揭秘网络攻击后的应对策略，事件响应全流程详解，开源工具，真实案例应有尽有

在网络安全领域，事件响应是应对安全威胁的关键环节。有效的事件响应不仅可以快速遏制和最小化事故影响，还能确保系统和数据的完整性，防止进一步的损害。通过制定详细的事件响应计划并配备合适的工具和团队，以及遵循国际法规和合规要求，组织能够在面对不可避免的安全威胁时保持业务连续性和数据完整性。迅速采取行动、调查事件、恢复资源，并及时报告，从而将潜在的灾难性后果降到最低。使用如Wireshark、Volatility、Clonezilla等开源工具，安全团队能够在各个阶段有效执行这些任务，确保企业安全运营。

温馨提示： 在网络安全领域， 事件响应 和 应急响应 是相关但不同的概念

• 事件响应 专注于处理网络安全事件（如数据泄露、系统入侵），旨在快速识别、遏制、修复，并尽量减少业务影响。

• 应急响应 则涵盖更广泛的危机管理，包括自然灾害、大规模网络攻击等，涉及整个组织的运营恢复和灾难恢复计划。

简而言之，事件响应处理特定的安全事件，而应急响应应对更广泛的突发危机。

一、重要国际法规和合规要求

与事件响应相关的一些重要国际法规和合规要求的摘要：

1.ISO/IEC 27001 - 国际

• 事件管理： ISO/IEC 27001 标准包括在组织的整体业务风险范围内建立、实施、运行、监控、审查、维护和改进成文的信息安全管理系统 (ISMS) 的要求

• 事件响应： 该标准要求组织建立事件管理流程，确保以一致、有效的方法管理信息安全事件，包括就安全事件和薄弱环节进行沟通

2. 支付卡行业数据安全标准（PCI DSS）--全球

• 事件响应计划： 处理信用卡数据的机构必须制定事件响应计划，其中包括检测、响应和减轻数据泄露影响的流程（PCI DSS 要求 12.10）

• 定期测试： PCI DSS 要求至少每年测试一次事件响应程序 ，以确保其有效性

• 文档和报告： 计划应包括在发生外泄事件时向相关利益方（包括支付品牌和收单银行）报告的程序

3. 通用数据保护条例》（GDPR）--欧洲

• 泄漏通知： GDPR 规定 ，组织必须在意识到个人数据泄露后 72 小时内通知相关监管机构，除非该泄露不太可能对个人的权利和自由造成风险（第 33 条）

• 事件响应要求： 各组织必须制定检测、报告和调查个人数据泄露的程序。这包括制定符合 GDPR 要求的事件响应计划

• 数据主体权利： 如果数据泄露可能导致个人权利和自由面临高风险，则还必须及时通知受影响者，不得无故拖延（第 34 条）

• 文件记录： 所有泄密事件都必须记录在案，包括与泄密事件相关的事实、影响以及采取的补救措施（第 33(5)条）

4. 健康保险可携性与责任法案》（HIPAA）--美国

• 违规通知规则： 承保实体必须通知受影响的个人、卫生与公众服务部（HHS）部长，以及在某些情况下通知媒体涉及未加密受保护健康信息（PHI）的泄密事件

• 事件响应计划： HIPAA 要求实体制定政策 和程序来应对涉及 PHI 的安全事件，包括识别和应对事件、减轻有害影响以及记录事件和结果（45 CFR 164.308(a)(6)(ii)）

• 5. NIS 指令 - 欧洲联盟

• 事故报告： 网络和信息系统（NIS）指令》要求基本服务运营商和数字服务提供商向主管当局报告对其提供的基本服务的 连续性有重大影响的事件

• 事故响应要求： 该指令要求各实体实施适当的安全措施，包括事故检测和响应机制

二、事件响应

1. 定义事件响应

事件响应是对安全问题或事件的快速反应。在信息安全方面，一个例子是安全团队对已经突破防火墙并正在嗅探内部网络流量的黑客采取的行动。事件是安全漏洞。响应取决于安全团队如何反应、他们如何最大限度地减少损失以及他们何时恢复资源，同时试图保证数据完整性。

