本章为该系列的第16篇,也是事中迎战的第6篇。如果说体现攻击队综合能力的方式是打攻防,那对于防守方来说,体现综合能力的方式就是应急响应。
今天不讲理论,本篇通过一个虚构的应急案例,来看看前几篇所讲的内容如何应用在实战中。我觉得如果攻击方死盯着一个目标打,是一定会突破的,我们在做防守工作的时候一定要有这样的意识。
后面的内容当故事看就行了,且听我慢慢道来,如有雷同,纯属巧合。
像往常一样,大家盯着监控聊着八卦,突然一条情报让所有人都不困了,从攻击现场传出来的情报,听说我们已被攻破。虽然这个时候情报真真假假,但是特殊时期宁可信其有不可信其无,多做些准备总是没坏处的。
这个时候,最坐不住的是领导,领导借助自己的情报优势,提供了一些线索,组织大家展开排查。这时一线监控人员对历史告警进行逐项排查。看了一圈后大家心都凉了,因为每一条告警都完成了闭环处置,没有发现异常,难道说遇到了猪猪侠所说的“无感出局”?
然后赶紧调整排查方向,不能只看告警了,需要对原始日志进行分析。原始日志可比告警大出好几个量级。说实话,没什么好方法,只能一条一条看,大海里捞针一样……
不过功夫不负有心人,一组奇怪的流量引起了大家的注意,超长和加密的数据,与正常业务流量有很大差别,顺着这条线索对源ip进行了排查,发现了大量类似的网络请求,随即升级到二线分析研判组进行深入分析,最后定性为攻击事件,先把ip封了吧。
攻击队采用了多种绕过方式组合利用,导致全程一条告警都没有,说实话,“让防守方无感出局”以前我是不相信的,现在真是刷新了我的认知。
二线研判完成定性之后,还要进一步分析攻击者到底做了什么,看看我们的问题到底在哪,有什么损失。攻击流量中有很多混淆,分析起来非常困难,于是我们转变思路,用流量日志+应用日志进行进一步分析。应用日志量也不小,不过已经掌握了payload的特点,可以通过编写脚本对日志文件进行批量处理。说干就干,这时已经凌晨2点了,线索就是兴奋剂,大家颇有不搞清楚不睡觉的状态,脚本调试完毕后,在几十G的日志中提炼出攻击数据,去除了垃圾字段,最后攻击payload终于水落石出。
图片
拿着payload对目标系统进行验证,完了,真的存在漏洞,赶紧联系处置组修复漏洞,把漏洞成因给系统负责人讲清楚后,立即对功能代码进行修复。同时,安全运营人员针对攻击特征配置了防护规则,可以有效检测和阻断攻击流量。
很多人为此彻夜不眠,历时48小时,事件处置完毕,整个过程报告组全程参与,最后输出应急响应报告,至此,应急结束。
最后聊聊我对攻与防关系的看法。
在赛场上遇到这种高水平对抗是一件幸运的事,虽然应急的过程很痛苦,但感觉酣畅淋漓,人生能有几回搏,这不就算一次。
如果有攻击队搞你,你会不会对其恨之入骨,想要鱼死网破?我见过很多防守单位都是这样,被攻击之后恨不得要了攻击人员的命,我觉得这是没有格局的做法,攻击队拿出毕生所学帮我们发现安全问题,我们应该感谢才是,平时我们投入多少预算都不一定有这样的机会历练。
攻防赛场上,对手用尽全力这是对我们的尊重,双方队员都拿出看家本领,打的有来有回,这样的比赛才精彩,也能真正达到演习的目的。我们都不喜欢看放水的比赛,对不对。
每一次应急响应都是一次螺旋提升,别抱怨为什么攻击队搞我们,更不要把攻击队当成敌人,没有他们,就没有今天的我们。可能我们整个安全生涯都不一定能遇到几次这样的应急事件,经过实战打磨,我们的人员能力和防护水位都会有提升,我向高水平的攻击队致敬。
原创 十九线菜鸟学安全
