iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 22
0
Security

資安x系統x絕對領域系列 第 26

[Day21]資安x事件追踨x調查步驟

沒錯!如果有連上網路或是USB或其他外接裝置,就有被感染或入侵的風險,所以這回兒我們要來談的就是「資安事件調查的步驟」,我們稱之為緊急回應服務(Emergency Response Service),縮寫為 ERS。

(1) 準備:準備好處理事件
首先要做的是保持事件分析的環境,可以的話能做環境備份最好,再來就是採證或復原。
.最好可以接觸到發生事件的系統環境
//因為攻擊者可以偵測到調查痕跡,例如網路監聽,所以實際能接觸到環境會比遠端控制更好
.為了當作法庭證據可能需要將硬碟做實體備份。
.切斷所有與可疑的機器接觸的網路連線
.應該要在安全的裝置上記錄平時連線活動或日誌,才能有效率的比較目前的情況。
.如果能具備平時在機器上跑服務的知識將會有很大的幫助。//可以使用工具 AUTORUN
.熟知系統、服務與應用程式,在鑑定時,任何額外的程序、服務與應用程式都是可疑的。

(2) 確認:調查事件
再來依據經驗,分析目標物件的類別來進行分析

(3) 封鎖:限制事件的影響
依據分析的狀況,去判斷漏洞或弱點是從哪裡產生的,並且封鎖範圍或限制內容。
備份所有重要資料,且複製一份系統的記憶體用來更進一步的分析。

如果有惡意程式,最快的方式可以以「線上分析」來判定是否正常。
如果沒有在線上得不到結果,就應該立刻進行離線做靜態分析調查。
PS.不做動態分析是因為會破壞資安事件的環境

嘗試找出駭客活動的證據:
.找到曾經執行的檔案(包含了被刪除的檔案及曾經執行的行為)
.檢查最近被存取的所有檔案。
.檢查網路連線是否有存取異常
.嘗試找出攻擊者如何進入系統。
//所有的線索都要考慮到。
//如果沒有找到電腦入侵的證據,也有可能透過裝置或網路、社交工程來竊取資料。
.修正所有弱點(系統與應用程式),以免攻擊者使用已知的弱點。

(4) 修正:移除威脅
修補漏洞,防止未來事件發生
.暫時停用所有牽涉到此事件的帳號
.移除所有攻擊者設定的登入設定、惡意程式

(5) 復原:復原到正常階段
基本上,只要系統被滲透或入侵過了,最好還是以原始工具重新安裝系統,然後更新備份。
假設無法使用這個方式,那麼請依據發生的事件更新狀況:
.改變所有系統密碼為「高強度密碼」
.復原所有系統檔案及設定

(6) 後續情況:制訂並改進流程
沒錯!就是寫報告的時間了,紀錄以下內容:
.初步檢測
.發生的事件行為與時間軸
.什麼是適當的
.什麼地方出了問題
.事件成本
以經驗定義一個流程,來改善入侵檢測管理流程,避免下一次的事件發生。


上一篇
[Day20]惡意程式分析x進階x靜態分析
下一篇
[Day22]資安x事件追踨x調查項目
系列文
資安x系統x絕對領域47
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
魯大常
iT邦新手 3 級 ‧ 2016-12-27 22:49:07

升級了,卡位搶頭香!

虎虎 iT邦研究生 5 級 ‧ 2016-12-28 14:51:58 檢舉

恭禧升級 XDDDDDD

我要留言

立即登入留言