云计算服务
服务器租用
DDOS 防护
虚拟主机
域名服务
基础设施
关于我们
近日,中国信息协会信息安全专业委员会、PCSA安全能力者联盟和踏实实验室共同举办的“硝烟后的茶歇”主题分享会在北京拉开帷幕。
作为PCSA联盟成员年度活动,自2019年起,《硝烟后的茶歇》已连续举办三期。针对今年年度攻防演练表面平静、实则暗潮涌动的新趋势,本期分享会18家能力者通过线下和线上方式参与了当天的活动,以实战案例从不同视角做出了技术和经验分享。
中睿天下作为自2016年以来连续参与演练,实战攻防经验丰富的网络安全企业受邀出席此次分享会,中睿天下SOC国防负责人周鹏以“失陷主机取证溯源新态势”为主题,介绍了主机取证溯源的痛点和发展趋势,并通过三个实战案例来阐述主机取证溯源的四部曲“引”、“定”、“查”、“核”及其应用场景。
分享回顾
主机取证溯源的4大痛点
主机取证溯源是安全事件运营的最后一公里,应急响应的速度和质量决定了一次重大安全事件的应对是否成功,能否尽可能挽回损失。
这几年,主机应急响应的需求显著增加。这是因为随着攻防对抗的持续升级,黑客攻击技术越发精深、手段越发高超隐蔽,传统安全防护体系基本防不住,且入侵后难以被发现。从技术角度来看,供应链攻击、0day打击、社工钓鱼等技术是目前边界防护的盲点,非常考验防守方的未知威胁发现能力和快速止血能力。
中睿天下通过多年实战经验总结出主机取证溯源的4大痛点:
攻击源头难定位受控情况摸不全高级对抗难发现人工分析效率低中睿天下认为取证溯源的关键核心是在取证,而取证结果将直接影响溯源及后续流程的关键情报价值输出。
主机取证溯源趋势分析
C2隐藏+CDN模式已成标配
白加黑模式绕过安全防护
混淆不落地清日志提高难度
Linux加网络设备玩出花样
安防设备取证势在必行
主机取证溯源四部曲
从技术侧角度,中睿天下将主机响应流程总结为“引”、“定”、“查”、“核”四步。其中:
“引”指“情报线索阶段”,收到线索并验证线索;
“定”指“线索验证、资产定位”,进一步确认风险的存在,并定位存在问题的主机;
“查”指“对主机进行取证溯源”,对安全事件进行响应、分析、处置;
“核”指“安全事件的关闭及事件复盘”,在应急响应过程中可通过该方法进行查缺补漏;
主机应急响应之实践案例
在实战对抗的过程中,这一套技战法收效显著。既可以用于「事前」对关键节点进行风险隐患排查,发现失陷主机,防止潜伏的安全隐患在重要时期突然发作,也可以作用于「事中/事后」,快速检测可疑的windows/Linux主机,识别主机中存在的木马、后门、黑客入侵痕迹等,并溯源分析还原黑客事件,提供完整的证据链,从而更快更好地对安全事件进行应急响应、分析与处置。
下面为实战对抗中针对某软件厂商的供应链攻击案例:
睿眼主机取证溯源系统应用场景
从MITRE ATT&CK近800种对抗技术来看,约90%的有效攻击活动都将在终端系统上留下痕迹。睿眼·主机取证溯源系统正是专注于黑客入侵活动痕迹的主机取证与威胁检测系统,可全面自动化完成终端安全取证与入侵痕迹检测。在实战攻防场景下,可作为蓝队最后一道自动化安全检测和响应工具,全面、高效地应对实战演练前安全隐患排查,实战演练中的失陷终端安全应急响应等工作。
而作为以“实战对抗”为特点的能力价值型网络安全厂商,中睿天下自2016年便参与“实战攻防演习”。至今,中睿天下已连续多次深度参与数十家关键信息基础设施单位的实战攻防演练,涵盖政府、能源、金融、医疗等行业,协助用户开展网络安全监控预警、应急处置等工作,全面支撑用户单位的网络安全保障。
.png)
.png)
