护网中分析研判是属于高级工程师的工作,是攻防演练能否获胜的核心
响应作为遏制攻击、缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步。但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”,攻击研判相当于整个事件响应流程的“军师”,承担分析判断安全事件和决定处置方式的任务。
攻击研判的定义及重要性
网络安全中的攻击研判,可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警,通过结合已有的经验和相关工具,来判断其是否为真实存在的攻击,并根据判断结果做出响应的响应、给出处置建议。
一般来说,对攻击事件的分析研判通常从以下 4 个维度进行:
- 对已发现攻击的来源进行研判;
- 综合分析攻击技术、工具和路径,判断其威胁性大小;
- 攻击意图研判;
- 处置方式判断。
攻击研判可以看作安全防护流程最为关键的一环。它上承安全告警的分析,下接安全处置的实施,是安全防护过程中技术含量最高的一步。
一个企业组织,拥有攻击研判能力是至关重要的。这样在发生告警的时候,它可以做出正确的判断,进而实施有效的措施,使情况恢复控制。攻击研判,同时也是事件响应过程中最具挑战性的环节:确定是否发生了事件,事件影响面有多大,后续如何遏制或根除异常、可疑活动。
攻击研判中的团队角色分类
为了有效地处理网络安全事件,企业组织需要一个专门从事攻击研判的团队。这个团队的任务是当安全告警发出时,按照既定计划对事件及时进行分析和判断。
以下是一个组织内进行全面、协调的攻击研判所需的角色列表。用户可以根据企业组织的规模、结构以及监管和行业要求来定制此列表。例如,一个人可以担任几个角色,或者几个人可以协调分担一个角色的责任
攻击研判团队由专业安全人员组成,每个人在处理事件时都发挥着重要作用。
安全运营中心。 对每个安全警报进行分类、收集证据并确定适当的行动。轮班工作的分析师必须对网络安全威胁有广泛的了解,他们能够访问各种安全平台和工具,例如SIEM 和 EDR 解决方案。这些工具会生大量的警报,安全分析师需要能够理解和解释这些数据。如果事件为高优先级或超出技能范围,则需上报事件管理团队。
研判管理团队。 管理团队向相关人员提供证据、建议和意见,并确定事件的节奏,确定需要完成哪些任务、谁来完成,以及应该在什么时候完成。所有事件流转和通信也都由管理团队完成。
安全专家团队。 他们只参与重要或高优先级的事件。与运营中心的分析师拥有广泛的技能组合不同,专家团队由具有专业技能的个人组成,例如恶意软件分析师和数字取证专家。该团队提供专家技术建议和分析,并由管理团队分配任务。
威胁狩猎团队。 尝试确定事件的根本原因并还原攻击路径,为后续响应工作提供信息。确定对手能够在环境中访问和操作的条件。这些条件将为事件分类和事件后续活动提供信息,以调整网络和系统,使其实现更好的安全防护功能
分析研判的 6 个步骤
攻击研判属于安全事件响应的一部分,为了更好地了解攻击研判在整个事件响应过程中的作用,我们可以把列出包括攻击研判在内的事件响应全流程,其中蓝色部分属于攻击研判的流程部分。
在攻防实战中,根据告警发生后防守方的响应流程,我们可以把攻击研判服务,划分为以下6 个步骤:
攻击告警真实性研判
在接到告警研判服务请求后,安全专家通过内置的研判溯源模型并结合实际环境,快速分析告警主机的进程和操作审计事件,确认告警的真假以及攻击者还做了其他哪些操作,明确告警主机是不是已被入侵,安全专家进行系统性的梳理并给出详细的研判分析报告
对在系统发出警报后好做出响应的处置以前,需要对警报进行确认,是误报,还是真的有告警事件发生?如果告警是真实的,那么攻击者是正在试图入侵的过程中,还是已经成功入侵?只有确认告警事件为攻击者已经成功入侵后,才会启动响应处置。
告警研判的结果和对应措施也可以用下表直观地展示出来:对在系统发出警报后好做出响应的处置以前,需要对警报进行确认,是误报,还是真的有告警事件发生?如果告警是真实的,那么攻击者是正在试图入侵的过程中,还是已经成功入侵?只有确认告警事件为攻击者已经成功入侵后,才会启动响应处置。
告警研判的结果和对应措施也可以用下表直观地展示出来
| 告警研判的结论 | 对应的响应措施 |
|---|---|
| 告警为误报 不需要处理 | 需要进行策略优化 |
| 告警为尝试攻击,对系统无影响 | 需要后续持续关注 |
| 告警为真实告警,告警主机已被入侵 | 需要上报决策组进行应急响应 |
攻击事件调查
一旦确定了告警的真实性,安全专家要通过主机、流量侧的日志以及系统告警等信息,对攻击事件进行调查。并根据攻击行为特征建立一套通用的方法论,生成《XXX 事件调查报告》。用户可以根据这套方法论在自己的安全设备中添加检测规则,以便在下次面对相同攻击的时候快速做出响应。
在这个过程中,请参阅以下关键问题以全面了解攻击事件:
- 最初的攻击媒介是什么?(即,攻击方如何获得对网络的初始访问权限?)
- 攻击方如何访问环境?
- 攻击方是否利用漏洞来获得访问权或特权?
- 攻击方如何维持指挥和控制?
- 攻击方在网络或设备上是否有持久性?
- 持久性的方法是什么(例如,恶意软件后门、webshell、合法凭证、远程工具等)
- 哪些账户已被盗用,这些账户是什么权限级别(例如,域管理员、本地管理员、用户账户等)?
- 使用什么方法进行侦察?
- 是否发生横向移动?如何进行横向移动(例如,RDP、网络共享、恶意软件等)?
- 数据是否被泄露,如果有,是什么类型的,通过什么机制?
失陷范围排查
安全事件发生时,对于横向移动主机,安全专家首先会根据现有信息找出一台确认失陷的主机,然后以这台失陷主机的数据以及它的互联关系为线索,在用户系统中展开内网溯源,确认是否存在被横向渗透的主机,并循环此过程逐步找出所有失陷主机,确认攻击影响面及具体的失陷范围。
攻击过程还原
攻击溯源是事件响应的关键,也是安全能力提升的关键。通过对被攻击资产的分析与溯源,还原攻击路径与攻击手法,用户不仅能够有效提升攻防演练效果,还可增强常态化安全防御能力,将攻击事件转换为防御势能,避免二次攻击事件的发生
防守方成果报告整理
在攻防演练中,防守方在完成攻击确认到调查、还原的整个流程之后,需要整理出一份防守报告,阐述攻击的真实性、攻击的覆盖范围、攻击者的攻击路径及行为。并将报告提交给组织方,即可得分。
攻击清除处置建议
最后,根据对攻击者所用技术和攻击路径的反向梳理结果,安全团队要综合分析对方的攻击动机和意图,以及用户自身的防护水平及目的,给出合理的处置建议。
参考文献
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系-要求
GB/T 22080-2016 信息安全技术 信息安全管理体系要求
GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
1185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
