【应急能力提升7】整体总结与提升

admin 2022年9月19日00:32:50评论53 views字数 2782阅读9分16秒阅读模式
本文为整个专题的第,前面对应急响应现状进行了分析,完成了方案设计、攻击模拟*2、应急响应经验总结、应急响应报告评分、专题总结会,接下来会对效果与预期进行简要分析,针对应急响应发表自己的看法,对企业和个人能力的发展做了粗浅的描绘。
【应急能力提升7】整体总结与提升


本篇的结束,也意味着《应急响应实战能力提升》系列的终结,同时也将开始新的实践系列文章编写与分享。



01

整个专项存在的问题

【应急能力提升7】整体总结与提升


1.1 靶场环境难使用

最开始多组同时在同一台机器上进行排查,导致相互干扰。后面针对性的进行优化,提供并建议各小组下载靶场虚机使用。

1.2 攻击点数量多杂

尤其是第II课题,攻击点不难但是数量较多,两台服务器相互攻击,应急响应分析全的难度陡增。但靶场相较真实环境更纯净,没有多余的正常业务日志(基本全为攻击产生的日志),有利于应急响应人员分析。

1.3 组内配合不充分

在每次开课题总结会时,同一小组会有不同人员参与,出现部分内容重复、整体思路不清晰或串不起来等情况。追究其因,在应急分析过程中不同成员相对独立,汇报前也没有进行详细沟通。

1.4 应急的时间太长

每次应急响应到输出报告时间,计划均为十天。有的组长反馈时间太长,大家会不自觉的把精力投入到优化和美化报告方面,影响正常的工作。为了避免仅美化报告的情况,特别做了报告质量强调,只需要逻辑通顺、合理就行,重点还在分析思路和证据列举。另外提出这一点也比较合理,真正遇到攻击事件时,就需要立马响应处置至问题处理完为止,基本不会有那么长时间进行应急。

1.5 实际与预期差距

在实战应急能力提升方面,大多数人员对于Linux及相关安全性、手工分析日志、安全漏洞等方面,表现得不理想,基本停留在会上网查命令使用的层面,对于原理了解不够深入,暴露出了基础不牢的问题。原本预期是想通过实战提升基本功,由此来看这一次专项又暴露了更多的问题,要想达到能力的显著提升还是不够。



02

关于应急响应的一些个人看法

应急,毫无疑问就是事件来的突然,让人手足无措。短时间内的工作强度会比较大,不分昼夜都得快速响应,因此也是我比较不想碰的工作内容。但这又是每位从事企业安全人员不得不碰到的,处置不好可能对公司带来较大影响,那安全团队的日子也不会好过。所以不仅要做,还要做好,还得超前做到位以避免事件发生。

【应急能力提升7】整体总结与提升

2.1 快速处置已发生的事件

安全事件必然是会发生的,不能抱有侥幸心理。要快速处置,至少需要从两个方面着手。一是预案,通常会让人想到一叠厚厚的文档,上面写满了各类安全应急场景,但实际需要的远超这些,如基本的人员配置、人员技能、人员职责、公司层面的整体处置流程、各环节响应与完成处置时间、各部门联动机制等一系列保障预案能落地的资源和措施;二是演练,常态化进行演练保证预案、配置的资源和措施能够落地,并且要快速的运转起来,如本课题的开展方式、SRC收到漏洞的处置、各级别的攻防演习。

2.2 预防事件少发生不发生

让安全事件少发生或不发生,这是一种奢望但也不是不能做到。主要取决于自己和对手,自身安全防护能力和运营能力越强,跑赢同行一般遭到攻击的概率就会降低,这也是安全圈公认的道理。但还需要看对手,如果一直被盯着、惦记着,那也是迟早的事儿。外部对手我们不能控制,自身的安全能力建设是可以把控的。最近勒索事件比较多,是当前的攻击主流节奏,安全人员应该主动关注并分析被攻击企业存在的安全问题和攻击者的攻击手法。每一次别人的安全事件,就是自己一次自检和提升的机会,切勿在旁吃瓜当看客,安全意识和危机意识是我们安身立命之本。安全能力建设是一项大工程,需要日积月累的推进,不过这里还是想强调威胁情报、外部安全事件很重要。



03

企业应急响应能力建议与展望

3.1 常态化实战促进应急响应能力

实战是检验真实能力的唯一标准,没有实战就创造。
其实不需要诸如国家级的攻防演习,也不用省市、行业甚至公司级的红蓝演习。就好比在本地搭建漏洞靶场上分析漏洞一样,模拟一些业务场景、制定攻击路线然后实施攻击、应急,常态化做,就能常态化练兵。每次发现的不足(包括组织级别和个人级别),制定计划和落实,在下一次中进行检验。

3.2 企业与个人应急响应能力发展

关于安全事件处置,存在很多的痛点:安全运营人员少、安全设备报警数多、事件处置仅凭人工经验不靠谱、事件处置速度不够快等。在进行企业安全运营建设时,大致会有以下三个发展阶段:

【应急能力提升7】整体总结与提升

当企业具备独立的安全运营团队,并能够应对日常的安全事件时,往往会向沉淀处置标准动作、自动化处置方向发展。尤其在大型攻防演习中,快速封禁大量IP已经成为刚需和基本操作,可以是简单的写脚本完成,也有借助于SOAR(SecurityOrchestration and Automation Response,安全编排自动化与响应)系统,联动安全设备、内部通讯工具等系统实现自动化。由此,就参与应急响应的个人能力而言,除了该专项中的基础技能,也提出了更高的要求。不过唯有顺应企业应急能力的发展,并主动掌握相关技能进行支撑,在真实环境中锤炼才能更上一层楼。




长按识别二维码,和我交流

【应急能力提升7】整体总结与提升


More...

实战应急响应能力提升

SDL最初实践
安全漏洞治理
技术原理浅析
企业安全建设
基础安全建设
安全漏洞赏析

渗透测试技巧

一起玩蛇系列

个人成长体会


原文始发于微信公众号(我的安全视界观):【应急能力提升7】整体总结与提升

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月19日00:32:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【应急能力提升7】整体总结与提升http://cn-sec.com/archives/1302873.html

发表评论

匿名网友 填写信息