一起隐匿 78 天的供应链攻击揭示的事件响应困境

本案例来自一家大型企业客服服务中心的安全负责人。该服务中心承接了集团多个业务条线的客户服务工作，日均服务量超过 10 万通，拥有完整的信息安全防护体系，包括 SIEM、EDR 等多层次安全设施。

▌看似完美的防御体系

• 当攻击者首次通过 VPN 登录时，SIEM 产生了"低危"告警，因为登录源 IP 来自可信供应商网段，使用了合法的 VPN 通道。
• 三周后，当这个账号在深夜执行 PowerShell 命令时，EDR 再次告警，但因为都是系统管理常用命令，而且临近系统升级窗口，告警再次被标记为"可忽略"。
• 直到春节假期前的例行安全巡检，我们才发现这个账号在尝试访问客服知识库和质检系统的异常行为。

▌现代攻击者的精妙策略

# 传统告警判断的致命弱点def is_suspicious(event):    if event.source in trusted_sources and        event.credentials.valid and        event.behavior.matches_normal_ops:        return False  # 看似合理的判断实则经不起推敲    return True

现代攻击者早已洞悉这种简单逻辑的盲区。他们不再硬闯防火墙，而是耐心寻找并利用被信任的身份与通道；不再留下明显的恶意程序痕迹，而是完美模仿正常运维行为。


▌响应体系的"碎片化"困境
更令人担忧的是告警信息的分散。在这起案例中，一些关键但被忽视的信号包括：


timing: "非维护窗口的系统访问"


access: "首次访问非授权系统"


operation: "异常的权限探测行为"


location: "非常规 IP 地址段访问"


这些信息被分散在 VPN 日志、EDR 告警、系统审计等不同系统中，导致整体攻击链条始终未能被串联起来。
结果是：攻击持续了 78 天才被发现，期间产生了 2000 多条相关告警，而实际有效分析时间却不足 20 小时。
这种巨大的延迟暴露出传统线性响应流程的致命弱点：面对现代攻击者的并发式攻击，我们的分析能力已经成为不可逾越的瓶颈。


▌破局实践：从理想到现实
这次事件后，我们开始着手完善检测和响应体系。说实话，这个过程比预想的要艰难得多。差不多花了半年时间，我们才逐步理顺了主要问题。
最开始的工作都很基础，但做起来挺费劲的。
先说日志，排查下来问题不少：


老系统的日志质量普遍较差，关键信息经常缺失


不同系统的时间戳标准不一，造成关联分析困难


存储成本压力大，完整的审计日志动辄就是 TB 级别


账号治理这块也是历史遗留问题不少。系统管理账号、临时账号、离职人员的账号……梳理起来相当费时。最基础的账号生命周期管理竟然都没做好，这确实值得反思。
等基础问题处理得差不多了，我们开始优化告警质量。这个过程踩了不少坑：


最初想把规则定得很细，结果告警量剧增，误报率居高不下


后来先把明显的误报过滤掉，告警量直接降了 60%


经过持续调优，总算把有效告警率从 10%提升到了 30%


供应商管理也暴露出不少问题：


约 20%的供应商账号状态不明确，权限来源和负责人都需要重新确认


部分账号权限过大，存在明显的安全隐患


权限收敛工作推进困难，需要平衡安全性和业务效率


应急响应效率的提升是最具挑战性的。原来的应急手册过于冗长，实战价值不高。我们重点明确了三个核心问题：


首要响应人的确定


清晰的升级路径


各部门协作机制


实践下来，效果还是比较明显的。但确实还存在一些待解决的问题：


人力资源紧张，特别是在 7x24 响应机制的落实上


老旧系统的技术债务较重


跨部门协作效率仍需提升


最大的体会是，安全建设需要循序渐进。一味追求完美的方案反而容易碰壁。尤其是跨部门协作这块，除了制度流程外，更需要在日常工作中建立互信。
作为一线实践者，我深知这些改变绝非易事。但正如这起案例所显示的，传统的防御思维已经难以应对现代攻击者的智慧。值得庆幸的是，通过这次事件，我们及时发现了防御体系中的短板。这不仅避免了更大的损失，也为未来的安全建设指明了方向。
唯有持续创新、与时俱进，才能在这场无声的战争中占据先机。而最重要的是，要始终保持警惕，不断完善和优化我们的安全防御体系。
▌塞讯验证：以持续验证重塑事件响应
在这个案例中，我们看到企业在面对复杂攻击时的诸多挑战，塞讯验证可以从以下几个方面帮助企业建立更高效的事件响应体系：
发现与确认基础运维问题点：通过持续模拟真实攻击场景，发现与确认如案例中的日志关键信息经常缺失问题、时间戳标准不一问题、SIEM告警噪音过大问题。
通过确认无可争议攻击模拟确认问题点促进后续整改与优化，且通过复测确认问题点已解决。
检测能力验证与优化：通过持续模拟真实攻击场景，我们帮助企业发现现有检测体系的盲区。
不同于传统的渗透测试，我们的验证更加系统和持续：模拟供应商系统被攻陷后的横向移动、合法身份的异常操作、分散的攻击链等等。
这些都是传统安全体系容易忽视的场景。实践表明，这种持续验证的方式可以帮助企业将告警准确率提升 30%以上。
响应流程优化：光有准确的检测还不够，更关键的是要快速响应。
我们通过持续的攻击模拟帮助企业发现并解决响应过程中的效率问题。比如在这个案例中，如果能更好地整合各个系统的告警信息，建立起更顺畅的跨部门协作机制，也许就不会让攻击持续 78 天之久。
我们的客户普遍反馈，通过流程优化可以将平均响应时间缩短 60%以上。
持续改进机制 与传统的一次性评估不同，我们强调建立持续改进的闭环。这包括：


定期进行全面的能力评估


及时发现新的攻击手法并验证防护效果


结合实战经验不断优化响应策略


建立安全知识库促进经验在企业内沉淀




原文始发于微信公众号（塞讯安全验证）：一起隐匿 78 天的供应链攻击揭示的事件响应困境