作為安全事件發生後進行響應的重要組成部分,攻擊溯源有助於企業在一定程度上還原攻擊者路徑及攻擊手法,並以此加強自身防禦,儘量避免二次攻擊的發生。但在實際操作中,溯源的難度、時間的可控性等往往難以估量,甚至還會帶來不小的內部損耗,但面對有時不得不做的溯源,企業應該如何評估考量?該從哪些方面提升溯源效率,本期話題我們就以企業進行攻擊溯源為話題,對相關問題展開討論。
在美國針對西北工業大學的網絡攻擊事件中,我方進行溯源花費了一定的時間,大家認為影響溯源時長或者說難度的因素有哪些?
A1:
影響時長和難度的還是看雙方的技能,攻擊方反溯源能力,被攻擊方的安全建設能力。是否有日誌系統等。
A2:
需要看中間有多少數據、日誌存留下來了。取決於攻守雙方的能力和水平。
A3:
對手狡猾,毀屍滅跡 ,比如不斷變化IP,刪除Logs等,增加取證難度。
A4:
攻擊IP不一定能溯源到有效信息,往往是跳板機或者肉雞。
A5:
個人理解,美國本身技術領先,掌握關鍵基礎措施,本身用的跳板多,跳的次數多,又一般位於與我方無網絡安全合作的一些國家,溯源難度大,又加上這次劍指TAO,必須拿到有力的鐵證,否則不會發布。
A6:
影響溯源時長的我覺得有三個因素:
(1)溯源團隊的專業能力越是高水準的APT溯源,對安全團隊的專業能力要求就越高。目前大部分企業的安全團隊的職責劃分都不算細緻,很多情況下甲方企業組建安全團隊的需求中溯源能力的要求並不高。畢竟針對APT團隊的溯源,一般涉及到對團隊自研後門的分析等,所需的部分技能如樣本分析、逆向、二進制等技術難度高,需要溯源人員具有高素質的紅隊水平,這與企業的安全團隊技能樹的交集是很小的,基本不具備複雜的病毒樣本分析能力。比如老美之前開發出來的一些後門技術,有的安全團隊依舊無法有效分析。所以必要的時候還是請專業的乙方安全團隊來做溯源吧。
(2)企業的安全建設水平一個內網都部署了全流量監控的企業和一個公網WAF都不怎麼更新的企業在面對相同的應急響應事件時,溯源難度是完全不同的。所謂巧婦難為無米之炊,輔助溯源的手段越多,溯源起來也會容易不少。誠然,現有的各家安全廠商的安全設備有或多或少的缺陷,但是在實際場景中,無論是安全事件的發現還是響應,這部分前期投入的安全設備在面對中低水平的溯源事件中依然發揮着不小的作用。
(3)攻擊方的專業能力腳本小子和黑灰團隊和職業APT打手這幾個給企業帶來的威脅是完全不同的,當然這與企業自身的價值也是密切相關,畢竟沒人打蚊子還用大炮。如果企業本身存在較高的入侵價值自然面對的風險越高,所以該需要投入的安全預算還是不要太少比較好(給點預算吧!我相信這也是群友們的呼聲)。
Q:如果企業被攻擊,但攻擊溯源成功之後,安全部門是否可以「甩鍋」或者免於責罰?
A1:
「甩鍋」是必然的,否則啥都要安全部門承擔,那安全部門就太坑了,沒人願意幹了。前提是,安全部門首先要做好該做的事,才能順利甩一部分出去,但是甩不完,安全部門都會有責任,畢竟監測是安全部門在做。最好的結果就是把主要責任能夠甩出去。
A2:
不能免責,如果溯源就能免責,那就不要做防禦了。溯源後復盤出了哪些問題,如何改進,且舉一反三。責任歸屬上,業務和安全都有。
A3:
這個不相關吧,拿多少錢辦多少事,如果預算有限,沒有足夠的防護手段,不能溯源也不能承擔責任。如果是通過一個應該防護好的渠道被攻擊,那麼就算溯源了,這個問題也應該追責。
A4:
溯源成功後能不能甩鍋,還是看分析出的問題所在是不是其他人砍了預算,還是沒按要求落實安全規範,人手不夠等等。如果其他都行,就是安全自己沒做好,對上說不過去了,那就沒辦法了。
A5:
可以甩鍋,但前提不是溯源成功,而且在攻擊前已經做好相對應安全加固措施,但還是被攻擊成功,然後監控及時發現,快速溯源處置,才可以進行甩鍋。
A6:
溯源對於安全甩鍋感覺沒啥用,而且溯源之後的事情往往涉及法務等等,非技術部門可控範圍,安全事件發生了,一旦聲譽之類的次生危害發生了,能溯源只是挽回點面子,但從效果看意義不大。
A7:
攻擊溯源成功,本身對於安全是加分項;事後復盤如果安全工作沒到位,免不了被倒打一耙。背鍋無所謂,如果事後能推動安全工作、增加預算、提高所處地位、增加HC,不要臉就完事了。
A8:
我覺得還是不能的,安全團隊就是用來背鍋的。能否大事化小取決於這次事件造成的具體危害,要是嚴重影響公司的正常營收,怎麼折騰都要被處罰的。
Q:針對哪些攻擊,企業會開展攻擊溯源,溯源成本一般怎麼衡量?對於成功性較難把握的攻擊溯源,到底有沒有必要做?一般該如何評判?
