【THM】Incident Response Fundamentals(事件响应基础知识)-学习

本文相关的TryHackMe实验房间链接:https://tryhackme.com/r/room/incidentresponsefundamentals

本文相关内容:了解如何在网络安全中执行事件响应(应急响应)。

image-20250107223835380

事件响应(IR)简介

想象一下,你住在一条非常不安全的街道上,你家里有很多昂贵的东西。那么你肯定在考虑雇一个保安,在家里安装几个监控摄像头。把这些昂贵的物品藏在一个隐蔽的地下室里,以防万一有人成功闯入,这也是个好主意。这些都是你在任何袭击发生之前就能为保障家庭安全而计划去做的事情。

除了这些主动措施之外,你是否考虑过,如果有人成功绕过了你的外部安全机制并进入你的家,那么情况会如何?因此,在你的家被袭击后,你还必须采取其他一些措施。

image-20250111203730835

让我们将上述内容带入数字领域。你可能听说过任何组织遭受网络攻击并导致其损失数千美元的案例。互联网上每天都会报道多起此类案件,它们可以被称为网络安全事件。正如刚才所提到的那样,你可以为家庭安全做好规划,类似的,网络安全事件也需要一些规划和资源来避免巨额损失。

事件响应(Incident Response)负责处理一个安全事件(incident)的全过程。从在多个区域部署安全措施以预防事件发生,到积极应对事件,并最大程度地降低其影响,事件响应是一套全面的、处理安全事件的指南。

image-20250111203751328

本文将帮助你了解事件响应(IR-incident response)的关键概念,并让你有机会实际解决你的第一个安全事件(incident)。

学习目标

  • 概述什么是安全事件(incidents)以及它们的严重级别;
  • 常见的安全事件(incidents)类型;
  • SANS和NIST框架中的事件响应(IR)阶段;
  • 事件检测和响应工具以及PlayBooks的作用;
  • 事件响应(IR)计划。

前置学习基础

建议先完成以下TryHackMe实验房间:

什么是安全事件?

你的数字设备(例如笔记本电脑、手机等)上运行着各种不同的进程,其中一些进程是交互式的,这意味着你可以执行一些操作,例如玩游戏或观看视频。此外,还有一些非交互式进程在后台运行,可能不需要你与其发生交互,它们只是你的设备所必需的。这两种类型的进程都会生成多个事件,它们所做的任何事情都会被记录为事件。

事件会大量、定期生成。这是因为设备上运行着许多进程,每个进程在执行着不同的日常任务,从而将生成大量的事件。这些事件有时可能预示着你的设备中发生了一些糟糕的事情。我们如何检查这些海量事件,并判断它们是否指向了某些破坏性活动呢?目前已经有安全解决方案可以解决这个问题。这些事件会以日志的形式被安全解决方案所采集(摄入),并且安全解决方案可以从中发现有害活动。这让我们的工作变得轻松多了!但是,真正的挑战在于安全解决方案指出这些活动之后。

image-20250111203951210

因此,当安全解决方案发现一个事件或一组事件与可能的有害活动相关联时,它就会触发警报(alert)。安全团队随后会分析这些警报,其中一些警报可能是假警报(False Positives),而有些则可能是真警报(True Positives)。指向一些看似危险但实际无害的事情的警报被称为假警报或误报,与之相反的是指向一些有害且确实危险的事情的警报会被称为真警报。你可以通过下面的示例来更好的理解这一点:

假警报/误报(False positive): 安全解决方案发出警报,称“大量数据正从一个系统传输到外部 IP 地址”。分析此警报后,安全团队发现该系统正在进行备份到云存储服务的过程,从而导致了警报触发。这被称为假警报或者误报。

真警报(True Positive): 安全解决方案对“针对组织中的一位用户发起的网络钓鱼攻击”发出警报。分析此警报后,安全团队发现该电子邮件是一封发送给特定用户的网络钓鱼电子邮件,目的是入侵该用户的系统。这被称为真警报。

