应急响应的整体思路和基本流程

2018年信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保障企业在出现重大安全事件时,能有条不紊的进行处置,及时把破坏范围缩小。

 

 

深信服EDR安全团队,全年参与了各种重大流行病毒和安全事件的应急响应,在此,我们将团队一整年的思考和所形成的流程,共享出来,期望能给未来即将从事,或者长期从事应急响应、安全研究的人,一些启迪。

 

 

我们大致从八个方面阐述,分别是:应急响应的整体思路、应急响应的基本流程、应急工具集简介、系统日志及日志分析、威胁情报的作用、常见病毒及分类、理解漏洞和补丁、技能提升建议。

一、应急响应的整体思路

 

 

应急响应的整体思路,就是上层有指导性原则和思想,下层有技能、知识点与工具,共同推进和保障应急响应流程的全生命周期。

 

 

原则和指导性思路

 

 

3W1H原则:3W即Who、What、Why,1H即How,做应急响应要带着疑问来做事,一定要收集清楚这些信息。网络拓扑是怎么样的?需求是啥?发生了什么事?你能做什么?用户用了什么产品?产品版本多少?病毒库版本多少?多少主机中了?主机是普通PC还是服务器?服务器是做什么的?……信息收集越多,对应急响应越有利。

 

 

易失性原则:做应急响应免不了要做信息收集和取证的,但这里是有一定的先后顺序的,即最容易丢失的据,应该最先收集,其它的依次类推。

 

 

要素原则:做应急响应,主要是抓关键证据,即要素,这些要素包括样本、流量、日志、进程及模块、内存、启动项。

 

 

避害原则:做应急响应,要做到趋利避害,不能问题还没有解决,反而引入了新的问题。譬如,自己使用的工具被感染而不知情;给用户使用不恰当的工具或软件造成客户主机出现问题;给别人发样本,不加密,不压缩,导致别人误点中毒,最极端的场景就是给别人发勒索样本不加密压缩,导致别人误点中毒。

 

 

技能、知识点与工具

 

 

应急工具集:应急响应必要的一套工具集合,可协助应急人员做分析,提高效率。

 

 

日志分析:能对日志进行分析,包括但不限于系统日志(Windows/Linux等)、应用日志、安全设备日志(防火墙、防病毒、态势感知等)。

 

 

威胁情报:安全事件可能不是孤立的,安全站点或搜索站点能找到安全事件的关联信息。

 

 

漏洞补丁知识:知道漏洞与补丁的关系,它们在应急响应中的角色,了解常见漏洞及补丁。

 

 

常见病毒及分类:知道病毒大致的分类以及常见的病毒。

 

 

样本分析:至少能对样本进行一次简单动态的分析。

 

 

操作系统知识:至少对Windows系统和Linux系统的有一定的知识储备,知道其基础的工作原理。

 

 

二、应急响应的基本流程

 

 

应急响应大致可以分为五个部分,其基本流程包括收集信息、判断类型、深入分析、清理处置、产出报告。

 

 

收集信息:收集客户信息和中毒主机信息,包括样本。

 

 

判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。

 

 

深入分析:日志分析、进程分析、启动项分析、样本分析。

 

 

清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。

 

 

产出报告:整理并输出完整的安全事件报告。

 

 

勒索和挖矿事件,可以占比50%以上,而且这两种安全事件业务特征极其鲜明,因此可以单独提流程出来处置。

 

 

信息收集表

客户名称

 

 

什么区域的什么客户

 

 

感染主机数

 

 

感染了多数台主机

 

 

补丁情况

 

 

打了哪些补丁,是否存在补丁漏打

 

 

中毒现象

 

 

勒索/挖矿/DoS/僵尸网络/后门/木马

 

 

帐号密码

 

 

确认是否有弱密码

 

 

对外开发端口

 

 

对外开发了哪些端口

 

 

开启的服务

 

 

开启了哪些服务

 

 

操作系统版本

 

 

操作系统版本信息

 

 

客户需求

 

 

确认客户具体需求