【HW系列】事中迎战(3)：情报处置

news/2024/11/15 19:44:50/文章来源:https://www.cnblogs.com/o-O-oO/p/18328295

本章为该系列的第13篇，也是事中迎战的第3篇。井喷的情报算是演练期间的一大特色了，这一篇我们聊聊如何搞定这些情报。

一、情报收集

古往今来，情报一直都是兵家必争之地，演练期间尤其明显，各种情报的密度要比往常高很多，它们从四面八方传来，给我们带来了很多困扰。
情报的来源是我们首要关注的点，情报源直接决定了情报的质量，演练期间的情报来源有以下三个渠道：

1.1 安全公司

很多安全公司在演练期间会建立专门的支持中心，其中情报是其为客户赋能的一项服务。一般安全公司会基于遍布全国的值守项目，汇总来自一线的真实信息，经过研判后再发给客户作参考，可信度比较高。

1.2 行业组织

为了实现行业的联防联控，一些行业组织也会面向全行业收集情报并共享。演习期间，您的企业可以与这些行业组织（如监管机构）建立联系，以扩充自身的情报来源。

1.3 小道消息

各种小道消息绝对是一大亮点，在演练前各种小道消息就开始满天飞了，有通过公开媒体传的，也有口口相传的，真真假假，说什么的都有，相比前两类可信度低一些。
曾经参与过一个防守单位的应急响应，当时这起事件也在行业里快速传开了，真是看热闹不嫌事大，圈子里说什么的都有。不过很多时候，我们我们对于小道消息都是宁信其有，不信其无。

二、情报分类

情报主要分为以下6个类型：

恶意ip恶意域名恶意样本钓鱼邮箱漏洞情报
攻击事件

其中恶意ip、恶意域名、恶意样本和钓鱼邮箱就是传统的IoC，漏洞情报在演练期间出现的频率会比平时高很多，攻击事件则是平日里关注较少的情报，比如供应商被攻陷、外联单位被攻陷等，如果我们能及时掌握正在发生的攻击事件，有助于我们提前采取应对策略。

三、情报处置

3.1 IoC的处置

由于防守方缺少足够的分析数据，对IoC的研判能力有限，大部分时候只能无条件相信。很多防守单位对IoC情报采取的是简单粗暴的处置方式，即所有IoC一律加入黑名单封禁到演练结束。其实我不赞成一股脑全盘封禁的做法，不在乎IoC准确度，短期里进行大量无差别的封禁，总觉得哪里不对。
这种一刀切的封禁一定会带来误封问题，往届的演练中，一个子公司误封了总公司的IP没有及时恢复，后来听说那个子公司被罚的挺惨的，也有防守单位误封了CDN地址，导致业务中断的，这种事情数不胜数。
在加黑名单前，可以结合情报标签进行初步研判，对于CDN、IDC这类可以做特殊处理，我们已知的白名单一律不能加黑，比如外联单位、分子公司、总公司的IP和域名。
如果您的企业决定演练期间对情报IoC进行全盘封禁的话，那么不要有侥幸心理，误封禁是一定会发生的，哪怕这次的演练没发生，也一定会在未来的某次演练中发生。
如果“既要”全盘封禁，“又要”保证业务，那就“还要”做好配套的事后补救措施，安全永远是为业务保驾护航，不是将其击沉，演练不是影响业务的理由。建立业务反馈机制，及时了解业务受影响的情况，并制定快速解封通道，出现问题后可以快速恢复业务。

3.2 漏洞情报处置

此时不搏更待何时，每年这个时候，攻击队会把自己的0day杀手锏拿出来，听说去年演练期间有超过100个0day漏洞被利用，铺天盖地的漏洞情报也让防守方疲于应对。
防守方需要建立漏洞处置机制，明确好漏洞定级标准和修复时限，规定好安全、研发和运维的沟通渠道，结合资产管理平台定位受影响的资产，定点推送相关负责人根据时限要求修复。
不仅是在演习期间，一套成形的漏洞处置流程在日常漏洞治理工作中也适用，如果您的企业已建立了漏洞处置机制，那就按照既有的方式处理即可，我个人觉得演习期间处置方式与平时没什么不一样。
对于新公开的漏洞，还要同步收集PoC，已公开PoC的漏洞，一定要及时配置防护规则，并提高告警的威胁等级。漏洞修复终究还是有延迟的，及时上防护规则可以通过安全运营手段进行风险缓释。对于攻击队来说，演练期间公开的PoC是重点利用的手段，曾经和国内第一梯队的攻击队交流，演练期间收集到的新漏洞，他们直接架扫描器把所有靶标扫一遍再说，如果防守单位没有及时做好处置就会面临被攻击的风险，打的就是时间差，实战中因为1day被突破的例子也是数不胜数，各防守单位还需要重视。

3.3 攻击事件情报处置

“xx单位被打穿了”、“xx单位出局了”……这类的攻击事件是我们喜闻乐见的，能给压抑的防守工作带来了很多乐趣。吃瓜的同时，还要留意一些与我们相关的攻击事件，除了直接攻击我们的事件，与我们有关的供应链、外联单位的攻击事件也要重视，得到情报后，最好与相关单位取得联系，及时做好应对措施，防止我们成为攻击链条中的下一环。