这些真正的积极警报有时被称为安全事件(incidents) 。假设警报现在被归类为一个安全事件,那么下一步就是为该安全事件分配严重程度(severity)级别。想象一下,你现在是安全团队的一员,并且同时遇到多个安全事件。你会选择最先响应哪一个安全事件呢?这时,安全事件严重程度的概念就派上用场了。根据事件可能造成的影响,安全事件可以被分为低、中、高或严重。严重级别的安全事件将始终具有较高的优先级,其次是高(严重程度)级别的安全事件,依此类推。

image-20250111204020317

tips:Discard-丢弃。

答题

当一个事件或一组事件指向一个有害活动时,会触发什么?

alert(警报/告警)

如果安全解决方案从一组事件中正确地识别出一个有害活动,那么它是什么类型的警报?

true positive

如果烹饪后的烟雾触发了火灾警报,这是真警报(true positive)还是假警报(false positive)?

false positive

image-20250528234834223

安全事件的类型

人们通常会把所有与数字世界相关的有害活动都贴上黑客攻击的标签,这或许是正确的,但是在网络安全领域,这种说法太过简单。安全事件可以有不同的类型。在上一个小节中,我们看到了一个真警报的示例,经过安全团队的分析后,该警报最终会演变为一个安全事件。该安全事件与网络钓鱼电子邮件有关,该电子邮件可能带有一个恶意附件。如果该附件被下载到系统中,就可能会造成有害后果。这只是一种类型的安全事件,除此之外还有其他一些类型的安全事件,这些类型的安全事件可以独立发生,也可以同时发生在同一个受害者身上。

  • 恶意软件感染(Malware Infections):恶意软件是一种可能会破坏系统、网络或应用程序的恶意程序。大多数安全事件都与恶意软件感染有关。恶意软件有多种类型,每种类型都具有独特的破坏潜力。恶意软件感染主要由文件引起,这些文件可以是文本文件、文档文件、可执行文件等。

    image-20250111204351545

  • 安全漏洞事件(Security Breaches): 当未经授权的人员能够访问机密数据(我们不希望他们看到或拥有的数据)时,就会出现安全漏洞事件。安全漏洞事件至关重要,因为许多企业都依赖于他们的机密数据,而这些数据(在正常情况下)必须只有得到授权的人员才能访问。

    image-20250111204410780

  • 数据泄露(Data Leaks): 数据泄露是指个人或组织的机密信息被暴露给未经授权的实体的安全事件。许多攻击者会利用数据泄露来损害受害者的声誉,或者使用这种技术来威胁受害者并从中牟取利益。与安全漏洞不同,数据泄露也可能是由于一些人为错误或配置错误无意造成的。

    image-20250111204428081

  • 内部攻击(Insider Attacks): 发生在组织内部的安全事件被称为内部攻击。想象一下,一位心怀不满的员工在他任职的最后一天通过USB感染了整个企业的网络,这就是内部攻击的一个例子。组织内部的某个人故意发起的攻击也属于此类,这些攻击可能非常危险,因为内部人员总是会比外部人员拥有更大的资源访问权限。

    image-20250111204449985

  • 拒绝服务攻击(Denial Of Service Attacks): 可用性(Availability)是网络安全的三大支柱之一。防御性安全解决方案和人员在不断探索保护信息的方法,以确保数据始终可供人们使用,这是因为保护我们无法访问的东西是没有意义的。拒绝服务攻击或DoS攻击是指攻击者向系统/网络/应用程序发送大量的虚假请求,最终导致合法用户无法正常使用服务的安全事件。发生这种情况是由于可用于处理请求的资源被恶意耗尽。

    image-20250111204511669

tips:安全漏洞事件(Security Breaches),泛指系统被入侵或数据泄露的综合性事件。

所有这些安全事件都有其独特的潜在风险,可能对受害者造成负面影响。这些安全事件所造成的影响的严重程度无法进行比较。这是因为,一个特定的事件可能会对一个组织造成灾难性的后果,而对另一个组织却可能只会造成轻微的损害。类似地,不同的安全事件对于同一个组织所造成的影响也不尽相同。例如,XYZ 公司可能不会受到数据泄露的严重影响,因为它存储的信息对其他任何人都毫无用处;然而,如果该公司的主网站遇到拒绝服务(DoS)攻击,那么它就会遭受巨大损失,因为其服务依赖于此网站。

答题

一名用户从电子邮件中下载了文件附件后,他的系统遭到了入侵,这是什么类型的安全事件?

malware infection(恶意软件感染)

什么类型的安全事件旨在破坏应用程序的可用性?

