技术干货 | 【应急能力提升5】应急响应报告点评

admin 2022年8月28日19:51:08应急响应评论12 views1548字阅读5分9秒阅读模式

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术

本文为整个专题的第五篇,前面完成了方案设计、攻击模拟、应急响应,接下来是对应急响应过程及结果进行点评,在每一个“模拟-应急”之后,组织参与人员提交应急响应报告,由红队组长、防护组长、运营组长和aerfa一齐审阅,并按照评分要点对每份报告进行评价,最终输出评语和选出最佳团队。

技术干货 | 【应急能力提升5】应急响应报告点评


在一期模拟(从SQLi攻击到挖矿与权限维持专题)中,收到5份应急响应报告;二期模拟(内网Linux与Windows横向漏洞攻击),增加了2个小组,收到8份报告(有一个小组写了2份报告,最短都是20+页,最长能达到50+页),每份看完至少在30min以上。评委需要提前去熟悉攻击流程、攻击点及对应的时间点,又要关注整体的应急逻辑、证据充分性、推断正确性等多个方面,难度极大。



01

评分要点


应急响应报告质量如何,怎么评价呢?为了能较好的落地,抓主要关键点进行提炼,总结了一些要点来评价应急响应做的好与坏。由于本次专项针对的是应急响应实战能力,故从以下三个方面来进行评估:

技术干货 | 【应急能力提升5】应急响应报告点评



  • 应急响应步骤与方法:考量应急响应人员掌握应急方法、流程与思路的实际情况,在应急场景中十分重要。如遇到被攻击场景,在不了解情况和不保持现场环境情况下,上机一顿操作猛如虎,很可能会对后续或他人的分析带来干扰。


  • 攻击点与证据充分性主要考验的是应急响应人员分析能力,然而分析能力有和很多因素相关,比如基础的日志含义、格式、解析;操作系统命令;应急响应工具使用;安全漏洞与渗透思路等。其能力的主要外在表现,就是分析出来的攻击点证据确凿,这即是应急响应人员的硬实力。

  • 攻击链的复原完整度:对于渗透思路和逻辑能力的要求较高,在第一个场景中环境单一,只要掌握基本的技能基本上可以分析出来;第二个场景就需要较强的逻辑能力,不厌其烦的进行分析和梳理思路才能取得不错成绩,这是初级应急响应人员走向高级别的门槛。



02

应急捕获攻击点对比表


第I期模拟后,评委拿着5个小组的应急响应报告进行阅读,虽说报告模板格式统一,但是交上来的内容和质量不一,更别提某个攻击细节的分析了。在第II期中,红队一位负责攻击的同学主动看了所有应急报告,把每个小组命中的攻击点都列出来、并与自己的攻击路线逐一比对,输出对比表给评委,极大提高了评分环节的效率。

技术干货 | 【应急能力提升5】应急响应报告点评

(表格原创于前内部蓝军成员--番茄)

以表格中“组别-攻击矩阵”的方式来总结,显得十分清晰,这不仅减轻了评委的工作量,同时也是一种针对复杂场景梳理要点的最佳实践。不过也通知了评委不能仅靠这张图表进行评分,需要关心报告中的细节。
获取完整excel表格,请在后台回复:攻击点对比表



03

应急响应评分要点表


表格中的其他项,不都是针对应急响应的考核。由于在实际的业务场景中,涉及到情况可能比较复杂,比如需要和业务方(客户)沟通、过程分析交流、编写报告反馈等软技能,所以在本课题中一并把这些内容的也纳入进行评分。

应急组别

评委点评栏

评委署名

攻击链分析与复原情况

做得好之处

不足之处

其他项

总体评分(优秀/良好/一般/不及格)

最佳应急响应报告投票(写“最佳”+换行写明理由)

应急响应步骤与方法

攻击点与证据充分性

攻击链的复原完整度































相关链接:

技术干货 | 【应急能力提升4】实战应急响应经验

技术干货 | 【应急能力提升3】内网横向移动攻击模拟(上)

技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

技术干货 | 【应急能力提升1】实战应急困境与突破


技术干货 | 【应急能力提升5】应急响应报告点评


技术干货 | 【应急能力提升5】应急响应报告点评

原文始发于微信公众号(安世加):技术干货 | 【应急能力提升5】应急响应报告点评

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日19:51:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  技术干货 | 【应急能力提升5】应急响应报告点评 http://cn-sec.com/archives/1257309.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: