【应急能力提升6】应急响应专题总结会
本文为整个专题的第六篇,前面完成了方案设计、攻击模拟、应急响应、评分环节,接下来是回顾每个攻击模拟之后的专题会。
针对每一个专题,单独组织了一次专题会;每次会议在提交应急响应报告后一周内进行,时间间隔越短,参与的人员印象越深刻,效果也越好。在总结会中,根据应急响应报告将每个组存在的问题(应急思路、分析逻辑、实际操作细节、报告行文逻辑、汇报表现)与优势进行点评,除了发现本次专项开展过程中暴露的问题外,还能关联日常工作得到提升引导。
01
—
总结会目的
除了最初的应急响应实战能力提升目的外,组织各组人员参加总结会进行汇报、讨论、听点评,还会带来一些额外的好处:
- 锻炼新人演讲能力:每个专题会上,要求每个小组进行讲解,机会优先给到新人,充分让其展现自己的思路与成果;
- 督促深化单兵能力:通过会议的方式,推动参与人员进行思考与总结;通过演讲的方式,将所做所思讲出来,进一步帮助其加深对知识的印象与理解;
- 攻防相长双向提升:红队分享攻击链路,蓝队分享应急流程,红蓝双方相互思维碰撞,红队与蓝队之间也能相互习得技巧与思路。(在大多数同事有红蓝两个团队的公司,一般红蓝队都是对立的,很难有机会坐到一起沟通技术)
02
—
总结会流程
在该专项的两次总结会中,每次的主要流程都基本相同,主要包括:
- 总体情况介绍:应急响应靶场的难度及各应急小组的完成质量;
- 应急人员汇报:成员介绍、分工说明、还原攻击链路、遇到的问题及解决方法、此次应急响应对后续的学习和工作启发等。其中还原攻击链路包括攻击者整个思路、如何发现漏洞、利用什么漏洞、如何获取权限、获取权限后做了什么等;
- 评委提问点评:每组汇报完成后进行,事先已经让各位评委针对每个进行点评和打分,缩短总结会上的时间;
- 红队攻击阐述:特别是给应急响应人员准备的trick,比如故意留着漏洞不利用,等待应急响应人员去分析挖洞;在第二次场景中留下存在rce漏洞的exiftool,若应急人员使用现成的工具分析图片数据,就会cs上线;
- 总结表扬沉淀:针对表现好的个人与小组进行表扬,并做整个项目中做的好之处进行总结与知识沉淀。
03
—
总结会沉淀
经过两次总结会,总体应急响应能力有了明显的提升,基本达到预期的效果。比如在第一次汇报时,有的小组报告质量比较差,有的甚至不清楚如何将证据串起来分析;但在第二次汇报时,各组的分析思路和报告编写质量变好了很多,攻击路径虽然写得不全,但是描述的很清晰,相比第一次已经有了巨大变化。通过这两个模拟专项,也确实沉淀了一些有价值的思路、流程、问题和学习资源。
3.1.应急响应实战思路
部分小组的报告基本上算是应急响应的“标品”,应急响应的思路清晰,考虑问题全面,涉及到的操作也十分详细。几乎可以直接拿来当做模板,供给大家学习和使用。
(Linux系统排查思路)
(Windows系统排查思路)
其中,个人比较认可的的应急响应步骤如下:
- 及时止血:当遇到网络安全攻击事件时,需要从业务连续性和带来的危害两方面进行权衡。考虑的因素包括:被攻击目标是客户端or服务器;若是服务器的话,需要明确是在生产环境or测试环境;若是生产环境的话,是不能停的业务还是可以中断的业务...等多个因素来判断。通常在不影响公司盈利的情况下(如接入安全防护设备阻挡部分攻击),其次是局部受影响(如业务断网下线或做网络限制),最后没办法才会选择下电关机;
- 了解现状:前面的篇幅已经描述了,根据被攻击、已执行的动作等情况进行沟通,充分了解后对症下药开始应急;
- 备份环境:前面的篇幅已经描述,首先要保留入侵痕迹,方便后续有必要的话进行取证;
- 数据恢复:若是遇到数据被加密勒索,则需要解密;若是在被攻击机器上找不到有效痕迹(大概率被攻击者清除),也需要尝试进行数据恢复;
- 安全分析:首先需要进行大胆假设,然后小心求证,不放过一丝痕迹但又要注意不能钻死胡同,暂时弄不清楚可以先记下来放一边,从整体视角出发再来回顾问题;其次是可以从正反两个方向进行分析,正向是从现场分析安全问题,反向是从安全漏洞分析入口;最后将正反两个方向的分析结果进行梳理,以证据为关键点梳理出攻击链路;
- 后门清除:前面的篇幅已经描述,包括web、系统账号、系统内核层面的后门;
- 漏洞修复:除了已经发现的漏洞,有必要对收集到的信息进行漏洞关联,比如使用了Beescms,查看是否还有其他漏洞,甚至对系统进行渗透测试均是很有必要的;
- 安全加固:开启各类日志、主机、服务层面的加固等,最常见的就是弱口令清除、默认口令修改、服务最小化暴露、应用系统相关服务以最低权限启用;
- 重新上线:加固并功能测试之后,再次上线恢复业务;
- 编写报告:对整个事件的应急情况和结果进行记录,编写应急报告。在甲方企业中,更多想看到的还有问题分析、改善或提升优化等计划。
3.2.专项反哺日常工作
将总结会中发现的问题映射到日常工作,更进一步找到了大家在应急实战中存在的不足之处。另外无论是攻击、防护还是检测,都发现一些问题有待解决,比如:
- 对Linux系统及相关操作不熟悉:对Windows环境比较清楚使用何种小工具,但是在Linux中不太清楚,不知道合理并高效的使用find、cat、awk、sed、netstat、ss、ps等命令,对rc.d、rc.local、sysconfig、log等常见配置文件和日志不够清楚;
- 日常运营工作中部分场景SOP积累不够:在两次攻击模拟中,持久化部分的攻击行为比较难以发现,提权相关攻击也基本仅靠文件去分析,各应急小组对这两部分均表示比较困难。其原因之一就是在日常工作中,很难接触到相关的应急场景,故SOP也比较少。
3.3.应急响应技能要求
如何才能做好应急响应?通过本次课题中的两次攻击模拟与应急响应,从参加的7个小组、15+人员,可以印证需要下面这些能力:
- 操作系统基础;
- 日志分析技能;
- 应急工具使用;
- 安全漏洞原理;
- 渗透测试(加分项):在反向从安全漏洞分析入口时,具备渗透实战经验的同学明显比较有优势,思路更加广。
以上能力的积累,也是我们在后续新员工培养中的输入项,同时亦可以此为应急响应专业技能图谱的评判维度,对该序列同学进行技术职级评定。
