前几天卡巴斯基发布了一个安全事件响应指南的文档,具体内容可以参看阅读原文链接。通读了一遍,感觉这是一个非常基础的过程介绍比较完整的指导资料,适合网络管理员和初级安全事件响应人员阅读。文档里当然也夹带了不少卡巴斯基的私货,本质上这是一个有点干货的市场材料,内容上主要有以下几部分构成:
1. 术语和定义。文档涉及到的多个基本概念的解释,并不学术化,易懂。
2. 洛克希德马丁的Kill Chain介绍。未知攻,焉知防,对攻击者的基本套路有个了解。
3. 推荐的事件响应基本步骤:准备、识别、隔离、清除、恢复、反思。
4. 基于一个虚构事件的响应处理案例细节演示。
5. 推荐相关的工具:IOC收集、取证处理、分析、清除。
其实读下来给我最大的感觉就是IOC的作用,IOC这个词在文档中出现了50多次,基本上整个事件响应事实上是由IOC作为起点驱动的,也就是说由威胁情报驱动事件响应。现在大家都在谈安全的新潮流,出去开会讲个议题不提个机器学习人工智能都不好意思跟人打招呼,创业做安全没个ML/AI加持都拉不到投资。可是,事实上IOC这种低层次的威胁情报对安全能力不强的组织机构才是最有效的发现安全事件的手段,没有之一,而提供精准有效上下文丰富的IOC类威胁情报正是360威胁情报中心所做的。就在一两年前,参加安全相关的展会,进场遍地的威胁情报搭边的Slogan,今年看Blackhat,基本没有了,大家都在谈机器学习和异常检测了,但是几乎所有的检测类产品都集成了可输入的威胁情报,这个东西在大家都不谈的时候开始真正落地了。
总体来说,卡巴斯基的这个指南文档内容中规中矩,但细节不丰富,是一个入门读物,要形成对应的工作能力需要看更多的资料和实践。但是,文档中关于事件触发器的部分感觉很有价值,简单翻译如下供实在没时间读文档原文的同行参考。
事件触发器(Incident Trigger)
事件触发器是这样一个事件,它的出现指示着网络中发生了现实的危害。当这类事件出现时,事件响应团队应该意识到网络中存在进行中的攻击活动,事件触发器从这个意义上来说区别于一般性的网络活动事件。
防病毒系统产生的事件触发器
防病毒管理系统从终端可以汇集事件信息,当一个终端发现威胁产生事件会发到防病毒管理系统。但并不是所有的事件都是事件触发器,比如一个发现恶意代码的事件紧接着一个清除成功事件就不算一个需要响应的事件。
仅有以下情况产生告警事件:
连接至已知的C&C
恶意代码查杀失败
同一台计算机中反复检测到恶意代码
防病毒系统报错和故障导致保护级别的降低
可以作为事件触发器的可疑活动
有些异常迹象也可以作为事件触发器,那些活动的出现需要安全团队加入关注并进行调查,以下是一些例子:
操作系统启动时有未知的软件自动跟随启动
在系统服务列表中存在未知的服务
可执行文件从特定目录中执行,而该操作系统理论上不太可能从那些目录中启动程序,如系统缓存和临时目录
从不太可能存放程序库文件的目录加载程序库,比如从某个软件的安装目录中加载一个系统程序库文件
未预期的用户权限提升操作
虽然是合法的但非常有可能为攻击者所用的软件的存在,比如mimikatz、Windows Credentials Editor及其他远控工具
以下可疑网络行为也可以触发作为事件触发器:
非预期的DNS和ICMP流量飙升
与频繁更改IP地址的域名进行通信,该行为可能表明攻击者使用Fast-Flux DNS技术通过把入侵后的机器作为代理来隐藏C&C服务器
与卡巴斯基实验室威胁情报数据中包含的URL进行通信,比如那个URL被分类为恶意Exploit Kit的Landing Page
与卡巴斯基实验室威胁情报数据中包含的IP地址进行通信,比如那个IP被分类为扫描源或被用于执行DDOS攻击
与包含可疑Whois信息的域名进行交互
以上列举的这些异常迹象其实可以作为Threat Hunting的起点,对于有经验的攻防分析人员其实可以举出更多的场景出来。今年的BlackHat展会上Splunk在他们的展台上就讲了两个通过搜索不常见的主机行为来发现未知攻击的思路,其实很简单,就是通过检索少见的进程链和少见的执行文件路径搜索微软Sysmon框架输出的进程日志来实现检测,360威胁情报中心在内部的Threat Hunting实践中也采用过类似的思路发现了定向攻击事件。
阅读原文链接:https://cdn.securelist.com/files/2017/08/Incident_Response_Guide_eng.pdf