Denial of service (拒绝服务)

image-20250529003036974

事件响应(IR)流程

在上一个小节中,我们大致了解了不同类型的安全事件。有时,在一个环境中处理多种事件可能会很困难。由于组织中安全事件的性质各异,因此我们需要一个结构化的事件响应流程。事件响应框架在这方面为我们提供了帮助,它们包含了在任何安全事件中进行有效响应时应该遵循的一些通用方法。在此,我们将讨论两个被广泛使用的事件响应框架:SANS 和 NIST。

SANS和NIST是致力于为网络安全做出贡献的知名组织。 SANS提供了各种网络安全课程和认证, 而NIST在制定网络安全标准和指南方面发挥了重要作用。SANS和NIST提出了非常相似的事件响应框架。

SANS 事件响应框架有 6 个阶段,为了便于记忆,可以将其称为“PICERL”。

阶段 解释 示例
Preparation(准备) 这是事件响应的第一阶段。准备阶段包括构建处理安全事件所需的资源。这些资源包括组建事件响应团队、制定适当的事件响应计划以及部署必要的安全解决方案来应对事件 为员工开展网络钓鱼电子邮件意识培训。 网络钓鱼电子邮件是由恶意攻击者发送的欺诈性电子邮件,它会诱骗你执行一些可能导致安全事件发生的操作
Identification(识别) 识别阶段是指寻找任何可能预示安全事件发生的异常行为。这涉及使用各种安全解决方案和技术来监控异常的事件 安全团队注意到一台主机发出了大量数据。经过分析,发现该主机从网络钓鱼电子邮件的附件中下载了恶意文件并且已经被入侵了
Containment(遏制) 一旦识别到安全事件,下一步应该是遏制它。这意味着要最大限度地减少攻击所带来的影响。这通常可以通过隔离受害计算机、禁用受感染的用户帐户等方式来实现 安全团队将主机与网络隔离,以最大限度地减少不良影响,并且不允许攻击者利用受感染的主机来跳转到其他系统
Eradication(根除) 顾名思义,此阶段涉及清除受攻击的环境中的威胁。威胁可以是任何类型的。根除阶段将确保目标环境保持干净,然后我们就可以进入恢复阶段了 在系统上执行深度恶意软件扫描,以尝试从主机中删除恶意软件
Recovery(恢复) 恢复阶段是整个流程中至关重要的环节。它涉及从备份中恢复受影响的系统或者重建系统。然后再对被恢复的系统进行测试,确保其可供使用 受感染的主机被重新配置,并且从备份中恢复已泄露的数据
Lessons Learned(经验教训) 这也是事件响应生命周期的重要组成部分。识别并记录事件检测和分析中的差距,有助于改进未来应对安全事件的整体流程 召开安全事件后期审查会议,分析安全事件的根本原因并提高安全性,以防范未来可能发生的攻击

image-20250111204907637

NIST的事件响应框架与我们上面所研究的 SANS 框架类似。该框架中的阶段数将减少至 4 个。

image-20250111204923443

Preparation(准备)、Detection and Analysis(检测与分析)、Containment,Eradication And Recovery(遏制,根除和恢复)、Post-Incident Activity(事件后期活动)。

以下是两者的比较:

image-20250111204933995

组织可以遵循这些框架来制定其事件响应流程。每个流程都有一份正式文件,列出了所有相关的组织程序。正式的事件响应文件被称为事件响应计划。这份结构化文件强调了在任何安全事件发生时应该采取的应对措施,它由高级管理层正式批准,并且由安全事件发生前、发生期间和发生后应遵循的程序组成。

该计划(事件响应计划)的关键组成部分包括但不限于:

  • 角色和责任;
  • 事件响应方法;
  • 与执法部门等利益相关者的沟通计划;
  • 应遵循的升级路径。

答题

安全团队在安全事件发生后禁用了计算机的互联网连接。此处所遵循的是 SANS IR 生命周期的哪个阶段?

Containment(遏制)

NIST 的哪个阶段与 SANS IR 生命周期中的经验教训(Lessons Learned)阶段相对应?

