鬼故事 - 為什麼駭客一直回來

鬼故事

故事回到我們小新的身上，
小新公司最近被駭客入侵，身為網管兼資安的人員，
遇到這種情況當然是先 call 外援來幫忙。

(請外面廠商協助調查)
小新：「請問你們調查的狀況如何」
廠商：「我們無法確定來源，因為部分機器我們沒辦法確定在哪」
廠商：「但根據目前調查的資料，我們找到這些後門和帳號被利用」
廠商：「我們會建議先做清除，並等待我們繼續做完調查」
小新：「好的，那我先把這些路徑的惡意程式移除，帳號我們去重改密碼」

廠商同步進行調查、小新清除惡意程式
經過三天後，駭客又回來了，
並且用著同樣的帳號在同樣的受害端點活動

資安探討

從這中間廠商的建議，
各位讀者是否有看出來不完善的地方。

1. 打草驚蛇：入侵來源有時候不能確定，這在 IR 的時候常常有這狀況，但如果在調查還沒完整的時候，廠商或是企業資安人員就開始先清除惡意程式，駭客就知道被發現而會快速轉移後門或是滅證。
2. 後續建議不夠完整：在無法確定來源的時候，清理惡意程式當然還是要做。但專業的人員應該建議哪邊可以提高偵測／多紀錄些資料，這樣駭客二次襲來可以更加確定來源。
3. 不完整的事件響應計畫：如果沒有進一步確認駭客奪取了什麼資料、帳密，你無法防範駭客是不是會利用這些資料去做事，我們就看過駭客利用竊取的滲透測試報告進行二次入侵。在規劃一個資安事件，應該不是單純移除後門、改密碼、ban IP 就好，你要知道受災範圍，從而用公版去修改這次的專屬計畫，這就很考驗廠商的建議與企業資安人員的技術力。