iT邦幫忙

2021 iThome 鐵人賽

DAY 27
0
Security

網路奇妙物語 - IT&Security 系列 第 27

鬼故事 - 為什麼駭客一直回來

  • 分享至 

  • xImage
  •  

鬼故事 - 為什麼駭客一直回來

鬼故事

故事回到我們小新的身上,
小新公司最近被駭客入侵,身為網管兼資安的人員,
遇到這種情況當然是先 call 外援來幫忙。

(請外面廠商協助調查)
小新:「請問你們調查的狀況如何」
廠商:「我們無法確定來源,因為部分機器我們沒辦法確定在哪」
廠商:「但根據目前調查的資料,我們找到這些後門和帳號被利用」
廠商:「我們會建議先做清除,並等待我們繼續做完調查」
小新:「好的,那我先把這些路徑的惡意程式移除,帳號我們去重改密碼」

廠商同步進行調查、小新清除惡意程式
經過三天後,駭客又回來了,
並且用著同樣的帳號在同樣的受害端點活動

資安探討

從這中間廠商的建議,
各位讀者是否有看出來不完善的地方。

  1. 打草驚蛇:入侵來源有時候不能確定,這在 IR 的時候常常有這狀況,但如果在調查還沒完整的時候,廠商或是企業資安人員就開始先清除惡意程式,駭客就知道被發現而會快速轉移後門或是滅證。
  2. 後續建議不夠完整:在無法確定來源的時候,清理惡意程式當然還是要做。但專業的人員應該建議哪邊可以提高偵測/多紀錄些資料,這樣駭客二次襲來可以更加確定來源。
  3. 不完整的事件響應計畫:如果沒有進一步確認駭客奪取了什麼資料、帳密,你無法防範駭客是不是會利用這些資料去做事,我們就看過駭客利用竊取的滲透測試報告進行二次入侵。在規劃一個資安事件,應該不是單純移除後門、改密碼、ban IP 就好,你要知道受災範圍,從而用公版去修改這次的專屬計畫,這就很考驗廠商的建議與企業資安人員的技術力。

上一篇
鬼故事 - Not As Secure
下一篇
鬼故事 - 真的有監控嗎
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言