网络安全应急响应操作流程-打好应急响应保卫战

应急响应

应急响应是安全工作的重点和难点，由于响应过程中压力比较大，难免出现手忙脚乱的情况，因此怎样做好应急响应工作是对一个安全团队的最好考量。
本文主要从应急响应目标、流程、使用工具、核心注意事项等进行介绍

应急响应目标

应急响应启动时，一般是安全事件已经开始，因此目标就是快速解决安全事件，核心目标就是快速止损，控制风险到可接受范围

应急响应标准流程

按事件的发生的时间顺序，可以分成事前、事中、事后

事前

事前更多的时候是说甲方企业，在日常做的事情，需要熟悉自身的情况，做到知己
最核心的:
网络拓扑 -> IP分布、安全域的划分、能够上外网的区域、边界的访问控制等，出来一个IP就知道在哪个区域
安全设备 -> 已有的安全防御措施，waf、IPS、TIP、soc、hids、终端管控、杀毒软件 这些防御将在应急响应过程中大大提高应急效率，节省很多宝贵时间
备份情况 -> 企业是否具有备份，在处理勒索病毒时，非常有用
应急预案 -> 应急过程是高强度、争分夺秒的事情，在这种情况下很难考虑周全，因此需要事前做预案，对各种可能情况进行冷静、理智分析，包括解决方案、操作步骤、联系人员
应急演练 -> 确保应急预案可用，流程顺畅，因此 需要事前进行演练，查找预案的不足，及时进行更正，确保预案可行性
预案中最主要的是人员通讯录，明确分工和职责，至少需要一位总指挥 见过太多无头应急，失败已经是注定的

事中

应急的理论基础:攻击留痕(罗卡交换定律)

检测

怎样发现出现问题的?

• 主机向外发送大量数据包?
• 主机资源瓶颈(CPU跑满 -> 挖矿，磁盘满了->数据下载)
• 安全监控报警(日志报警)
• 威胁情报(用户诈骗投诉电话、SRC威胁情报、暗网监控)
• 主机运行比较慢?

响应

收集受影响的主机信息和取证相关恶意程序
收集相关的日志信息包括但不限于网络流量日志、防火墙日志、系统安全日志、审计日志、web服务器日志、数据库日志和其他相关日志。
对已掌握的线索进行深入分析，并对其攻击类型进行分析和定性，如网络攻击(端口扫描、账号破解、POC扫描、DDoS)、恶意程序(病毒、勒索/挖矿木马、后门)等
在根据分析结果对本次事件的发起时间点进行确认，定位攻击源头，确保受影响服务和失陷主机
最终是以时间为线梳理出来的完整攻击路径

处置

真实操作中，处置与响应基本上同时进行，而且处置是止损的关键。主要操作的方法:
封锁公网IP -> 一般是攻击者的服务端公网IP地址
封域名 -> 内网dns封掉回连dns
线下被感染的主机 -> 网络隔离掉被感染的主机
恶意软件采样 -> 恶意文件
后门账号 -> 清理后门账号
横向排查 -> 此类相关问题进行横向排查，确认是否有相关问题 ,比如确认恶意木马，计算hash，在HIDS检索，确认其他机器是否存在相同文件

溯源(人的识别)

• 网络特征分析及追踪溯源
  攻击IP相关信息，木马的C2地址
• 文件特征分析及追踪溯源
  文件hash关联
  编译信息(编译语言、编译时间、编译器信息、调试信息等)
  数字签名伪造或滥用
• 代码特征分析以及追踪溯源
  经过逆向分析提取恶意程序代码片段和字符串，进行Hunting分析，关联相似样本和进行代码同源分析
  行为特征分析，根据该样本使用的技术特征进行关联和扩展

核心注意事项

• 团队合作
  应急响应是争分夺秒、超高强度的工作(背后可能站着数级领导，甚至是CXO), 一个错误可能就让攻击者将几千万用户信息下载走了,同时应急工作比较杂乱，涉及到网络、主机、监控设备、应用、数据等等方面，需要一个团队进行分工协作才能够胜任，因此必须有一个对情况比较熟悉的团队指挥官,负责统一指挥，比如记录失陷IP，公网IP，发布任务(如果有预案则按照预案分配任务)，实现多人协作抗敌的效果

• 纵深检测
  应急响应最宝贵的就是时间，切换死抠一个点，尽可能发挥防御方的优势，快速歼灭敌人。将网络、主机、应用、数据相关信息进行整体联动，单独一个地方抗争不过，就直接更换方式，比如网络层加密传输，则从主机上进行分析，或者确认异常，先阻断远端地址

• 知己知彼
  当知道攻击者常见的攻击方法时，可以采取针对性的防御方法
  比如攻击者常挖掘子域名，则可以在外网放个密子域名，当有人访问这个子域名(因为没有发布业务，正常用户是不会访问的)，这就是攻击者IP地址
  比如攻击者常会探测端口，则在外网放个密端口，当有人尝试连接这个端口，这就是攻击者Ip
  比如内网蜜IP地址或者蜜域名, 当访问时就会发现攻击者
  比如网络是攻防必争之地，如果服务本身没有出网要求，可以将服务器访问外网权限关闭，可以大大提高攻击难度

• 弄清缘由 横向排查
  一定要分析清楚，按照时间顺序完整的攻击路径，获得相关信息比如木马文件(HIDS)，恶意账号(HIDS)，攻击者IP(从内到外网络流量日志/VPN日志/web日志), 攻击者域名(内网DNS日志)

参考文献

国家网络安全事件应急预案
GB/T 38645-2020 信息安全技术 网络安全事件应急演练指南