难以评估事件严重性——摆在面前的到底是普通病毒,还是高级木马?
应急处置难,影响员工工作——安全建设做了不少,真到实战还得靠“摇人”;分析处置时,又长时间占用员工电脑,影响办公,员工白眼我也着急,作为服务人员,我太难了!
处置效果难评估——删文件、杀进程,还是不确定是否清除干净;告警分散,日志太低级,分析了一大堆,依旧找不到风险点。攻击,到底从哪进来的?
这些难题并非个案,刚好对应着企业安全运营应急响应的“三步走”。
第一步:评估威胁严重性 确认影响范围
搞清楚威胁是什么:通常需要上机调查,翻看系统日志,从告警信息出发,一层一层寻找告警相关的信息。然后将这些信息关联起来,还原攻击过程;
弄明白威胁在做什么:要解答这个问题,需要安全人员具备十分专业的知识和丰富的经验,尤其是面对隐藏能力高的威胁样本时,使用多种工具是常态,甚至还要分析恶意样本代码;
确定威胁影响范围:这要求安全人员对企业资产了如指掌,不仅包括CMDB,还需要掌握一定的攻击面信息,以便在短时间内确定失陷主机的使用者、所属部门等信息。
在解决了第一问题之后,安全技术人员的视野大大开阔,对各种“敌情”了如指掌,那么,接下来的就是:
第二步:确定响应面 进行威胁处置
找到病根:通常高度依赖系统日志,甚至在大部分时候,需要与终端的使用员工进行深度交流,才能搞清楚导致威胁的根源:是邮件钓鱼、水坑攻击,还是伪装工具或其他。EDR的存在让事情变得简单,因为EDR记录了全量的行为日志数据,可帮助安全人员简单、快速地追溯威胁根因,溯源出威胁的全路径。而好的EDR甚至可以自动化的定位到根因。
对症下药:这个阶段考验安全运营人员的处置经验,清楚地知道对一个根因要如何处理,是清理注册表项,还是要删除一个文件、一个账号?处置动作通常需要人工手动进行,甚至会长时间占用员工电脑。而基于EDR自动溯源和攻击还原技术,安全人员不需要有高深的从业经验,就可以根据攻击的全过程进行“逆向操作“,从而进行快速处置清理。好的EDR甚至可提供智能的一键处置能力。
疑难杂症:遇到一些高隐藏、高对抗的新型威胁,处置和溯源都费时费力,可能需要引入外援,共同完成。而好的EDR针对顽固病毒木马也能提供易于使用的专杀工具,一键推送,全网清理。
处置了威胁并非“大功告成”,还需要观察一段时间,确保威胁已经彻底清除。这就是:
第三步:持续观察 确认威胁彻底清除
直播预告