IT技術互動交流平臺

“企業應急響應和反滲透”之真實案例分析

作者:Painting  發布日期:2015-08-22 22:28:28

峰會上講過的議題,整理成文章,以供大家批評指正。

對于企業應急響應,我想只要從事安全工作的同學都有接觸,我也一樣,在甲方乙方工作的這幾年,處理過不少應急響應的事件,但是每個人都會有自己做事的方法,在這里我主要分享一下我對應急響應的理解以及對碰到的一些案例。

0x00 什么時候做應急響應?


應急響應,估計最近幾年聽到這個詞更多是因為各大甲方公司開始建設和運營自己的應急響應平臺,也就是 xSRC?雌饋韺蟾娴竭@些地方的漏洞進行處理就已經成為企業應急響應的主要工作,但是以我之前在甲方親自參與建設應急響應平臺和去其他企業應急響應平臺提交漏洞的經驗來看,能真正把平臺上的漏洞當時應急響應事件去處理的寥寥無幾,更多的只是:接收->處理這種簡單重復的流水線工作。因為他們會覺得報告到這些地方的漏洞它的風險是可控的。

我理解的應急響應是對突發的未知的安全事件進行應急響應處理。這種情況一般都是“被黑”了。“被黑”包括很多種:服務器被入侵,業務出現蠕蟲事件,用戶以及公司員工被釣魚攻擊,業務被 DDoS 攻擊,核心業務出現DNS、鏈路劫持攻擊等等等等。

0x01 為什么做應急響應?


我在峰會上說是**的,雖然只是開個玩笑,但是也能夠反映出做應急響應是一件苦差事,有的時候要做到 7*24 小時響應,我覺得是沒人喜歡這么一件苦差事的,但是作為安全人員這是我們的職責。

那說到底我們為什么做應急響應呢,我覺得有以下幾個因素:

  1. 保障業務
  2. 還原攻擊
  3. 明確意圖
  4. 解決方案
  5. 查漏補缺
  6. 司法途徑

    對于甲方的企業來說業務永遠是第一位的,沒有業務何談安全,那么我們做應急響應首先就是要保障業務能夠正常運行,其次是還原攻擊場景,攻擊者是通過什么途徑進行的攻擊,業務中存在什么樣的漏洞,他的意圖是什么?竊取數據?炫耀技術?當