【应急能力提升6】应急响应专题总结会

本文为整个专题的第六篇，前面完成了方案设计、攻击模拟、应急响应、评分环节，接下来是回顾每个攻击模拟之后的专题会。

‍

‍针对每一个专题，单独组织了一次专题会；每次会议在提交应急响应报告后一周内进行，时间间隔越短，参与的人员印象越深刻，效果也越好。在总结会中，根据应急响应报告将每个组存在的问题（应急思路、分析逻辑、实际操作细节、报告行文逻辑、汇报表现）与优势进行点评，除了发现本次专项开展过程中暴露的问题外，还能关联日常工作得到提升引导。

01

—

总结会目的

除了最初的应急响应实战能力提升目的外，组织各组人员参加总结会进行汇报、讨论、听点评，还会带来一些额外的好处：

• 锻炼新人演讲能力：每个专题会上，要求每个小组进行讲解，机会优先给到新人，充分让其展现自己的思路与成果；

  
  

• 督促深化单兵能力：通过会议的方式，推动参与人员进行思考与总结；通过演讲的方式，将所做所思讲出来，进一步帮助其加深对知识的印象与理解；

  
  

• 攻防相长双向提升：红队分享攻击链路，蓝队分享应急流程，红蓝双方相互思维碰撞，红队与蓝队之间也能相互习得技巧与思路。（在大多数同事有红蓝两个团队的公司，一般红蓝队都是对立的，很难有机会坐到一起沟通技术）

02

—

总结会流程

在该专项的两次总结会中，每次的主要流程都基本相同，主要包括：

• 总体情况介绍：应急响应靶场的难度及各应急小组的完成质量；
  
  
• 应急人员汇报：成员介绍、分工说明、还原攻击链路、遇到的问题及解决方法、此次应急响应对后续的学习和工作启发等。其中还原攻击链路包括攻击者整个思路、如何发现漏洞、利用什么漏洞、如何获取权限、获取权限后做了什么等；
  
  
• 评委提问点评：每组汇报完成后进行，事先已经让各位评委针对每个进行点评和打分，缩短总结会上的时间；

  
  

• 红队攻击阐述：特别是给应急响应人员准备的trick，比如故意留着漏洞不利用，等待应急响应人员去分析挖洞；在第二次场景中留下存在rce漏洞的exiftool，若应急人员使用现成的工具分析图片数据，就会cs上线；

  
  

• 总结表扬沉淀：针对表现好的个人与小组进行表扬，并做整个项目中做的好之处进行总结与知识沉淀。

03

—

总结会沉淀

经过两次总结会，总体应急响应能力有了明显的提升，基本达到预期的效果。比如在第一次汇报时，有的小组报告质量比较差，有的甚至不清楚如何将证据串起来分析；但在第二次汇报时，各组的分析思路和报告编写质量变好了很多，攻击路径虽然写得不全，但是描述的很清晰，相比第一次已经有了巨大变化。通过这两个模拟专项，也确实沉淀了一些有价值的思路、流程、问题和学习资源。

3.1.应急响应实战思路

部分小组的报告基本上算是应急响应的“标品”，应急响应的思路清晰，考虑问题全面，涉及到的操作也十分详细。几乎可以直接拿来当做模板，供给大家学习和使用。

（Linux系统排查思路）

（Windows系统排查思路）

其中，个人比较认可的的应急响应步骤如下：

• 及时止血：当遇到网络安全攻击事件时，需要从业务连续性和带来的危害两方面进行权衡。考虑的因素包括：被攻击目标是客户端or服务器；若是服务器的话，需要明确是在生产环境or测试环境；若是生产环境的话，是不能停的业务还是可以中断的业务...等多个因素来判断。通常在不影响公司盈利的情况下（如接入安全防护设备阻挡部分攻击），其次是局部受影响（如业务断网下线或做网络限制），最后没办法才会选择下电关机；
  
  
• 了解现状：前面的篇幅已经描述了，根据被攻击、已执行的动作等情况进行沟通，充分了解后对症下药开始应急；
  
  
• 备份环境：前面的篇幅已经描述，首先要保留入侵痕迹，方便后续有必要的话进行取证；
  
  
• 数据恢复：若是遇到数据被加密勒索，则需要解密；若是在被攻击机器上找不到有效痕迹（大概率被攻击者清除），也需要尝试进行数据恢复；
  
  
• 安全分析：首先需要进行大胆假设，然后小心求证，不放过一丝痕迹但又要注意不能钻死胡同，暂时弄不清楚可以先记下来放一边，从整体视角出发再来回顾问题；其次是可以从正反两个方向进行分析，正向是从现场分析安全问题，反向是从安全漏洞分析入口；最后将正反两个方向的分析结果进行梳理，以证据为关键点梳理出攻击链路；
  