Post Incident Activity(安全事件后期活动)

image-20250529011103865

事件响应(IR)技术

请记住我们需要重点研究事件响应生命周期的第二阶段:即SANS事件响应框架中的“识别”以及NIST事件响应框架中的“检测和分析”。手动查找异常行为并识别安全事件非常困难。市面上有多种安全解决方案,它们在检测任何安全事件方面都发挥着其独特的作用,其中一些解决方案甚至能够响应事件并执行IR生命周期的其他阶段,例如遏制、根除等IR阶段。

下面我们将对一些安全解决方案进行简要介绍:

  • SIEM :安全信息和事件管理解决方案(SIEM,Security Information and Event Management Solution)会在一个集中位置收集所有重要日志,并将它们关联起来以识别安全事件。
  • AV :防病毒软件(AV-Antivirus)可以检测系统中已知的恶意程序,并且能够定期扫描你的系统以查找这些程序。
  • EDR :端点检测和响应(EDR-Endpoint Detection and Response)可以被部署在每个系统上,以保护系统免受一些高级威胁的侵害,该解决方案还可以遏制并根除威胁。

image-20250111203449394

识别到安全事件后,必须遵循某些程序,包括调查攻击的范围、采取必要的措施防止发生进一步损害并且从根源上消除损害。对于不同类型的安全事件,这些步骤可能有所不同。在这种情况下,掌握处理每种安全事件的分步说明可以帮助你节省大量的时间。这些类型的说明被称为Playbooks(预案手册)

Playbooks(预案手册)是一个全面的事件响应指南。

以下是一个安全事件的Playbook(预案手册)示例:“网络钓鱼电子邮件”

  1. 向所有利益相关者通知网络钓鱼电子邮件安全事件;
  2. 通过对电子邮件的标题和正文进行分析来确定该电子邮件是否为恶意电子邮件;
  3. 查找电子邮件中的任何附件并分析它们;
  4. 确定是否有人打开了附件;
  5. 将受感染的系统与网络隔离;
  6. 封禁恶意电子邮件的发件人。

image-20250111203518838

Playbooks(预案手册),在另一方面是在不同的安全事件发生期间关于特定步骤的详细、分步执行。这些步骤可能会根据可用于调查的资源而有所不同。

答题

事件响应的分步综合指南被称为?

Playbooks(预案手册)

image-20250529014651881

模拟练习示例

场景:在本小节的模拟练习中,你将通过下载网络钓鱼邮件中的附件来发起一个安全事件。该附件是恶意软件,用户下载该文件后,安全事件就开始了,然后你将开始调查此安全事件。第一阶段是查看有多少台主机被同一个文件所感染,因为单个钓鱼活动很有可能会针对同一组织内的多名员工。你将看到一些主机在下载该文件后还执行该文件,而一些主机仅下载了该文件。你将在所有这些主机上执行必要的调查操作,并查看受感染的主机中事件的详细时间线。

单击TryHackMe实验房间页面中的“View Site”按钮,即可在浏览器屏幕右侧显示一个模拟站点。

image-20250111203343227

在网络钓鱼邮件攻击了目标网络中的多台主机之后,你将开始执行完整的事件响应。你需要按照模拟站点中给出的步骤来进行操作,然后回答下面的问题。

答题

查看本小节内容并完成相关的模拟练习。

打开模拟站点页面:

image-20250111205839362

image-20250111205858906

image-20250111210901038

image-20250111210952558

image-20250111210048081

image-20250111210059259

image-20250111210114442

image-20250111210147653

恶意电子邮件的发件人姓名是什么?

Jeff Johnson

威胁向量(threat vector)是什么?(Email Attachment/URL)

Email Attachment

有多少设备下载了该电子邮件附件?

3

有多少设备执行了该文件?

1

模拟练习结束时可以看到的flag的内容是什么?

THM{My_First_Incident_Response} 。

image-20250529020042056

本文小结

在本文中,我们简单了解了一些与事件响应(IR-Incident Response)相关的不同概念。我们研究了如何以及何时将事件(event)归类为安全事件(incident)以及不同安全事件被赋予的优先级顺序。我们还研究了安全事件类型以及事件响应框架:SANS 和NIST ,它们可以指导我们处理安全事件(incident)。最后,我们了解了一些可用于事件响应的工具并且进行了一次模拟练习实验。

posted @ 2025-05-29 02:04  Hekeatsll  阅读(233)  评论(0)    收藏  举报