想想您的组织，以及它几乎每个方面都依赖于技术和计算机系统。如果出现漏洞，想象一下潜在的灾难性后果。除了明显的系统停机和数据被盗之外，还可能出现 数据损坏、身份被盗 、令人尴尬的宣传，甚至可能造成 经济损失 ，因为客户和业务合作伙伴会了解到漏洞的消息并做出负面反应。

对过去内部和外部安全漏洞的研究表明，一些公司因严重的安全漏洞而倒闭。漏洞可能导致资源不可用， 数据被盗或损坏 。但人们不能忽视难以从财务上计算的问题，例如负面宣传。要准确了解有效的事件响应有多重要，组织必须计算实际安全漏洞的成本以及负面宣传在短期和长期的财务影响。

2. 制定事件响应计划

制定事件响应计划并确保在整个组织 内部获得支持 是关键。这不仅有助于最小化实际安全漏洞的影响，还能减少惩罚宣传。一个良好的事件响应计划能够帮助安全团队在发生攻击时采取有效的措施的行动，会带来潜在的损害。

从安全团队的角度来看，是否发生入侵并不重要（因为入侵是使用不受信任的运营商网络（如互联网）开展业务的必然组成部分），重要的是入侵发生的时间。不要认为系统薄弱且易受攻击； 重要的是要意识到，只要有足够的时间和资源，即使是最安全强化的系统或网络，也有人可以入侵。

2.1 事件响应计划的四个阶段

• 立即采取行动： 迅速制止或尽量减少事件的发生，防止事态进一步恶化

• 事件调查： 深入分析和确认事件的性质、范围和影响，以便制定适当的应对措施

• 恢复受影响资源： 恢复正常操作，修复受影响的系统，确保业务连续性

• 报告事件： 通过适当渠道向相关人员和机构报告事件，确保信息透明和合规

2.2 事件响应计划的要求

• 内部专家团队： 如计算机应急响应小组（CERT），具备必要的技术和后勤支持。尽管这并不总是可行的，但 CERT 内部应该有人员冗余。如果组织无法深入掌握核心领域，则应尽可能实施交叉培训。请注意， 如果只有一个人掌握数据安全和完整性的钥匙，那么如果这个人缺席，整个企业就会变得无助。

• 法律和合规： 经过法律审查和批准的战略。需要考虑的事件响应的一些重要方面包括法律后果。安全计划应与法律人员或某种形式的总法律顾问一起制定。正如每家公司都应该有自己的公司安全政策一样，每家公司也应该有自己的从法律角度处理事件的方式

• 资金支持： 公司提供必要的财务资源，用于 购买工具、技术、培训 和其他事件所需的资源

• 高层管理支持： 行政或高层管理的支持，包括 批准预算、政策推动制 定，以及在事件发生时提供决策和支持

• 经过的检验遵守行动计划 ：包括明确的目标、角色和职责、详细操作步骤、时间表和优先级、资源需求以及练演和测试。定期演练和测试有助于验证计划的有效性，提高响应速度，并持续改进计划

• 物理资源： 包括制定 策略备份 （备份频率、类型、保留），使用备份工具（如Veeam、Acronis），以及进行备份存储（本地和异地），并定期验证数据备份的恢复能力和完整性。 备份服务解决方案 ，如云备份服务（AWS Backup、Azure Backup），提供额外的支持和资源以增强数据保护和恢复能力

3. 实施事件响应计划

一旦制定了行动计划， 就必须达成一致并积极实施 。在积极实施过程中对计划的任何方面提出 质疑都可能导致响应时间过长和发生违规时停机 。这就是实践练习变得无价的地方。除非在计划积极投入生产之前引起注意，否则所有直接相关方都应同意实施并满怀信心地执行。

