每个IT安全专业人员应该知道的12件事(十一)

MottoIN2018-12-05 14:40:37


事件响应


最终,每个IT环境都会遭受防御失败的情况。黑客或他们的恶意软件成功入侵,破坏自然而然发生。


一个好的IT安全专业人员已经应做好事件响应计划,并立即付诸行动。一个好的事件反应是十分必要的。事件响应的基础包括:


及时有效地做出反应

限制损害

进行电子取证分析

确认威胁种类

沟通

防范未来的伤害

吸取教训


在过去的二十年里,入侵者未经授权访问过公司、教育、政府和军事系统。在过去十年中,结构性威胁已将其重点从机会目标(任何被暴露或脆弱资产)转移到利益目标(特定高价值资产)。


过去五年表明没有人是安全的,攻击者利用客户端漏洞构建大量僵尸网络,同时通过业务逻辑缺陷攻击服务器。


尽管二十年来一直在尝试阻止攻击,但入侵者仍在继续随意攻击企业。虽然他们可能无法成功攻击任何特定资产(除非应用过度资源),但总体而言,入侵者总会找到至少一种可行的攻击方法。


任何大规模,复杂和资产价值高的企业都会引起入侵者的注意。这个门槛已经降到了这样一个程度,即单个家用电脑现在被认为与价值数十亿美元的企业集团的网络系统等价。


在一个对手最终违反目标保护措施某些方面的世界中,IT安全专业人员要做什么?答案很简单:尽可能有效地检测威胁;尽快对安全事件做出响应;尽可能有效地使用数字取证进行调查。


事件检测


事件检测在其历史中遭受了各种误解。其中之一是大多数操作员很片面的看待事件检测。可以用三个阶段来考虑事件检测。


一阶事件检测是应用方法识别入侵的传统方式。一阶检测主要在侦察过程中发现攻击(如果有的话)和泄密阶段。侦察是入侵者充分了解目标以实现入侵的过程。漏洞利用是滥用,颠覆或破坏目标的过程,从而将入侵者的意志强加给被入侵的网络。


几乎所有寻求检测和“防止”攻击的安全产品都会在危害生命周期的阶段监控活动。


二阶事件检测主要关注攻击的最后三个阶段:强化,加固和攻击。强化是入侵者利用在开发过程中获得的未授权访问权限的过程,以便为重复进入构建更稳定的平台。


下载和安装远程访问特洛伊木马程序是一项经典的强化活动。加固是使用强化期间安装的方法控制受损资产的行为。攻击是入侵者的最终计划,它可以在目标上转动以攻击另一个系统,泄露敏感信息,或入侵者可能希望执行的任何其他恶意计划。二阶检测侧重于识别这三个阶段。


三阶事件检测侧重于攻击后的活动。无论是观察主机,网络流量,日志还是敏感数据,一阶和二阶检测都在企业内部进行,而三阶检测发生在企业外部。三阶检测试图通过发现入侵的后果来发现预防和检测机制失败的原因。


寻找这些类型的标志可以采取在对等网络或入侵者操作的僵尸网络服务器上搜索和查找私人公司文档的形式,或竞争对手发布的与您公司自己类似的产品。这些事件中的每一个都表明发生了违规或违反政策的行为,但传统方式无法检测到。


使用以下思路,您可以确定您的检测计划的完善程度。


0级:没有主要检测方法。没有使用正式的数据源。没有采取任何行动,因为这种“幸福的无知”隐藏了企业可能严重受损的事实。


1级:客户,同行组织和用户是主要的检测方法。除上述各方提供的数据源外,没有其他数据来源。主要的反应是成立一个特设小组,以反复对抗黑客攻击。


2级:客户,同行组织和用户仍然是主要的检测方法。但是,组织有一些数据存储可以从中得出结论——一旦企业知道它可用用来寻找线索。


3级:计算机事件响应小组(CIRT)找到的事件与1级和2级一致。但CIRT级别在一定程度上增加了正式能力检测和入侵响应。


4级:CIRT是检测事件的主要手段。几乎所有的数据源都可用于检测,响应和取证。CIRT定期开展工作,并拥有专门的人员,工具和资源。


5级:CIRT的使命非常先进,它通过鉴定黑客社区的趋势来预防攻击。CIRT建议在企业广泛遇到最新攻击之前采取防御措施。CIRT运行专门的安全情报操作,以便与许多安全情报机构保持同步或甚至领先。


事件检测自然导致事件响应,采取行动来从入侵中恢复。


事件响应和数据分析


二十年前,事故响应人员发现一台可能受到危害的计算机后,就拔掉插头。这个方法是为了消除占用受损系统的入侵者发现正常关闭工具并实施逃避检测的技术的可能性。


事件响应人员还担心入侵者可能已经种植了恶意代码,这些代码在启动关闭命令时启动了清理例程。


在突然拆除电源线后,事件响应人员将复制硬盘驱动器(通常为40MB)并仔细检查复制品。尽管硬盘很小,但这个过程需要时间,物理位置(获取硬盘)和专业知识。


现在,事件响应人员越来越依赖于实时响应,或者系统RAM收集和分析以获得威胁指标。在高端案例中,专业调查人员在过去八到十年中一直使用实时响应活动,但现代现实迫使大多数安全专业人员尽量少使用这些技术。


当前工具通常将代理或可执行文件推送到远程系统,捕获或解析内存,并将结果传递到中央位置。有专家人员或,在某些情况下,一系列程序会检查有关恶意软件或异常活动迹象的证据。


除了远程检索和内存分析外,事件响应者和数据调查人员还试图避免复制目标计算机的整个硬盘驱动器。这样做越来越不具备技术可行性或成本效益。


如果粗略分析一小组文件就可以得到所有必要的证据,那为什么还要在服务器上复制2TBRAID阵列?期望在事件响应期间更多地使用远程预览,并选择检索重要文件以进行取证分析。


除了专注于重要的材料外,现代事件响应和数据监测流程比以前的方法更快速有效。当硬盘驱动器的大小为40MB时,不怎么熟练的调查员可以相当彻底地检查所有相关数据是否存在不法行为。


相关阅读

每个IT安全专业人员应该知道的12件事(十)

每个IT安全专业人员应该知道的12件事(九)

每个IT安全专业人员应该知道的12件事(八)

每个IT安全专业人员应该知道的12件事(七)

Copyright © 古田计算器虚拟社区@2017