墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

安全应急响应的一些经验总结

06-29 WEB安全

安全应急响应一些经验总结,在2016年,我尽大概的参与到了事件响应的工作中,同时我还花费了超过300小时的时刻去作为今年特别多安全事件或者数据泄露事件的顾咨询。这些工作中包括我目前正在举行的工作,协调事件受害者与事件响应人员的关系。而本文中我所列举的这些内容,多数都来自与我的工作内容的总结经验,另外要讲明的一点是我要紧和科技公司举行合作,于是在这些总结中大概会偏重科技类企业一点。

1、对日志举行统一集中的治理大概会更好

其实,我以为我这篇文章最重要的一点算是去教会大伙儿怎么去区分啥是标准的安全事件,啥是灾害性的事件。而依照日志记录的好坏,将大概成为其中很重要,甚至能够讲是决定性的部分。

我发觉,反复的对日志举行审计,可以使你在应对事件时更好的去提供安全策略同时有效的应对事件。所以,我建议任何安全部门或者相关团队都应该去推出一具全面的解决方案,同时尽大概的去投资它,因为这大概意味着需要你们将所有的日志从所有主机、应用程序同时跨团队的去举行归纳整理,尽大概的去减少日志的不同类别。我相信经过这一做法将能在今后为你们团队去举行安全防护提供可靠的信息,同时还能够满脚其他团队的可用性需求目标。

A gotcha – 注意用户在您记录的日志中的隐私,以及相关信息的长期存储是否会浮上违规。事实上缩短保留期以爱护用户隐私是很常见的做法,固然这还将取决于您构建的产品是否有更大的需求。

结论:在大多数安全项目中,优先思量举行良好,可访咨询,DDoS防护,集中和可报警的日志记录整理。假如这一条做的好,这么特别有大概在10分钟内你就会发觉一具大概浮上的安全警报。

2、当无法找到事件的全然缘由时

在这马上过去的一年里,我不止一次的碰到过事件及时基本被解决了,然而仍然无法找到全然缘由的事情。这关于特别多应急响应人员来讲无疑是一场噩梦,因为这意味着面对领导层或者治理层描述自个儿的解决方案时只能做到临时的缓解,却无法举行一些明确的针对,不得不使那个事情成为一具看起来心有余而力不脚的咨询题。

其实,高防cdn,假如可以找到全然缘由,这么解决方案更像是:

我们擦拭了这台笔记本电脑,更换了这台服务器,翻阅了那个证书。

而假如无法找到全然缘由,解决方案更像是:“我们擦拭了所有的笔记本电脑,更换了所有的服务器,翻阅了所有的证书。”

发觉事件的全然缘由就像是一具很重要的里程碑,它决定了事件将要发生的所有大概环境和情绪,以及它是否会走向不行的方向。假如无法发觉全然缘由,这么关于整个团队来讲都大概是有一片乌云徘徊在额头,使所有人都显得慌张不安,进而感到工作十分艰难。所以,无论你的团队是大依旧小 – 重要的是经常举行危机演练。

结论:举行常规事情和红蓝对抗练习。这时你们需要将随机错误提供赏金或漏洞披露视为很有风险的做法。同时在练习场景中,你不能举行操纵,你不是无所不知,正确的日志不存在,你并不能理解特别多咨询题,从如今开始与你的团队战斗。

3、攻击者将大概针对家庭举行持续特别长时刻的攻击。

“带自个儿的设备”通常用于明确描述职员对组织带来的风险,但这事实上并不能特别好地描述针对组织内的个人的直截了当攻击。

今年涉及APT团体的事件特别多基本上将攻击直截了当集中在职员的个人电子邮件和终端上。这就使得无论他们是在个人帐户和设备上共享凭据或访咨询令牌,依旧从家里访咨询公司帐户,或者他们在办公室浮上他们的个人设备这都显得无关紧要。

但往往了解从职员家到企业资产的横向挪移是很艰难的,手动的去跟进职员是调查的要紧方式。目前一具常见的趋势是从对个人帐户和未在公司网络上使用的设备的攻击猎取共享密码,但其相关的凭证是举行托管的。

此外(这归因于“零全然缘由”)工程师大概将敏感的凭证存储在他们自个儿的个人云基础设施中以远程调试生产基础设施中,而这特别大概是具有高风险性的。

结论:这需要寻觅改善职员在家中举行安全防护的想法,对他们举行补贴要求他们使用密码治理器,MFA硬件或任何其他你能够获得的。推动他们和你的安全团队举行多沟通,假如他们有个人安全咨询题或在下班时看到不良行为,对他们举行教导并使他们可以爱护自个儿的家人免受威胁。

4、比特币成为了重要目标,即使你大概并不拥有它

比特币平台越来越多的受到攻击,而特别多黑客们特别大概去访咨询或者参与到比特币公司中去,所以这需要你很的注意。有关这种趋势的更多信息,或者 SendGrid博客 上的公共示例,请参考Blockchain Graveyard 。

结论:假如你深深的依凭着合作伙伴的技术,这么你首先要做的是去治理这种风险。而假如你是一具比特币公司,这么你大概需要尽大概的去限制除了您的合作伙伴的访咨询。

5、复杂性往往意味着你的“藐视”

