入侵分析是所有网络安全和威胁情报分析师必须具备的基本技能。它需要对事件进行检测、分类、调查和有效响应——这是网络防御的核心。

本指南将教您如何做到这一点。您将了解什么是入侵分析以及如何使用四步流程执行入侵分析。您还将看到一些可以帮助您的工具和技术。还包括一些备忘单，以帮助您了解要查找的内容、在哪里找到它以及如何在分析过程中使用它。

让我们开始探索入侵分析吧！

什么是入侵分析？

入侵分析是检测、调查和应对网络安全事件的艺术和科学。它涉及系统和结构化地询问数据源，以及阻止网络攻击所需的个人直觉和批判性思维。

网络安全事件是威胁数据或 IT 系统的完整性、机密性或可用性的事件（或一系列事件）。它可能是网络攻击、公司资产的意外滥用或系统故障/配置错误。

入侵分析的目标是有效地检测、调查和应对网络威胁，以最大限度地减少其对组织的影响。这很重要，原因如下：

• 主动防御：入侵分析使您能够及时检测和应对威胁，减少网络攻击对组织的数据、系统和声誉的影响。

• 事件理解：通过分析入侵，组织可以深入了解攻击者使用的策略、技术和程序(TTP)。这使您能够在将来更有效地防御它们并增强您的整体安全态势。

• 法规遵从性：许多行业都需要强大的入侵检测和响应能力，以遵守行业标准和法规，从而保护客户数据。

• 持续改进：从入侵分析中吸取的经验教训可帮助您改进网络安全防御和事件响应流程。这可让您更有能力抵御未来的威胁，并展示出您需要优先考虑哪些资源。

为了实现这一目标并获得收益，您必须彻底分析和调查入侵。这可以通过遵循结构化和方法论的方法来实现，本文后面将详细介绍。

话虽如此，指南只是指南而已。您必须在事件发生前后遵循一些关键的最佳实践，以确保您的入侵分析一致、高效且不断改进。

• 定期监控和更新：强调持续监控和更新检测系统的重要性。这是触发入侵分析过程和确保检测到最新威胁的关键。

• 培训和意识：确保分析师接受持续培训，以识别和应对威胁。您的入侵分析过程的好坏取决于您团队中最弱的成员。

• 事件响应计划：所有组织都必须有明确的事件响应计划。您必须随时准备采取行动。最好的准备方法是进行模拟、练习演练和简化工作流程。

• 协作和信息共享：定期与您所在行业或社区内的其他组织协作并共享信息。共享威胁情报可让每个人都加强防御并主动防御威胁。

现在您已经了解了入侵分析及其重要性，让我们来讨论如何执行它。

入侵分析过程

为了有效调查网络攻击，您必须遵循四步流程。

1. 检测和分类：您识别、分类并确定事件的优先顺序以供调查。

2. 调查：您使用各种网络安全框架、方法和分析技术调查事件。

3. 响应：你遏制、消除并恢复事故。

4. 事件后：您回顾如何检测、调查和响应事件，以确定需要改进的地方。在这里，您可以创建一份经验教训文档来改进您的事件响应流程。

这四个步骤构成了入侵分析过程。全面执行每个步骤将确保事件得到适当处理、快速解决并采取正确的措施。

这四个步骤与NIST和SANS事件响应步骤一致。

检测和分类

入侵分析过程的第一步是检测和分类。您必须先检测并评估威胁，然后才能开始调查和应对威胁。

检测通常是由各种安全工具和技术执行的自动化活动，例如 SIEM（安全信息和事件管理）、入侵检测系统 (IDS) 和端点检测和响应 (EDR) 解决方案。

这些工具具有检测规则，当发现入侵指标 (IOC)、达到阈值或观察到可疑行为时会触发这些规则。一旦触发，警报就会启动入侵分析过程。分析师将收到此警报并继续进行分类。

分类涉及几个步骤：

1. 验证：确认安全警报和事件是真实事件，而不是由测试或合法活动触发的误报。您可以通过联系系统所有者或内部 IT 团队或将其与之前的检测结果进行比较来做到这一点。验证需要了解您的 IT 环境以及什么是正常的。

2. 分类：将安全事件归类到预定义的类别中（例如恶意软件、勒索软件、可疑活动、潜在有害程序、黑客工具等）。这些应该在您的事件响应计划中定义，并具有相关的剧本，以便进行有效调查。