3.1. 立即采取行动：

• 取消网络连接： 断开受影响的系统，防止进一步扩散

• 修复漏洞： 迅速实施补丁和修复措施，以修复已识别的漏洞

• 监控和追踪： 跟踪攻击者的活动，并将其重定向到蜜罐以安全地监控其行为

3.2. 信息收集：

• 实时审核： 检查和审计正在运行的进程、网络连接、文件和目录
  

• 快照： 获取受影响系统的快照，用于对比和跟踪异常活动

3.3. 威胁情报整合：

• 威胁情报平台： 使用如 MISP（威胁情报共享平台）来收集、分析和共享威胁情报，以提前识别潜在威胁

3.4. 演练和培训：

• 模拟攻击： 定期进行模拟攻击和演练，帮助团队熟悉响应流程，并发现和解决潜在的缺陷

3.5. 自动化工具的使用：

• 自动化任务： 使用工具如 Ansible 或 Puppet 来自动化响应中的任务，如补丁实施或配置更改，提高效率和准确性。

3.6. 日志管理和监控：

• 日志分析工具： 使用如 ELK Stack（Elasticsearch、Logstash、Kibana）或 Graylog 来集中管理和分析日志，帮助迅速识别和响应安全事件

3.7 事件后分析和持续改进 ：

• 根因分析（RCA）： 进行深入的根因分析，以识别事件的根本原因。
  

• 改进措施： 根据事件后分析的结果制定和实施改进措施，以防止类似事件的再次发生

如果检测到入侵，并且 CERT 团队能够快速做出反应，那么潜在的应对措施可能会有所不同。 该团队可以决定禁用网络连接、断开受影响的系统、修补漏洞，然后快速重新连接 ，而不会产生进一步的潜在问题。该团队还可以监视肇事者并跟踪他们的行动。该团队甚至可以将肇事者重定向到蜜罐（包含故意虚假数据的系统或网络部分），用于安全地跟踪入侵，而不会中断生产资源。

响应事件还应尽可能地收集信息。应实时主动审核正在运行的进程、网络连接、文件、目录等。拥有生产资源的快照以供比较有助于跟踪恶意服务或进程。CERT 成员和内部专家是跟踪系统中此类异常的重要资源。

4. 调查事件

调查计算机入侵就像调查犯罪现场。侦探收集证据，记录任何奇怪的线索，并清点损失和损坏情况。对计算机入侵的分析可以在攻击发生时进行，也可以在事后进行。

虽然信任被利用系统上的任何系统日志文件都是不明智的，但还有其他取证实用程序可以帮助进行分析。这些工具的用途和功能各不相同，但它们通常创建媒体的位图副本、关联事件和进程、显示低级文件系统信息，并尽可能恢复已删除的文件。

4.1. 调查过程：

• 收集证据： 像侦探一样收集证据，记录任何异常线索，并评估损失和损坏情况

• 分析时机： 分析可以在攻击发生时进行，也可以在事后进行，取决于事件的性质和紧急程度

4.2. 证据收集：

• 创建媒体位图副本：

第一步：创建受影响媒体的位图副本。进行数据取证时必须这样做

副本建议：建议制作两份副本，一份用于分析和调查，另一份保存原件作为法律诉讼证据

• 取证工具：

用途和功能：这些工具通常创建位图副本、关联事件和进程、显示低级文件系统信息，并恢复已删除的文件

工具示例：EnCase、FTK Imager、Autopsy 等工具用于创建和分析取证图像

4.3. 收集违规后信息：

数字取证工具：用于分析和恢复数据，但大多数工具特定于系统架构，不能通用应用。

事件响应和恢复：重要的是在事件响应、分析和恢复过程中有效使用这些工具，以便全面了解事件和恢复系统。

5. 恢复和恢复资源

在事件响应过程中，CERT 团队应在努力恢复数据和系统的同时进行调查。不幸的是，漏洞的性质决定了恢复过程。 在此期间，拥有备份或离线冗余系统是非常宝贵的。

为了恢复系统，响应团队必须使任何崩溃的系统或应用程序重新上线，例如身份验证服务器、数据库服务器和任何其他生产资源。

强烈建议准备好可用的生产备份硬件， 例如额外的硬盘、热备用服务器等。 现成的系统应该已加载所有生产软件并可立即使用。只需导入最新和相关的数据。此现成的系统应与网络的其余部分隔离。如果发生危害并且备份系统是网络的一部分，那么拥有备份系统的目的就失败了。

