《情报驱动应急响应》是一本国外人员撰写的书籍,第一次知道它还是在2020年初朋友圈里看到有小伙伴利用中午休息时间阅读这本书。当时的个人认知很浅,没有经历过一些事情就没有办法理解与反思一些东西,自己也没法感受到该书会对后续的工作会有帮助。直到2020年末工作调整需要有方法挖掘针对性攻击事件时,苦于没有想法与思路,便在购书的时候顺便购买了该书,还有一本《网络安全监控实战》作为补充,当时粗读了一下,只能理解一小部分想法与内容。个人感觉这本书很经典,今年又精读了一遍,结合近一年的实践确实收获了一些想法与思考。
这本书适合的读者其实根据每个人的想法与经历看各有差别,属于见仁见智了。因为笔者从前只做过一些简单的Web安全工作,现在从事恶意代码分析与APT组织追踪挖掘响应的工作,所以按照个人的理解对安全运营人员、应急响应人员以及如笔者一样需要从事安全分析的人员有一些帮助,可以回顾一些已经实践的想法,提高整体认知。
信息不等于情报,只有对信息经过分析处理后并能解决疑惑或问题才能称之为情报,举个很容易理解的例子例如爬取了大量的OSINT后汇总变成了情报,其实从深层次长远来看并不属于情报,严谨的表示属于信息收集,这是去年的一些理解,其实还是比较中肯且能让人接受的。情报的目的是要了解攻击者,其实也属于老生常谈的内容,毕竟网络层面的对抗最终来源终归是人,只有了解对手才能对对手的行动做出反应。威胁情报是对对手的分析,分析他们的能力、动机和目标。如果再深入去观察就会发现面对的对手是会不断成长进步的,所以首要就是要理解没有一成不成的事物,对手在进步,作为防御者也得跟上。情报的作用确实挺大的,在防御方面可以拓线获取更多攻击者的情报做好及时防御,在响应方面,可以利用安全分析人员发现的痕迹及时发现安全产品暂时发现不了的威胁,进行主动狩猎威胁,之后在对威胁进行发现分析后提取相关的情报及时回馈至分析人员或情报运营的内部,经过运营与分析又将再次发现更多痕迹,以上这种成环形的流程也是当前比较理想的一种主流工作流程且能发现不少暂未发现的威胁。最后笔者有感触的一点是方法论与模型很多,但是想真正在集体里将该流程运用起来且有很好的效果,其实并不是很容易,对专业的安全公司来说因为需要考虑性价比以及最终能否得到最大利益回报,对甲方应该也类似,毕竟企业的目的是能坚持运营生产获取利益维持企业的发展与运作。个体始终是依附于集体,所以在整个浪潮中个体的行为比较微小,这是无法避免的客观因素。不过随着大家对安全的重视与认知的提升,相信未来也会逐步出现更多应用该类流程的组织,更好的应用也能更好的提升组织的防御,虽然国内外环境确实不一样,但总是有一些想法或者期待也是应该的。
情报与应急响应的关系属于你中有我,我中有你,应急响应的结束并不是定位到风险点就结束了,也可以通过对整体事件的信息收集与分析发现一些痕迹,这些痕迹说不定也能定位到已知的攻击者或者日积月累发现未知的高级攻击者团伙,而定位到已知的攻击者其实能帮助事件响应者理解本次事件背景,做出更准确的反应。什么是更准确的反应呢?不同的攻击事件可能代表存在不同的攻击者,不同的攻击者就有不同的行为目的与存在细微差别的入侵手段。毕竟这个世界上并没有两片一模一样的叶子,不同的攻击者之间肯定会有细微处的不同,虽然结合实际会存在相互模仿的可能性,也就是业界常称之为假旗的行为,但是在比较长的时间活动范围内,仍然会有可能找出差别。
不同的攻击者的目的不一样,所以应对的重视程度也不同,对于蠕虫类常规威胁,或许最初的作者仅仅是好玩,并未有比较强的经济利益目的,而近几年火热的勒索则是直接体现了攻击者背后有极强的经济利益目的,因此这类威胁如果站在攻击者的角度就会有不同表现。蠕虫一般情况不会破坏数字资产,因为扩大感染还是可能恢复的,所以应对的程度便会稍稍放松。但是如果换一种角度思考便会发现每一次应急响应其实都是一次向攻击者学习且提升防御能力补齐短板的过程,比如蠕虫就是大家已知的情报,因为这个已知情报大家对其有一定的了解,此时情报或多或少也起到了一些作用,接着反问那蠕虫是如何进入组织内部的?既然蠕虫类威胁能进来,那其余威胁是否也能进来?在这种反思下,不知不觉便回到了该如何加强防御的过程中。随着勒索攻击团伙对经济利益的不断争逐,逐步演变了很多方式,但最终仍然逃脱不了要对数字资产进行加密的行为,而这也是根据收集到的信息以及应急响应中真实发现的现象总体归纳的,所以组织防御的重点有可能是变成了数字资产的有效备份,在满足能实现数字资产有限备份的前提下才逐步进行勒索团伙如何进去的一系列入侵链路的防御与拦截策略,提升组织的整体防御。
情报驱动的应急响应最重要的一点是了解当前面临的攻击与背后的攻击者,这其实回到了如何应用情报思维的想法上了。如果是从事响应的小伙伴,遇到很多的响应事件并处理完成后自然会突然想起这怎么与之前遇到的事件很相似?如果我们有了类似的处理过程与经验,便可再次及时且完善地应对这次面临的威胁。所以不仅可以处理掉这次威胁,还能就这次威胁获取的相关痕迹与信息再次发现其余组织也可能受到了相同攻击者的入侵活动,这样便能扩大发现攻击者入侵的痕迹。这里想提一下笔者的一些经历,有段时间主动威胁狩猎发现了相关攻击活动,于是顺藤摸瓜找到了受害目标,在整个响应过程中发现即使受害目标确实对内部自身安全非常重视且持续地进行安全运营,但是仍然无法阻断攻击者成功入侵内部的行为,所以那段时间笔者自己比较悲观,防不住后攻击者不知在多少组织内部遨游就感觉挺失落的。后来回想了下,原来这也是国外比较早提出纵深防御的理念来源,最后的一道防线便是在防御做到极致还能被入侵成功后在内部由安全分析人员进行主动威胁狩猎尽可能早的发现入侵痕迹并及时响应溯源,这样才能化被动为主动,将响应溯源发现的缺陷及时应用在防御体系中,这样子便能再次提升防御能力。
由于一本书的内容很多,这里就摘了一小部分想法加上自己的理解与实践整理成文属于第一部分内容,后续将会有时间继续纪录整理笔记一一输出。