3. 范围界定：为了帮助确定事件的严重程度，您必须快速评估攻击面详细信息、受影响资产的数量和相关指标。这可以让您确定威胁的范围有多广。

4. 分配严重性：根据事件可能造成的潜在影响或损害分配严重性级别（例如低、中或高）。许多安全工具会自动执行此操作，但通常缺乏其他受影响资产、您的关键资产和内部业务流程的背景信息。

5. 排队、调查或升级：对安全事件进行初步分类后，您可以决定是否将其添加到积压队列、开始调查或将其升级给更资深和更有经验的人员。

对事件进行分类并决定需要进一步探索后，您可以开始入侵分析过程的第二步：调查。

调查

调查是入侵分析过程中最重要的一步。在此，您将执行根本原因分析，以准确查明发生了什么、如何预防以及应立即采取哪些行动来限制潜在损害。

调查安全事件的方法和技术有很多。我发现最有效的流程是使用钻石模型、MITRE ATT&CK 框架和网络杀伤链来收集数据、标记数据并描绘发生的事情。

以下是所涉及的步骤。

步骤 1：创建空白网络杀伤链

首先，创建一个表格，其中包括网络杀伤链的每个阶段、您发现的内容、在哪里发现、指标（IOC）以及采取的行动。

第 2 步：确定检测到安全事件的位置

接下来，确定在网络杀伤链上检测到事件的阶段，并使用钻石模型和 MITRE ATT&CK 框架填充详细信息。

例如，从钻石模型开始，确定用于执行攻击的基础设施、受影响的受害者以及执行的功能(TTP)。基础设施可能是攻击者的 IP 地址、受害者的 Web 服务器的 IP 地址以及用于网络扫描 (T1595) 的TTP。确保将TTP映射到 MITRE ATT&CK 框架。

步骤 3：深入网络杀伤链

确定起点后，请按照网络杀伤链的顺序进行操作，并填写您在日志源中找到的任何内容。这将决定攻击者的成功率以及对您组织的影响。力求尽可能详细地完成每个杀伤链阶段。

步骤 4：返回网络杀伤链

一旦您到达杀伤链的末端并确定攻击在某个阶段被阻止，您就可以开始沿着杀伤链向上追溯。理想情况下，您希望一路追溯到第 1 阶段。但是，这将取决于您环境的可见性、日志源和数据保留。

随着您逐步深入网络杀伤链，您可能需要立即采取响应措施来遏制威胁，例如隔离文件或机器、重置用户凭据或切断网络访问。

第五步：扩大调查范围

调查完一台机器并完成杀伤链后，您可以将调查范围扩大到环境中的其他机器。您需要确定是否有其他资产受到此事件的影响，以及是否需要执行任何其他响应操作。

使用您从初步调查中收集到的指标作为数据点。例如，在您的网络日志中搜索恶意 IP 地址，查看是否有其他机器访问过它，或者在您的 EDR 工具中运行威胁搜索查询，查看是否有恶意文件在任何其他端点上执行过。

扩大调查范围将使你能够在原有图表中添加更多基础设施、受害者和 TTP。它甚至可能启动新的调查。

完成调查步骤后，您可以采取行动来应对该事件。

回复

响应步骤是针对威胁采取行动。经过彻底调查后，您应该知道对手做了什么以及他们是如何做到的。现在，是时候选择如何响应了。

通常，这将遵循三个阶段：

1. 遏制：限制入侵影响的策略。

2. 根除：从受影响的系统中消除威胁的方法。

3. 恢复：恢复并验证受影响系统完整性的步骤。

根据攻击的成功程度，您可能需要对从单个工作站到整个 Windows Active Directory 域的任何设备执行其中一个或所有阶段。每个阶段都有可用于防御网络攻击的操作。这些操作映射到行动路线矩阵(CoA)，如下所示：

• 发现：您正在日志中发现威胁行为者的过去活动。这包括来自您正在调查的单个事件的其他威胁。您将在数据点之间“切换”以发现恶意活动。

• 检测：入侵分析过程首先使用防病毒、EDR 和 IDS 等检测工具识别攻击者的当前活动。

• 拒绝：使用防火墙规则、电子邮件过滤、权限限制等阻止对手的活动。这是防御者为遏制威胁而采取的首要行动之一。

• 破坏：中断威胁行为者的活动或信息流，使其失败。这是一种遏制策略，旨在防止威胁蔓延，可能涉及中断爬虫活动、隔离文件、利用 DEP 或 ASLR 等保护措施、应用程序沙盒、隔离机器等。