系统恢复可能是一个繁琐的过程。在许多情况下，有两种操作方案可供选择。管理员可以在每个受影响的系统上执行操作系统的全新重新安装，然后恢复所有应用程序和数据。或者，管理员可以修补有问题的漏洞，并使受影响的系统恢复生产。

5.1. 重新安装系统

执行全新重新安装可确保受影响的系统清除所有木马、后门或恶意进程。重新安装还可确保所有数据（如果从受信任的备份源恢复）均未受到任何恶意修改。全面系统恢复的缺点是从头开始重建系统需要花费时间。但是，如果有可用的 热 备份系统，只需转储最新数据即可，系统停机时间将大大减少。

5.2. 修补系统

修补受影响的系统是一种更危险的做法，应谨慎行事。修补系统而不是重新安装的问题在于确定给定系统是否清除了特洛伊木马、安全漏洞和损坏的数据。大多数rootkit（破解者用来获取系统 root 访问权限的程序或包）、特洛伊木马系统命令和 shell 环境都旨在隐藏恶意活动，以免被粗略审计发现。如果采用修补方法，则应仅使用受信任的二进制文件（例如，从已安装的只读 CD-ROM 中获取）

在事件响应过程中， CERT 团队必须 平衡恢复数据和系统的任务，同时进行事件调查。 恢复过程的复杂性取决于漏洞的性质，而备份和冗余系统在这个过程中极为重要。

5.3. 注意事项

• 事件后测试： 无论选择重新安装还是修补系统，都应进行全面的安全测试，确保系统已经恢复到安全状态

• 记录和监控： 在恢复过程中，保持详细的操作记录，并监控系统活动，防止再次出现问题

• 备份验证： 确保备份系统和数据定期验证，以保证其在恢复过程中的可靠性和完整性

6. 报告事件

事件响应计划的最后一部分是报告事件。安全团队应在响应过程中做笔记，即使事后分析不是入侵分析的功能要求，但它也可以证明是无价之宝，有助于了解黑客的思维方式以及系统的结构，从而可以防止将来的入侵。报告应包括以下人员和部门：

6.1. 汇报对象

公司领导：

• 首席信息安全官（CISO）：负责信息安全战略和政策

• 首席技术官（CTO）或IT部门负责人：涉及技术和基础设施决策

法律和合规部门：

• 法律顾问：确保事件处理符合法律法规

总裁部门：

• 风险管理人员：评估事件对公司业务和财务的影响

技术团队：

• IT运维团队：处理技术支持和维护

• 开发团队：修复涉及软件漏洞的问题

环境保护部门：

• 人力资源：处理涉及员工的事件或通知员工相关信息

外部报告

• 执法机构：向当地或执法机构报告严重事件

• 供应商和合作伙伴：通知旅行的供应商或合作伙伴

• 漏洞数据库：如CVE、NVD等，报告公开漏洞

6.2. 定制化事件响应报告

• 定制报告
  在编写事件响应报告时，应根据目标受众的不同，定制报告内容。例如，向技术团队提供详细的技术分析，而向管理层提供简洁明了的总结和影响评估。

• 报告模板和自动化
  使用报告模板可以确保报告的一致性和完整性。工具如 Jupyter Notebooks 或 LaTeX 可以用来自动生成报告，以便更快速、准确地分享事件信息

三、真实案例分析

1. 发现

周日凌晨 2:30，客户的托管服务提供商 (MSP) 收到警报并很快意识到出了问题。SQL 服务器开始对资源利用率发出警报，网络连接缓慢，SAN 上的磁盘以惊人的频率发出嗡嗡声。

