应急响应流程整理

由国际电信联盟推出的应急响应流程

一、准备阶段：主要是用于资产收集，评估分析的资产风险，组建团队，并进行安全加固。

准备阶段，又称为预防阶段，是体系的重点。准备工作包括确保架构的基础安全和部署主动 防御的机制这两个方面。准备阶段工作的部署如图 2 所示

a）架构的基础安全

深度上，部署网络纵深防御。明确生产区域、运维区域、办公区域、对外服务区域的网络安全边界。梳理并完善网络安全策略，按最小化原则配置网络访问权限。在各级网络边界合理部署抗 DDoS（分布式拒绝服务攻击）、IDS（入侵检测系统）、IPS（入侵防御系统）、VPN（虚拟专用网）网关、防火墙等有效的安全技术手段，确保东西向流量安全可控，实现网络纵深防御。广度上，做好攻击面防护，有针对性地对重点目标防护。

对于攻击面防护主要是做到如下四个方面：

1、互联网暴露面管理与防护：清理外围泄露的敏感信息，消除“无管理、无使用、无防护、无必要”的互联网暴露面资产，切实收敛暴露面；降低暴露面资产的弱口令、漏洞、多余账号等安全风险。

2、加强主机与系统防护：加固自有主机、系统的基线配置，清除安全漏洞隐患。

3、移动应用防护：压缩内外部移动应用数量，核查应用安全和业务逻辑安全。强化对移动应用后台系统的防护，加强访问权限控制，排查梳理业务逻辑、中间件等漏洞。

4、终端管理：统一管控终端和下放安全策略，如USB 接口有审核开放、禁止双网卡、禁止维护操作终端的外连行为等；部署防病毒、HIDS（主机入侵监测系统）等。

b）主动防御的部署

1、 安全态势感知：呈现各类安全预警信息，精准发现网络安全事件，定位攻击源，溯源事件过程和攻击路径，实现对安全事件的快速预警通告。

2、网络攻击行为诱捕：对重要的生产网络、核心网络以及业务服务器区域，部署蜜罐等攻击行为诱捕系统，实现对网络渗透行为的及时探测发现与诱捕反制。

3、边界防御：例如部署入侵防御。

二、检测阶段：

主要是日常的运维监控，判断可能发生的安全事件，按照应急响应流程上报。

检测是应急响应的基础，明晰内外部资产的状态，通过各类检测设备，实时发现攻击痕迹，快速定位，为后续响应和溯源提供信息和证据。

美国最大的军火商洛克希德马丁公司（Lockheed Martin）提出的“网络攻击链”（ Cyber Kill Chain）模型，也被称为“网络杀伤链”模型，其描述了一次完整的网络攻击需要经历七个阶段，如图所示：

前期部署的防护手段，对应网络攻击杀伤链各阶段的基础数据见表 1

表 1 对应网络攻击杀伤链各阶段的基础数据

Kill-Chain 各阶段	捕获的基础数据
侦察目标	流量；IPS、IDS 告警；应用认证日志
制作工具	无
传送工具	邮件网关（如特定扩展名命中）；Sandbox 告警；PC 的终端安全（含 HIPS 等）告警；互联网访问网关的威胁告警
触发工具	NGFW 告警，WAF 告警；墙后的南北向流量监控；HIPS / HIDS 告警；漏洞信息；主机 OS 日志和 Sysmon / Osquery 等实现的增强日志；HTTP 访问，应用（如登录、访问），邮件，AD 日志等；入站 FW 日志或者入站流量监控日志；东西向流量
安装木马	服务器上尽可能多的监控信息，如进程 hash 和行为；HTTP 访问日志、完整请求 payload 和响应 payload 的前 150 字节
建立连接	DNS 日志；出站流量中的域名或 IP 访问，证书；出站 FW 日志
执行攻击成功	服务器上尽可能多的监控信息，如进程 hash 和行为

表 2 对应网络攻击杀伤链各阶段的威胁情报

Kill-Chain 各阶段	常用的威胁情报数据
侦察目标	收件人邮件地址、目标国家、目标行业、目标个体、扫描特征
制作工具	算法、密钥、特定互斥量、执行流程、加解密方式、特定功能模块、对抗分析措施、源码工程路径、特定数据字串、语言编译环境、特定数字签名、组件组织架构、特别的错误
传送工具	邮件名特征、邮件正文特征、目标邮件和地址、恶意代码进入方式（鱼叉邮件、水坑攻击、U 盘、主动渗透）
触发工具	特定特定事件的 CVE、0-day；通用 payload 特征
安装木马	主机特征：Mutex、写入的注册表项、文件名或路径等；Yara rule；特定主机监控程序；规则集；Webshell 特征；初始启动路径；持续启动方式；伪装正常模式
建立连接	域名、URL（统一资源定位符）、历史解析 IP、WHOIS；SSL 证书；域名注册信息；域名使用偏好；域名命名偏好；IP、IP 反查域名、历史域名解析、RDNS；IP 所在 ASN、地址位置；域名或 IP 信誉评级、标签、关联事件和关联通信样本；通信协议；后门工具；工具类型；工具配置；认证凭据
执行攻击成功	目标数据、打包方法、传输方法、破坏功能

