼。即使用户信息设置得完美无瑕,但如果这张用户照片可以被攻击者从某个来源找到,或者该用户只有很少的联系人,这都会导致前功尽弃。
欺骗很难。让一切正常并且仍然有用是一个挑战。同时,它往往会导致高误报率。它可能是有用的,但仅适用于能够投入时间和精力使之奏效的成熟企业使用。
5、销毁
我们在讨论的是你该怎样在自己的网络中采取行动,而“销毁”意味着对系统造成某种物理损害,所以通常不是一种好的响应方式。你可能会发现某个被攻陷的系统已经该淘汰了,将其从网络中撤下来也是不错的办法,但即使如此,你也不必销毁该系统。
显而易见,我们并不是在说销毁任何属于攻击者或由攻击者运营的系统。前面说过,所有这些行动都发生在你的网络内部。
四、事件数据的组织
在事中(但最重要的是事后)记录调查细节和所采取的行动至关重要。这些细节应该体现为以下几个方面:
初始线索、来源和产出。
攻击者杀伤链细节,包括信标和战术、手法和过程的描述。
攻陷主机相关信息,包括主机漏洞、配置、所有者及用途。
达成目标阶段的细节,入侵对用户产生的影响,以及被窃数据是什么。(这些在司法介入时尤其重要。)
在哪台主机采取了响应行动,响应人员是谁(这在追查故障时会用得到)。
用于长期行动的后续线索或思路。
你也可以根据企业自身需求加入额外信息。最终目标是形成一个单一的真实的数据源,让响应人员可以由此共享他们的发现,并保持数据的协调一致。有很多方法可以实现这一点,但关键不在于如何存储数据,而是让大家可以协同工作,有章可循地完成工作。
1、行动跟踪工具
有多种工具可供跟踪事件数据以及所采取的行动。下面介绍如何使用公开工具和专用工具组织数据。在你刚开始从事事件响应的时候,并无现成系统来跟踪信息和已采取行动,最好先从小处着手,不断增加功能,积累能力。开始的时候就为复杂的跟踪系统加入大量字段,很容易不堪重负,最终半途而废。最有可能的情况是,建设了一套糟糕的系统,分析人员却不愿意使用,反而让跟踪事件信息变得更加困难。幸运的是,跟踪事件信息可以从几个简单的工具着手。
个人笔记
事件管理几乎总是可以从分析人员笔记开始。好的分析人员会意识到(或者通过实践慢慢发现)他们需要为正式调查和临时观察做笔记。因此,许多分析人员习惯于记录在SOC轮班或值守时遇到的各种情况。
这种笔记对分析人员非常有价值,在撰写正式报告时,这类笔记将占据大量篇幅,但除此之外,对于他们的企业来说就没有什么用了。这主要是格式的问题。分析人员在写个人笔记时,通常会形成自己的风格,在各自的调查中使用不同的格式。首先是记录介质不同,有人使用纸笔记本,也有人使用文本文件。后面的差异不断加剧,包括使用不同的日期格式(有人使用12-1-18这种格式,有人使用20181201这样的格式),以及不同的叙述方式、项目符号、绘制图表方法。
各自不同的笔记难于利用(不是指黑客利用,而是指情报利用)。只要是采用手写方式,这基本上就是不可能的(因为手写识别的缺点)。如果采用打字的方式,还有一些加以利用的机会,但还是会损失一些上下文信息。
在大多数情况下,个人笔记总是有不同的风格,只有分析人员本人能看得懂,而团队则需要采用共享格式来跟踪信息。
末日电子表格
在大多数情况下,团队在着手协同跟踪信息时,最先尝试的就是电子表格的形式,分析人员将其戏称为“末日电子表格”(Spreadsheet of Doom,SOD),因为它在内容修改和扩展能力方面都不够方便。
电子表格的优势在于容易结构化。通常,它是由多个电子表格或在单个电子表格里面使用多个标签来组成的,可用于记录以下信息:
攻陷信标
被攻击资源(系统、服务、数据等)