今年的很多事件公告都将“复杂的攻击者”作为他们的咨询题的叙述。而如此做往往会导致外界大量的批判,这看起来就像是他们表现出的妥协基本暴露了。

事实上大多数漏洞都开始于鱼叉式网络钓鱼,商品漏洞,泄漏密钥或其他一些明显或的可预防的细节。

可是,这些往往都不是大伙儿去以为感到“复杂”的方面。实际上这些一开始看起来令人有点犯“尴尬癌”的攻击方式,往往在其最后来的攻击浮上后尽皆消散。

所以,不要经过他们挑选的最初攻击向量来推断对手,他们特别大概在最后来告诉你真正“复杂”的那一面。

例如,尽管初始向量大概不是显着的或有味的,但攻击者从单独的平台举行入侵访咨询或猎取凭证就能够发觉一些让他们为之心动的内容。

结论:“复杂的”攻击者往往不大概在最初的入侵上努力,展现他们的肌肉,所以不要低估那些初期看起来并不成熟的攻击,对手总是会尽最大的努力。那个目前正在运行的钓鱼攻击特别大概会跟着一具你不懂的新的0Day。

6、治理好你的隐私和密钥

隐私治理的好坏是公司是否遭受安全事件的一具重要分水岭。在过去的一年里我并没有接触到任何一家举行了严格的隐私治理的公司浮上过安全事故,而这大概意味着安全事件在这种事情下发生的并不多,或者讲不脚以需要我如此的人来举行问。

其实,存储在源代码中的密钥、泄露的云平台记录、没有采取任何安全措施的职员端或个人设备,甚至是复制粘贴到gist和pastebin中的对我来讲基本上意味着一件事,隐私以及密钥的治理存在着严峻的疏漏,而这将大概导致攻击者进一步的扩大破坏程度。

结论:认的确去了解你所使用的云平台,幸免将隐秘、隐私放在源代码中,尽可能让真正的隐私远离开辟人员,并可以快速而频繁地去举行更换密钥。

7、窃取证书仍然是最容易的做法

在正常的举行信息传递时,组织内应该要尽大概去幸免密码的重复使用,尤其是高层领导间,但在过去的一年里,仍然发生了几起。同时最为重要的是,这种意识的不到位造成的结果算是相关登陆凭证的丢失。

而特别多身份治理商正是在这方面举行了拓展,将治理凭据与登录过程在云产品上举行了集成,我没有对任何在企业对身份解决方案中破坏MFA的事件举行回应,当单点登录集成不是一具选项时,在每个产品中寻找MFA选项并执行它们也是一具要紧的缓解步骤。 非常强调一下GitHub是很必要的,因为特别多团队经常将隐秘存储在源代码中,这时就能够经过强制的MFA对团队举行爱护,直到更好的隐秘存储选项由团队接受了举行。

8、内部威胁事实上是有一些模式可循的

我在今年的工作遇到的最小的咨询题是涉及到内部威胁的事情。事实上每个内部人员浮上咨询题时都在一具已知的动机范围内,这一点我基本在好几年都见过了了,2016年也不例外。

比如那些很关注硅谷创业文化的人,他们在与媒体接触接着引起媒体关注到一些创业公司方面的做法事实上很具有典型性。

具体来讲,这事实上算是使用了一具内部威胁模型:

假如我如今给科技新闻举行曝光,可能他们就会把那个写成是我的科技创业方法。

尽管这是一具相当具体的模型,然而技术公司的职员的确特别爱慕泄漏IP和产品信息来获得这种结果。

这事实上是很常见的事情,彻底能够思量将其作为一种内部威胁的进展趋势类型。同时这是特别难谨防的,因为这些通常是雇员们不需要太多的信任就能够发生泄漏的现象,特别同时难赋予广泛适用的预防建议,于是大多数CEO都会挑选对职员透明,并答应这种风险。

我看到的第二个模式是内部的客户支持工具。一旦你挑选了一定数量的职员能够访咨询治理工具,其中特别大概就有一具职员是内鬼,与他人串通。

9、努力去衡量和消除你的债务

我今年协助的所有组织都有一具不正常的事情算是存在技术债务。这使我不得不相信,CC防御,将“债务”咨询题作为工程过程的一部分举行思量的公司通常是拥有严格纪律的组织,也就会使得其具有较低的风险。而这也算是为啥,他们能够积极竞争、冒险甚至是灵便的举行业务转换。

实际上,从开辟到产品成功公布期间,公司之间要紧的差异就在于他们怎么记录债务,并对他们的债务水平举行一具“回忆”,接着偿还债务。

我特别少看到一具团队可以彻底消除所有的债务,但至少不尊重债务的组织从来没有走远的,因为这会使得他们不能再在违约中得到关心。债务事实上有多种形式:规模,开辟速度,现场可靠性,客户流失,自动化之前的手动工作量和安全性。

咨询题是安全债务沉默。每一种其他形式的债务导致错误,客户投诉,费用和工程师浮上状况。安全债务只会导致违约,几乎不会量化,所以它需要手动工作量或技术线索来表现安全债务。

一具彻底掌握债务的工程组织假如在一具公司浮上是很罕见的,但这事实上是一具特别好的状况,表明这是一具安全性高的组织。

我特别少在实践中看到这一点,但这种水平的工程的浮上毫无疑咨询是一具公司大概成为伟大的迹象。Google算是如此的一家公司,环绕其公布实践构建了“错误债务”,并环绕它制定了政策,这是我发觉的使“债务”成为要衡量和解决的客观咨询题的最好的例子之一。

实际上大多数工程组织不懂他们的一些差不多流程(回忆,验尸)关心他们幸免大量债务。

版权保护: 本文由 主页 原创,转载请保留链接: /web/183244.html


QQ客服

400-0797-119