  
• 后门清除：前面的篇幅已经描述，包括web、系统账号、系统内核层面的后门；
  
  
• 漏洞修复：除了已经发现的漏洞，有必要对收集到的信息进行漏洞关联，比如使用了Beescms，查看是否还有其他漏洞，甚至对系统进行渗透测试均是很有必要的；
  
  
• 安全加固：开启各类日志、主机、服务层面的加固等，最常见的就是弱口令清除、默认口令修改、服务最小化暴露、应用系统相关服务以最低权限启用；
  
  
• 重新上线：加固并功能测试之后，再次上线恢复业务；

  
  

• 编写报告：对整个事件的应急情况和结果进行记录，编写应急报告。在甲方企业中，更多想看到的还有问题分析、改善或提升优化等计划。

3.2.专项反哺日常工作

将总结会中发现的问题映射到日常工作，更进一步找到了大家在应急实战中存在的不足之处。另外无论是攻击、防护还是检测，都发现一些问题有待解决，比如：

• 对Linux系统及相关操作不熟悉：对Windows环境比较清楚使用何种小工具，但是在Linux中不太清楚，不知道合理并高效的使用find、cat、awk、sed、netstat、ss、ps等命令，对rc.d、rc.local、sysconfig、log等常见配置文件和日志不够清楚；

  
  

• 日常运营工作中部分场景SOP积累不够：在两次攻击模拟中，持久化部分的攻击行为比较难以发现，提权相关攻击也基本仅靠文件去分析，各应急小组对这两部分均表示比较困难。其原因之一就是在日常工作中，很难接触到相关的应急场景，故SOP也比较少。
  

3.3.应急响应技能要求

如何才能做好应急响应？通过本次课题中的两次攻击模拟与应急响应，从参加的7个小组、15+人员，可以印证需要下面这些能力：

• 操作系统基础；
• 日志分析技能；
• 应急工具使用；
• 安全漏洞原理；
• 渗透测试（加分项）：在反向从安全漏洞分析入口时，具备渗透实战经验的同学明显比较有优势，思路更加广。

以上能力的积累，也是我们在后续新员工培养中的输入项，同时亦可以此为应急响应专业技能图谱的评判维度，对该序列同学进行技术职级评定。

---

长按识别二维码，和我交流

More...

实战应急响应能力提升

• 浅谈企业级供应链投毒应急安全能力建设

• 【应急能力提升1】实战应急困境与突破

• 【应急能力提升2】挖矿权限维持攻击模拟

• 【应急能力提升3】内网横向移动攻击模拟（上）

• 【应急能力提升4】实战应急响应经验

• 【应急能力提升5】应急响应报告点评
  

SDL最初实践

• 开篇

• 安全培训

• 安全需求

• 安全设计

• 安全开发

• 安全测试

• 安全审核

• 安全响应

• 完结篇（全系列paper下载）

安全漏洞治理

• 漏洞情报调研

• 漏洞调研报告（非完整版）

• 从漏洞视角看敏捷安全

技术原理浅析

• Nmap操作系统探测技术浅析

• 浅谈安全产品的hvv安全之道

企业安全建设

• 企业安全建设需求
  

• 企业安全威胁简述

• 企业安全架构建设

• 企业安全项目-测试环境内网化

• 企业安全项目-Github信息泄露

• 企业安全项目-短信验证码安全

• 企业安全项目-前端绕过专项整改

• 业务安全之另类隐患

• 应用发布之安全隐患

• 甲方眼里的安全测试

基础安全建设

• 基于堡垒机的自动化功能实践1

• 基于堡垒机的自动化功能实践2

• 基于堡垒机的自动化功能实践3

• 基于堡垒机的自动化功能实践4

安全漏洞赏析

• 安全运维那些洞

• 安全业务那些洞

• 应急响应：redis挖矿（防御篇）

• 应急响应：redis挖矿（攻击篇）

• 应急响应：redis挖矿（完结篇）

---

渗透测试技巧

• 那个简单的威胁情报

• Android APP数据存储安全

• 搜集SRC信息中的“技术活儿”

• 常规渗透瓶颈，发散思维突破 

---

一起玩蛇系列

• python武器库

• 漏洞扫描器资产处理

• python代码审计武器I

• python代码审计武器II

• Nodejs代码审计武器

• fortify漏洞的学习途径

---

个人成长体会

• C3安全峰会参后感

• 提高认知效率秘籍

• 如何学习这么多的安全文章（理论篇）
  

原文始发于微信公众号（我的安全视界观）：【应急能力提升6】应急响应专题总结会