响应行动(已计划或已采取,等等)
SOD示例如图1所示。
图1 将Google电子表格作为“末日电子表格”
如何建立SOD,应该具有哪些字段,保存在哪里以及大家如何通过它协同工作,这些取决于各个企业,SOD会不断地完善。重要的是不要轻易改变表格格式,而且,对于名称、日期和分类字段应采用一致认可的格式和约定。保持一致性是很重要的,易于被利用是SOD相对于个人笔记的最大优点。
电子表格可以导出为逗号分隔值(CSV)文档。这种格式相比其他文本格式文档更易于被多种工具和脚本语言读写,可以很容易地拿来使用,比如自动解析所有IP的反向DNS,或者借助VirusTotal检查哈希值。这种自动化能力是难能可贵的。
SOD的缺点显而易见。它的有效地使用依靠大家遵守规定和惯例,并无任何形式的验证,也没有防止不良数据污染有效信息的机制。一旦出现问题,SOD就将无法使用。
第三方非专用方案
当然,也可以使用公开的或可用的商业替代方案,许多团队都有自己的事件响应管理、事件信息收集工具。是使用临时性方案,还是使用长期方案,需要由团队自己决定。如果打算使用第三方的非专用工具(如kanban),或者半结构化的明文文件格式(如Markdown、wiki或常见IT跟踪系统),应考虑以下需求:
能够自动化执行
采用结构化数据的优势在于,能够构建工具自动执行常见任务。
融入团队工作流程
培训使用新工具总是会遇到一些阻力,尤其是那种在高压力情况下使用的工具。
考虑到在事件响应的时候才开始使用一种新的工具会引起疑虑,所以,一旦决定采用某种工具,最好马上开始投入试用。强烈建议事先推演练习,逐步应用新的工作流程工具。遇到问题是正常的,应该在演练时发现并解决问题,而不是在实战中。
2、专用工具
个人笔记和末日电子表格虽然很棒,但就算是最喜欢“跟着感觉走”的事件响应团队和情报团队,都想有一套专门构建的解决方案。他们通常是在经历过花费大量时间却追查了类型错误、不正确的IP地址,或者发现说不清新的检测机制是否投入使用时,才会有这种转变。大多数团队最终都会部署或开发事件响应平台。
专门构建的事件响应系统可以支持我们之前讨论过的多个开箱即用的重要特性。这些功能通常易于集成,多数提供各种集成点,通常包括电子邮件(用于通过电子邮件收发信息),以及应用工具之间直连的应用程序编程接口(API)。
FIR是专用工具之一(如图2所示),FIR这三个字母是快速事件响应(Fast Incident Response)的缩写。它是由法国第三大银行法国兴业银行(SociétéGénérale)的计算机应急响应小组开发的,是一套开源的事务系统,可支持情报驱动事件响应。
图2 FIR界面截图
FIR是一个理想的入门工具,适用于希望借助平台支撑事件响应和威胁情报操作的团队。专用系统的可定制性如何取得平衡是一个挑战。定制项太少,系统最终会成为末日电子表格那样的可以从网上下载的通用工具;定制项太多,分析人员就会因不确定选择哪一种选项而崩溃。FIR既有推荐的工作流程,也有默认设置,在两者间取得了平衡,但又提供了大量的定制选项。
五、评估损失
每次事件结束后,都需要评估事件造成的损失。有时,事件造成了直接经济损失(比如对零售业务的影响,硬件物理损失产生的有形资产损失,甚至事件响应服务产生的成本支出,以及事件响应的内部时间成本)。更多的时候,损失需要由受影响业务部门、IT部门和销售部门共同确定。在与保险团队一起评估损失时需要格外小心,因为他们对影响和成本可能有独特的看法。
使用具体金额描述事件造成的损失往往是执法的关键。在很多情况下,只有当事件给企业造成的损失超过一定金额时,执法机关才会介入。具体金额取决于你所处的管辖区域。