A1:
溯源是一定要做的,如果被打穿被脫褲了不溯源,那就變成公交車了。
A2:
有限制嗎,比如一定要溯源成功,還是有標準化的流程,或者人力物力的預算。
A3:
溯源還考慮啥成功率,溯源應該遵循應溯盡溯的原則。
A4:
對於到底有沒有必要做,可針對影響和造成的損失來決定溯源的力度。
A5:
事件溯源分析和攻擊者溯源,兩碼事。
A6:
這裡討論的應該都包括了,只是對於企業來說,重點是事件,攻擊者身份的溯源是順帶的,否則成本就太高了。
A7:
對於體系完善的公司來講,知道為啥不能溯源到這個會比較簡單點,但是如果沒有完整安全體系的公司來講還是會比較困難的。本身就是一個篩子,鬼知道是哪個洞被利用到了。
A8:
基礎日誌搞起來問題不大,但是被搞了以後,可能會有日誌覆蓋率問題,依賴問題一大堆。
A9:
看企業自身的能力以及外部專家、服務提供商的水平了。基礎的溯源肯定要做,不然都沒辦法撰寫事件報告。
A10:
當年我司安全0投入,被人攻擊了。別人日誌全刪,因為影響有點大,所以找了幾個安全公司,都說做不了溯源。最後有一家開了一個巨高的價格。最後CTO放棄溯源了。然後開始安全投入。
A11:
分析也好,溯源也罷,目的只是為了知道自己問題出在哪兒,怎麼進來,怎麼擴散,以後怎麼改。數據越多越利於分析,就怕沒人沒資源管這個。
A12:
系統爆破,命令執行,數據竊取或已經到主機層(內網)的攻擊會溯源;溯源依賴的日誌,優先將對外的系統、Web類系統通過SDL卡點落地,主機層、網絡層面(主要是互聯網網關、數據安全域網關、各子公司互聯口)也做了審計留存。
溯源必要性還是有的,現在HVV的初心也是去檢驗、提升防守方發現問題、應急處置的能力。
A13:
任何攻擊都可以溯源,只是時間和成本問題, 像DDoS攻擊 釣魚郵件等,可以第一時間快速鎖定, 勒索病毒這種可以委託第三方公司 。
A14:
溯源應該溯到,你真正被入侵的源頭在哪,去修掉那個洞,或者加安全策略迴避。
A15:
個人感覺對於技術類攻擊相對不怎麼會溯源,意義不大,主要還是發現別人是怎麼進來的,有哪些漏洞跟問題,亡羊補牢,持續優化。反而是涉及品牌保護的,對一些仿冒公司的進行釣魚、詐騙的,公司會爭取社會資源支持進行溯源和打擊。
A16:
個人認為,考量因素如需要調動的安全人手、其他部門資源、外部協助;是否需要做「成功性較難把握的攻擊溯源」,還是看ROI。
A17:
外部溯源不一定能做到,但是內部溯源是必須做的,否則都不能確定究竟什麼原因導致的問題。
A18:
我們一般是針對應用系統影響較大問題的進行溯源,比如系統打不開了,恢復後丟失數據之類的,如果只是終端計算機連惡意域名、中毒中木馬啥的,封IP,重裝系統之類的短平快處理。如果是溯源的話,基本就是要找到攻擊者IP,事件說清楚前因後果,提交好事件調查報告,基本上都是內部處理了。
A19:
一般會溯源的攻擊都是確認攻擊成功了以及造成了影響較大的攻擊事件(比如大規模數據泄露,重要系統被拿到權限這種)。一般的也就是自己找到攻擊鏈,把漏洞補了就是了。畢竟現在除開膽大的表哥,就連大部分小黑都知道掛代理了。
溯源的成本分情況,如果自己搞那就是個時間成本,算個工時就完了,也不會做多久。如果是影響重大自己又解決不了的就要考慮請外部安全公司來應急了,這部分是要花錢的,一般不會這麼做。但是在不得不做的時候,比如你泄露了公民數據,大手介入進來了,該請大牛還是得請。
本期精彩觀點到此結束啦~此外,FreeBuf會定期開展不同的精彩話題討論,想了解更多話題和觀點,快來掃碼免費申請加入FreeBuf甲方群吧!
加入即可獲得FreeBuf月刊專輯,還有更多精彩內容盡在FreeBuf甲方會員專屬社群,小助手周周送福利,社群周周有驚喜,還不趕快行動?
申請流程:掃碼申請-後台審核(2-5個工作日)-郵件通知-加入會員俱樂部
如有疑問,也可掃碼添加小助手微信哦!
號外:攻防復盤星空夜話視頻專欄已於8月25日上線FreeBuf視頻號,趕緊掃碼觀看!
關於攻防復盤星空夜話
攻防復盤星空夜話作為《FreeBuf網安智庫說》第四季的主題,由網絡安全行業門戶FreeBuf主辦,將共邀8位行業資深嘉賓、共8期節目,圍繞紅藍方觀點、攻防報告分享、圓桌討論等主題,全方位切磋各類攻防「技法」,系統盤點攻防期間的得與失,為今年的攻防演練劃上一個完美句號。
FreeBuf甲方群成員(因篇幅限制僅展現部分行業成員):
金融行業:貝寶金融 安全負責人、成都農商銀行 信息安全負責人、晉商銀行 安全負責人、北京銀行 安全負責人、君龍人壽 技術負責人、合合信息 合規負責人、合生 信息安全負責人、航天產業投資基金IT負責人、工銀金融 信息安全負責人、前海聯合基金 信息安全負責人、天弘基金 安全負責人、陽光保險 信息安全部負責人、南京證券 安全負責人、寶馬金融 信息安全經理
運營商:中國聯通 網絡安全主管、中國電信 信息安全技術主管、上海電信 網絡安全主管、天津電信SOC主管、太平洋電信 研發總監
精彩推薦
留言列表