下载掌阅APP,畅读海量书库
立即打开
事件优先级可能决定了遏制策略/例如,如果你正在处理的是作为高优先级事件启动的DDoS攻击,那么必须以同样的危急程度来对待遏制策略。除非问题在两个阶段之间得到某种程度的解决,否则很少会在事件严重程度高的情况下采用中等优先级的遏制措施。
让我们来看两个真实场景,看一看遏制策略和从特定事件中吸取的教训如何因事件优先级的不同而不同。
让我们以WannaCry事件的爆发为例来说明现实世界中的情况,使用虚构的Diogenes&Ozkaya公司演示端到端的事件响应流程。
2017年5月12日,有用户致电服务台,称收到图2.5所示提示。
在对问题进行初步评估和确认(检测阶段)后,安全小组参与并创建了一个事件。由于许多系统都遇到了相同的问题,因此此事件的严重性被提高到了高等级。安全小组通过威胁情报迅速发现这是勒索软件病毒暴发,为防止其他系统受到感染,他们必须安装应用MS17-00(3)补丁。
此时,事件响应小组正在三条不同的战线上工作:一条战线试图破解勒索软件加密,另一条战线试图识别易受此类攻击的其他系统,最后一条战线则致力于向媒体传达这一情况。
他们查阅了自己的漏洞管理系统,并发现了许多其他缺少此更新的系统。他们启动了变更管理流程,并将此变更的优先级提高到关键等级。管理系统小组将此修补程序部署到其余系统。
图2.5 WannaCry爆发时的屏幕
事件响应小组与他们的反恶意软件供应商合作,破解了加密并再次获得对数据的访问权限。此时,其他系统都已打好补丁并正常运行,没有任何问题。遏制、根除和恢复等阶段告一段落。
阅读上述场景后,你可以看到本章中涵盖的许多领域的示例,这些示例将在事件过程中关联在一起。但当问题得到解决时,事件还没有结束。事实上,这只是针对每一起事件需要做的完全不同层次的工作的开始——记录所吸取的教训。
你在事后活动阶段拥有的最有价值的信息之一是所学到的经验教训,这将帮助你通过发现流程中的差距和需要改进的领域来不断完善流程。当事件完全关闭时,将对其进行记录。记录文档必须非常详细地说明事件的完整时间表、为解决问题采取的步骤、每个步骤中发生了什么,以及问题的最终解决方式。
本文档将用作回答以下问题的基础:
●谁发现了安全问题,用户还是检测系统?
●事件是否以正确的优先顺序开始?
●安全运营小组是否正确执行了初步评估?
●在这一点上有什么可以改进的吗?
●数据分析是否正确?
●遏制措施做得对吗?
●在这一点上有什么可以改进的吗?
●解决这一事件花了多长时间?
对这些问题的回答将有助于完善事件响应流程,并丰富事件数据库。事件管理系统应将所有事件完整记录并支持搜索。我们的目标是创建一个可用于未来事件的知识库。通常,可以使用与之前类似事件中相同的步骤来解决事件。
要注意的另一个重要问题是证据留存。在事件期间捕获的所有证据都应该根据公司的保留策略进行存储,除非有关于证据留存的具体指南。请记住,如果需要起诉攻击者,证据必须完好无损,直到法律诉讼彻底解决为止。
当组织开始向云迁移并拥有混合环境(内部部署和到云的连接)时,组织的IR流程可能需要经过一些修订,以增加一些与云计算相关的内容。在这一章的后面,你将了解到更多关于云中的IR的知识。
有时你没有一个完全建立的事件,只有开始整理的线索来理解正在发生的事情。在这种情况下,案例从援助开始,因为它是由一个用户发起的,该用户说他的机器非常慢,尤其在访问互联网的时候。
处理该案例的支持工程师很好地隔离了问题,并发现Powershell.exe进程正在从一个可疑的站点下载内容。当IR团队收到该案例时查看了该案例的记录,以了解已经做了什么。然后他们开始追踪PowerShell命令下载信息的IP地址。为此,他们使用了VirusTotal网站并得到了如图2.6所示的结果。
图2.6 VirusTotal扫描结果
这一结果引发了一个标记,为了进一步了解为什么这被标记为恶意的,他们单击DETAILS继续探索,看到了如图2.7所示的结果:
图2.7 VirusTotal扫描详细信息选项卡
现在事情开始趋于一致,因为这个IP似乎与Cobalt Strike这个软件关联在一起。此时,IR团队没有太多关于Cobalt Strike的知识,他们需要了解更多。研究威胁行为者以及他们所使用的软件和技术的最佳场所是MITRE ATT&CK网站(attack.mitre.org)。
通过访问该页面,你只需单击Search按钮并输入关键字(在本例中为Cobalt Strike)即可,结果如图2.8所示。
图2.8 在MITRE ATT&CK网站上搜索
打开Cobalt Strike页面后,就可以阅读关于Cobalt Strike的更多信息,比如Cobalt Strike是什么,它所针对的平台、使用的技术以及与该软件相关的威胁行为者组织有哪些。通过在此页面上搜索PowerShell,你将看到以下陈述(见图2.9):
图2.9 Cobalt Strike使用的一种技术
请注意,PowerShell的这种用法和技术T1059(https://attack.mitre.org/techniques/T1059)对应。如果你打开这个页面,会了解到更多关于技术的使用及其背后的意图。
好了,现在事情更清楚了,你知道你在处理Cobalt Strike这种软件。虽然这是一个好的开始,但首先必须了解系统是如何受到危害的,因为PowerShell并不是凭空调用该IP地址,而是有什么东西触发了该操作。
在这种情况下,你必须追溯到过去,以了解一切是如何开始的。好消息是,在MITRE ATT&CK网站上有足够的信息解释Cobalt Strike的工作原理。
IR团队开始查看不同的数据源,以更好地理解整个场景,他们发现最初向支持部门投诉计算机性能的员工在同一周打开了一份可疑文档(RT F)。说该文件可疑是因为该文件的名称和散列值:
●文件名:once.rtf
●MD5:2e0cc6890fbf7a469d6c0ae70b5859e7
如果你将此散列值复制并粘贴到VirusTotal中搜索,将会发现大量结果,如图2.10所示。
图2.10 搜索文件散列值
这引发了许多标记,但是为了更好地将这些与PowerShell活动联系起来,我们需要更多证据。如果你单击BEHAVIOR选项卡,将获得如图2.11所示的证据。
有了这个证据,就可以断定最初的访问是通过电子邮件进行的(参见https://attack.mitre.org/techniques/T1566),所附文件滥用CVE-2017-11882来执行PowerShell。
图2.11 更多恶意使用PowerShell的证据
这种情况表明,只是简单的点击操作就可能导致危害,社会工程学手段仍然是主要因素之一,因为它利用人类因素来诱使用户做一些事情。由此得出的建议是:
●提高所有用户的安全意识培训,以覆盖此类场景。
●降低用户在自己工作站上的权限级别。
●实施AppLocker来阻止不需要的应用程序。
●在所有端点实施EDR,以确保在初始阶段捕获这类攻击。
●实施基于主机的防火墙来阻止对可疑外部地址的访问。
从安全卫生以及事情如何变得更好的角度来看,像这样的案例还有很多值得学习的地方。永远不要错过学习和改进IR计划的机会。