三、抑制阶段：

主要任务是限制事件的扩散和减少影响的范围和影响的程度，同时监测抑制手段的效果。

抑制阶段根据检测阶段的告警结果和前期制定的应急预案，采用安全防护设备进行自动封堵或人工处置，包括网络封堵、设置黑洞路由、域名封堵、WAF 拦截、边界防火墙拦截、隔离主机等。

四、根除阶段：

通过分析这次安全事件，给出相应清除危害的方法。

传统的根除阶段重在排查遗漏的入侵者后门、同类设备或系统是否沦陷，加固同类设备或系统中可能被利用的漏洞。但随着网络攻防形势的发展，对企业或组织的溯源和反制能力要求也越来越高。

溯源需要充分利用检测阶段捕获的攻击行为告警、攻击 IP 等信息，例如通过分析捕获的恶意文件、钓鱼邮件的附件获取攻击者的 IP 或域名，结合威胁情报，还原攻击链，给出攻击者画像，追溯到真实的攻击者身份。还可以利用蜜罐、蜜网等诱捕手段获取到攻击者的信息

反制是对攻击者的服务器实施反向渗透，获取攻击者服务器主机权限，收集攻击者服务器上的攻击信息，并对部分攻击信息进行验证，进一步收集攻击者的身份信息，确保溯源的准确性。常用的溯源反制技术手段如下

1、IP 定位技术：根据 IP 定位物理地址。通过 IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息。

2、ID 追踪术：搜索引擎、社交平台、技术论坛，与社工库匹配。例如利用 ID 从技术论坛追溯邮箱，通过邮箱反追踪真实姓名，通过姓名找到相关简历信息。

3、网站 URL：通过域名 Whois 查询或者攻击者IP 的历史解析记录，获得注册人姓名、地址、电话和邮箱。

4、恶意样本：提取样本特征、用户名、ID、邮箱、C2 服务器等信息定位到攻击者。

5、社交账号：基于相关社交网站的 JSONP 接口敏感信息泄露，且网站登录未注销，可获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等。

五、恢复阶段：

把被破坏的数据或系统还原到正常运作状态。恢复后，需要验证系统网络连接、系统服务是否恢复到攻击破坏之前。观察是否有扫描、探测等行为，确保入侵者不能再次入侵。

六、跟踪阶段：

回顾应急响应的过程，事后分析总结，优化应急预案和响应流程，重新做风险分析。

跟踪阶段需要将安全事件过程复盘，梳理前期防护漏洞，更新防护策略，找出误报策略进行处理，把经验固化。利用自动安全运营的手段，优化分析模型，反向输入到安全防护设备中，形成闭环

攻防演练中的应急响应

实战攻防演练有四个显著的特点，即短时间、高强度的网络对抗、高级 0day 的投入、无破坏性攻击。由于时间太短，攻击者必然要从易到难地尝试，或者找准某个目标，直接利用其漏洞尝试。这就使得在准备阶段部署蜜罐和蜜网极为重要。蜜罐捕获的攻击样本，只要信息量充足，就可以溯源到攻击者的身份。以下为应急响应体系在某次攻防演练中的应急响应实例：

1、准备阶段:部署了远程桌面和 MySQL 数据库两个公网蜜罐。

2、进入实战监测阶段:某互联网暴露面资产遭受大量的扫描行为，筛选发现 MySQL 数据库蜜罐的一个扫描 IP 存在漏洞。该攻击 IP 只是扫描，未有成功入侵的痕迹。

3、抑制阶段：将该攻击 IP 纳入黑名单，限制进一步的探测访问。

4、根除阶段：尝试探测攻击 IP，发现该攻击 IP存在 phpmyadmin 弱口令，通过数据库写文件拿到webshell，获得了系统的 system 权限。很明显，这是攻击者的一台 windows“肉鸡”，为了溯源攻击者的身份，需要找到攻击者留在这台“肉鸡”中的后门。分析后门程序，找到了其他几台被控制的“肉鸡”，同时获得攻击者控制端的域名。在微步在线上查询该域名的历史解析 IP，并且对其中一个 IP 查找历史解析域名，查询到可疑的 QQ 号码，利用 QQ 号码溯源到攻击者的真实身份并取证。

5、恢复和跟踪总结：本实例中的攻击未成功入侵，因此无需恢复。同时总结获得从蜜罐部署、蜜罐捕获信息到反制、溯源的实战经验。

真实入侵攻击的应急响应

由于攻击时间不固定，真实入侵攻击比攻防演练攻击的时间跨度更大，所以需要从大量的探测行为中筛选有用信息。以下为应急响应的例子：

1、准备阶段：对重点保护的区域部署了流量探针、日志审计、态势感知等安全设备。

2、监测阶段：态势感知捕获到来自 IP 为 X.X.X.X 的攻击事件。

3、抑制阶段：将该攻击 IP 纳入黑名单，限制其进一步的探测访问。

4、根除阶段：在各大情报库中查询该 IP，将得到的结果整理表如 3

情报库	查询结果
微步情报	垃圾邮件、恶意扫描等
360 威胁情报中心	存在port scan行为
xxxxxx	xxxxxxx

5、恢复和跟踪总结：假如确认该 IP 未入侵成功，将相关信息取证提交给上级部门。