经过短暂的调查，他们发现勒索软件攻击正在发生。出于本能反应，MSP 开始关闭一切。 系统和网络硬件被下线，试图阻止攻击。 但为时已晚。损失已经造成。

2. 影响

MSP 疯狂地访问客户的备份服务器以制定恢复计划，却发现备份在勒索事件开始之前就被销毁了。任何卷影副本或任何其他形式的备份都是如此。攻击者在勒索事件开始之前找到了客户的备份，有条不紊地获取了访问权限并将其销毁。

如果存在从网络到备份的网络路径，攻击者就会找到它来获取访问权限。防止这种情况的唯一方法是隔离备份。备份到磁带、离线磁盘或隔离网络本来可以挽救这种情况，但为时已晚。正如人们所说，事后看来一切都很清楚。

所有关键服务器都已加密，所有备份均已销毁。别无选择，当时，公司业务陷入困境，所有生产活动都停止了。每天停产都意味着超过 70万的损失。

回到原点：没有数据，没有备份，也不可能获取解密密钥。

3. 现在怎么办？

此时，只能完全重建网络并从硬拷贝中恢复所有记录，是恢复的唯一途径。这很痛苦，但这是现实。

4. 经验教训

此次攻击的后果（财务影响和声誉受损）可能是可以避免的。在调查过程中，我们确定事件的根本原因是 VPN 门户不安全且采用单因素身份验证。

在这一系列不幸的事件中，有一件事显而易见。只要有完善的 网络安全事件响应计划和一些主动的网络测试， 所有这些都是可以避免的。

优秀的网络安全事件响应合作伙伴会审查备份状态并帮助他们设计更好的程序。优秀的安全合作伙伴会发现单因素 VPN 门户并与客户合作保护网络访问。 

四、推荐开源工具

以下是每个阶段可以借助的开源工具：

1. 立即采取行动制止或尽量减少事故发生

• Wireshark ：用于捕获和分析网络流量，识别恶意活动

• Snort ：入侵检测系统 (IDS)，可实时监控网络并生成警报

• OSSEC ：主机入侵检测系统 (HIDS)，可以监控日志文件、文件完整性等

• NetworkMiner： 用于网络取证分析，可从 pcap 文件或网络流量中提取文件、证书和其他数据。

• Suricata： 高性能的网络威胁检测引擎，可执行入侵检测、入侵防御和网络安全监控功能。

2. 事件调查

• Volatility ：内存取证工具，用于分析内存转储，识别恶意进程、文件和其他异常

• The Sleuth Kit (TSK) & Autopsy ：文件系统取证工具，帮助分析磁盘镜像，查找已删除或隐藏的文件

• Ghidra ：用于逆向工程的开源软件，帮助分析恶意软件的行为

• CyberChef： 强大的数据分析和转换工具，可处理各种数据格式，适用于快速分析事件中的数据

• GRR Rapid Response： 用于大规模企业环境下的数字取证和事件响应，适合分析和调查多个主机上的事件。

3. 恢复和恢复资源

• Clonezilla ：开源磁盘克隆工具，可用于创建磁盘镜像并快速恢复系统

• rsync ：用于同步和备份文件，有助于在系统恢复过程中传输数据

• Bacula ：网络备份、归档和恢复工具，适合企业环境中的数据恢复

4. 报告事件

• MISP ：威胁情报共享平台，用于收集和分享事件相关情报

• OpenVAS ：漏洞扫描器，可以在事后分析中帮助检测系统的潜在漏洞

• Cuckoo Sandbox ：恶意软件分析平台，帮助分析可疑文件并生成报告

• TheHive： 事件响应和威胁情报管理平台，支持从多源收集事件信息并自动生成和管理响应工作流程。

这些工具可以帮助安全团队在各个阶段执行关键任务，从实时响应到事后取证分析

总之，建立和维护一个强大的事件响应计划是确保网络安全和业务稳定性的基础。定期的演练和持续的改进将有助于提升响应能力，并在安全事件发生时更好地保护组织资产。

PS：

感谢你们的时间与关注。网络安全是一个需要持续关注和不断学习的领域，希望这篇文章能够帮助你们更好地应对未来的挑战。期待在今后的工作中， 大家都能更加从容、自信地面对各种安全事件