• 降级：它们正在降低对手活动的有效性。这些行动会减慢潜在的恶意行动，并让防御者有机会做出反应（例如，限制速率、剥离附件等）。同样，遏制威胁也属于这一类别（例如，将机器锁定在公司内部网络中）。

• 欺骗：他们向对手提供虚假信息，旨在误导他们的行动，例如代理、虚假电子邮件地址或蜜罐。通常，这不用于事件响应。

• 破坏：破坏攻击者的基础设施，使其无法再运行（例如“反击”）。对于大多数组织来说，这通常是不合法的，并且会导致许多问题。同样，这通常不用于事件响应。

以下是典型的安全运营团队可以使用的每种策略和行动方案的示例。

选择采取哪种响应措施通常需要了解关键业务流程，并选择对业务危害最小的措施。例如，您可能希望隔离 Active Directory 域控制器，但这样做会严重影响业务运营。

一旦你决定了行动方案，记得把它添加到你的调查图表中，以记录你采取了哪些行动以及为什么采取这些行动。这可以在事后步骤中用来寻找需要改进的地方。

事件发生后的活动

尘埃落定之后，一切都恢复到事件发生前的状态，您可以执行事件后活动来审查事情的进展情况、需要改进的地方以及将使未来流程更加高效的变化。

事故后活动一般包括三个主要部分。

• 汇报：总结事件期间发生的事件、讨论采取的响应行动并让相关人员对事件处理情况提供反馈的会议。

• 经验教训文件：一份正式文件，描述从网络事件中学到的东西。这包括团队做得好的事情、需要改进的事情以及改进事件响应过程的行动。

• 行动项目：详细说明个人、团队或公司必须完成的行动以改进事件响应流程的文件。

根据事件的严重程度，可能还需要采取其他事后活动，例如公关声明、法律行动等。

让我们探索可以帮助您完成这四个步骤的工具和技术。

入侵分析的工具和技术

入侵分析总是受限于您对环境的可见性和应对威胁的能力。许多大型组织都难以全面覆盖其 IT 资产，而规模较小的组织（预算较少）通常缺乏快速应对威胁所需的自动化能力。

以下是高效入侵分析过程及其涵盖的杀伤链阶段的一些基本工具。

备忘单：每个杀伤链阶段需要注意的事项

入侵分析的关键在于了解要查找的内容和位置。简化此过程的一个好方法是创建一个收集管理框架(CMF)，概述您的数据源及其可以回答的问题。

了解网络杀伤链每个阶段需要注意什么也很重要。下面的备忘单详细介绍了每个阶段可以找到的一些内容、可以查看的位置以及可能采取的后续行动。这将帮助您开始在您的环境中执行入侵分析。

在这些示例中，您有一个 EDR（端点检测和响应）工具、在 SIEM 中收集的网络/应用程序/系统/电子邮件日志、一个 IAM（身份和访问管理）解决方案、一个 Web 防火墙（WAF）、一个 IDS（入侵检测系统）和像Snyk这样的代码审查工具。

此外，您还有一支网络威胁情报团队，可以执行情报需求(IR) 来为您收集更多信息。在现实世界中，您可能必须自己做这件事。

KC1：侦察

KC2：武器化

KC3：交付

KC4：利用

KC5：安装

KC5：指挥与控制（C2）

KC7：目标行动

结论

入侵分析是关于检测、分类、调查和响应网络安全事件。它需要工具和技术、结构化方法以及分析师的直觉来确定发生了什么以及如何做出最佳响应。

本指南展示了如何进行入侵分析、有效解决网络事件的四步流程以及在此过程中为您提供帮助的工具和技术。它还包含备忘单，详细说明了网络杀伤链每个阶段需要注意的指标，以便您立即开始提高入侵分析技能！

以本指南为范本，确保您遵循结构化方法解决组织面临的网络攻击。

原文始发于微信公众号（KK安全说）：如何深入调查一次网络安全入侵？