【应急能力提升5】应急响应报告点评

admin 2022年7月5日10:56:47评论30 views字数 1984阅读6分36秒阅读模式
本文为整个专题的第五篇前面完成了方案设计、攻击模拟、应急响应,接下来是对应急响应过程及结果进行点评,在每一个“模拟-应急”之后,组织参与人员提交应急响应报告,由红队组长、防护组长、运营组长aerfa一齐审阅,并按照评分要点对每份报告进行评价,最终输出评语和选出最佳团队。

【应急能力提升5】应急响应报告点评


在一期模拟(从SQLi攻击到挖矿与权限维持专题)中,收到5份应急响应报告;二期模拟(内网Linux与Windows横向漏洞攻击),增加了2个小组,收到8份报告(有一个小组写了2份报告最短都是20+页,最长能达到50+页),每份看完至少在30min以上。评委需要提前去熟悉攻击流程、攻击点及对应的时间点,又要关注整体的应急逻辑、证据充分性、推断正确性等多个方面,难度极大。



01

评分要点


应急响应报告质量如何,怎么评价呢?为了能较好的落地,抓主要关键点进行提炼,总结了一些要点来评价应急响应做好与坏。由于本次专项针对的是应急响应实战能力,故从以下三个方面来进行评估:

【应急能力提升5】应急响应报告点评


  • 应急响应步骤与方法:考量应急响应人员掌握应急方法、流程与思路的实际情况,在应急场景中十分重要。如遇到被攻击场景,在不了解情况和不保持现场环境情况下,上机一操作猛如虎,很可能会对后续或他人的分析带来干扰。


  • 攻击点与证据充分性:主要考验的是应急响应人员分析能力,然而分析能力有和很多因素相关,比如基础的日志含义、格式、解析;操作系统命令;应急响应工具使用;安全漏洞与渗透思路等。其能力的主要外在表现,就是分析出来的攻击点证据确凿,这即是应急响应人员的硬实力。

  • 攻击链复原完整度对于渗透思路和逻辑能力的要求较高,在第一个场景中环境单一,只要掌握基本的技能基本上可以分析出来;第二个场景就需要较强的逻辑能力,不厌其烦的进行分析和梳理思路才能取得不错成绩,这是初级应急响应人员走向高级的门槛。



02

应急捕获攻击点对比表


第I期模拟后,评委拿着5个小组的应急响应报告进行阅读,虽说报告模板格式统一,但是交上来的内容和质量不一更别提某个攻击细节的分析了。在第II期中,红队一位负责攻击的同学主动看了所有应急报告,把每个小组命中的攻击点都列出来、并与自己的攻击路线逐一比对,输出对比表给评委,极大提高了评分环节的效率。

【应急能力提升5】应急响应报告点评

(表格原创于前内部蓝军成员--番茄)

以表格中“组别-攻击矩阵”的方式来总结,显得十分清晰,这不仅减轻了评委的工作量,同时也是一种针对复杂场景梳理要点的最佳实践。不过也通知了评委不能仅靠这张图表进行评分,需要关心报告中的细节。
获取完整excel表格,请在后台回复:攻击点对比表


03

应急响应评分要点表


表格中的其他项,不都是针对应急响应的考核。由于在实际的业务场景中,涉及到情况可能比较复杂,比如需要和业务方(客户)沟通、过程分析交流、编写报告反馈等软技能,所以在本课题中一并把这些内容的也纳入进行评分

应急组别

评委点评栏

评委署名

攻击链分析与复原情况

好之处

不足之处

其他项

总体评分(优秀/良好/一般/不及格)

最佳应急响应报告投票(写“最佳”+换行写明理由)

应急响应步骤与方法

攻击点与证据充分性

攻击链复原完整度



































长按识别二维码,和我交流

【应急能力提升5】应急响应报告点评


More...

实战应急响应能力提升

SDL最初实践

安全漏洞治理

技术原理浅析

企业安全建设

基础安全建设

安全漏洞赏析


渗透测试技巧


一起玩蛇系列


个人成长体会




原文始发于微信公众号(我的安全视界观):【应急能力提升5】应急响应报告点评

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月5日10:56:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【应急能力提升5】应急响应报告点评http://cn-sec.com/archives/1154230.html

发表评论

匿名网友 填写信息