近日,攻防演练愈演愈烈,已进入白热化阶段,腾讯安服团队收到多家企业安全响应排查需求,客户在收到外部情报或线索后,希望能分析研判,找到入侵路径,获取防护建议和响应报告。
综合腾讯安服应急响应研判结果,目前被利用的0/Nday漏洞已接近100多个,影响几十家主流厂商,包括办公、应用产品及安全厂商等。攻防形势大致可以用如下图片形容:
面临未知的0day威胁、以及眼花缭乱的钓鱼方式,企业往往防不胜防,在对行业各类丢分、失陷情报以及部分企业应急需求进行分析后,我们发现有一些共同的挑战:
1、 情报时间差较大:企业得到通知比较晚,攻击者已经进来了;
2、 情报内容单薄:有价值信息较少,无法辅助安全决策;
3、 情报繁杂,信息混乱,真实度存疑:情报数量太多,不清楚是历史漏洞还是新漏洞,客户无法有效研判运营造成响应混乱;
4、 出现可疑事件或信息后,不确定是否受影响,影响面无从排查;
5、 解决单点风险后,缺乏系统化应急能力,担心其他遗留的潜在风险;
......
由于攻防端信息不对称,企业作为防守方容易陷于疲于应对的状态,专业安服务应急专家可有效助力企业对攻击线索的分析研判,提升响应时间和效率。
应对方式主要基于两个层面的能力构建:
1、及时精准的情报能力:情报内容信息完善,且经过技术分析验证,有效的POC能帮助企业快速排查风险;
2、 快速成熟的应急溯源能力:不浪费时间,根据攻击线索,结合日志及分析工具快速识别攻击手段,及时发现问题。
腾讯安服团既关注云上防守,也负责协助客户进行安全保障,在如何有效利用情报辅助安全运营有很强的实践经验。我们以腾讯安全威胁情报中心为基础,整合更多情报源,搭建以漏洞为中心的云安全情报平台,也纳入部分小众圈子、安全社区、社交渠道以及客户现场情报。
除了基础情报信息外,更重要的是情报研判处置。为此,腾讯安服情报团队会联动值守监控团队、应急溯源团队以及攻防团队,综合情报发布地点、发布时间、发布内容以及技术研判、复现结果等情况,进行综合研判,在最短的时间内,完成上线游线索关联分析,输出可支撑企业安全团队可落地的防护执行建议。
“凡两个物体接触,必会产生转移现象”,法国法医学家、犯罪学家艾德蒙·罗卡(Edmond Locard)于1910年提出的“罗卡定律”,奠定了现代刑事痕迹检验学的基石,而放在网络安全中,“罗卡定律”同样适用于应急响应及溯源场景,应急人员在分析举报线索的基础上,通过分析被攻击系统调查所发现的相关物证、日志等理清攻击时间线线索,进而溯源定位攻击对手。
基于云上万千客户的入侵应急案例积累,腾讯安服应急响应团队在收到漏洞情报后,在漏洞复现的过程中,会分析该漏洞利用在主流安全产品、应用日志、资产引擎以及的系统日志中的特征,形成知识库,并基于这些特征开发快速应急排查脚本,以便于在下次出现应急事件时,能够借助应急分析工具进行快速攻击线索识别及溯源分析,定位入侵原因及攻击者IP。我们对过去一年的超过80多个TOP热点攻击漏洞完成的线索分析,在最近演练中发挥重要作用。
截至今日,腾讯安服应急响应团队已协助10多家客户快速完成攻击原因分析和攻击IP定位,顺利提交应急溯源报告。
除了攻防演练期间,在日常的安全运营保障过程中,腾讯安服应急团队在发现大量客户被勒索、挖矿等场景后,自研了勒索病毒数据恢复工具以及挖矿清理工具,其中数据恢复开创性地利用操作系统底层数据存储机制,可实现在勒索场景、入侵应急取证场景、数据恢复等场景80%的数据恢复成功率。
随着加密货币的快速崛起,挖矿攻击趋势有增无减,攻击手段和方法亦是千变万化,在挖矿木马清理方面,腾讯安服应急响应团队自研挖矿清理工具,能够识别和清理覆盖市面上超过95%的挖矿木马攻击,且未出现误杀情况,目前已帮助数百个用户完成挖矿木马清理,保障了业务安全稳定运行。
安全的本质是人和人的对抗,腾讯安全在众多国家级攻防演练中积累了丰富的攻击对抗方法论,并通过自研的SOAP运营平台(下一代SOAR),将大型互联网企业及甲方视角下的攻防方法论和能力借助平台进行了落地,实现了情报、应急以及攻防运营等能力顺利对外输出,并已累计助力200+企业的日常安全运营、云上安全重保、攻防演练保障。
未来,腾讯安全服务也将持续推进服务能力升级,以更加专业化、可靠的服务,助力用户提升安全运营提效降本,以协助增强客户业务安全免疫力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...