六、监控生命周期
“消除”阶段的最后一部分是对监控生命周期的管理。在某个事件成为热点的时候,很容易产生大量特征。这些特征会经历一个生命周期,而“消除”阶段结束的时候,就是审查它们的合适时机。监控生命周期通常包括以下几个步骤:
创建
第一步是创建特征,是指分析人员根据某个可观测对象创建该对象的某种特征监控方式,并在内部系统部署。
测试
本步骤经常被跳过,但如被跳过,就会在改进阶段付出代价。在前一步(创建)中,针对已知恶意对象的检测机制已经应用,所以,显而易见的测试形式就是对已知的可观测恶意对象进行检测。然而,测试步骤也不能忽略已知正常对象,从而发现误报的情况。一种方法是将检测机制投入生产环境,设置为生成统计数据,但不发出警报(比如使用Snort的log功能,而不是通常的alert功能)。这种方法虽然有效而且实际,但浪费时间。
另一种方法是使用已知正常数据进行测试。这种方法尤其适合那些需要优先部署告警机制而不太在意误报的场合。其优点是能够更快地得到结果,但通常无法全面测试。在许多情况下,理想的解决方案是将两种方法结合起来,视情况而定。
部署
检测机制准备就绪后(希望经过了测试),就可以部署了。有的团队认为到了这一步自己的任务就完成了,但这会立即让SOC分析人员、入侵检测团队成员感到愤怒。在这一阶段,与检测团队合作并获得反馈是至关重要的,因为你会在下一步(改进)用到这些反馈结果。
改进
在本步骤中,需要根据检测反馈结果,重新修改特征。可从以下几个方面改进特征:
放宽过度具体的检测特征。在发现了新的相关样本时,这一点特别有用。
收紧过度宽泛的检测特征。大家都有这样的经历:花时间创建的检测特征,因为一个字符串意外地触发了对某个常用网络服务的误报。这通常在部署之后才会被发现。
改进有时是出于性能考虑。比如某个特征(尤其是在使用入侵检测系统的情况下)不仅令监控源运行缓慢,甚至对整个系统产生重大影响。此时通常需要检查和优化特征,提升系统性能、检测速度,或减少内存占用。
退役
特征最终会变得不再有用,或者因为威胁已经得到缓解(比如用来检测漏洞的特征在漏洞被修补后就不再有用),又或者因为攻击行动被取消。有时特征还有用处,如果对性能的影响可以接受,应该将特征设置为仅记录模式,收集持续的统计数据。
福特汽车公司的杰里米·约翰逊(Jeremy Johnson)最初在2017年的SANS CTI峰会上探讨过一个有趣的话题:如何更有效地使用看似鸡肋(高误报率)的攻陷信标。约翰逊在“Using Intelligence to Heighten Defense”的议题中介绍了一种无须修改信标本身而是通过将其应用于高风险人群的方法来改善信标效果。例如,如果检测团队掌握了检测对手C2的通用信标,但该信标应用于整个网络中会引起过多误报,那么该信标仍可用于针对研发或管理人员的IDS设备。
七、结语
“消除”作为事件响应的活跃阶段,是一个最需要重视的阶段。如果措施得力,事件响应团队可以赶走对手,从对手的行动中吸取教训,确保网络更加安全;反之则会打草惊蛇,让对手站稳脚跟,潜伏下来,使我们无法彻底地将他们从系统中清除。你要花些时间了解缓解、修复方案,明白如何将它们融入你的响应计划,这会使团队效能长期提高。最后,找到方法将全部输出管理起来,你的团队就可以进入“利用”(Exploit)阶段。这是F3EAD情报部分的第一阶段。情报部分将确保我们可以从攻击者的行动中吸取教训,不断增强网络安全。
微信公众号:计算机与网络安全
ID:Computer-network