導讀

當入侵事件發生時，在警報通知後需要啟動事件的紀錄及追蹤調查，並對於事件進行層級的通報。今日安排解說相關的概念。

本篇內容概述

安全事件調查與回應

安全分析師可能需要調查並回應安全事件。

事件回應生命週期的偵測和分析階段是事件回應團隊驗證和分析事件的關鍵部分。

1.偵測與分析階段

偵測階段的重要性

偵測階段的重要性在於能夠及時發現安全事件。

區分事件與安全事件：

• 並非所有事件都是安全事件，但所有事件都是業務運營中的一般事件（如訪問網站或密碼重置請求）。

工具使用：

• IDS（入侵偵測系統） 和 SIEM（安全資訊與事件管理） 工具用於收集並分析來自不同來源的事件資料，以識別潛在的異常活動。

事件偵測與警報：

• 偵測到如惡意行為者成功獲取未經授權存取帳戶時會發出警報，然後安全團隊開始分析階段。

2.分析階段的挑戰

調查與驗證：

• 分析階段涉及警報的調查和驗證，分析師需運用批判性思考和事件分析技能來檢查妥協指標，確定是否發生了事件。

偵測挑戰：

• 偵測工具有其局限性，不可能檢測到所有內容。
• 自動化工具可能因資源有限而無法在整個組織中完全部署，因此組織需要制定適當的事件回應計畫。

3.高警報量的問題

警報量過多：

• 安全分析師每個班次可能會收到大量警報，有時甚至數千個。

警報誤報與設定：

• 高警報量可能由錯誤配置的警報設定引起，如過於寬泛的警報規則不適應組織環境會產生誤報。

合法警報與漏洞利用：

• 高警報量也可能是由合法警報引起，如惡意行為者利用新發現的漏洞。

4.有效分析能力的重要性

• 作為安全分析師，具備有效的警報分析能力至關重要，這將幫助你成功應對即將來臨的挑戰。

入侵指標（Indicators of Compromise，IoCs）

入侵指標是指示網路或系統中發生安全事件或攻擊的證據或跡象。這些指標有助於安全專業人員檢測、分析並應對惡意活動。IoCs 對於識別和減輕威脅至關重要，因為它們提供了識別潛在安全漏洞所需的關鍵信息。

常見的入侵指標類型：

• 文件哈希值：
  例如 MD5、SHA-1 或 SHA-256 等，用於標識惡意文件的唯一標識符。

• IP 地址：
  與攻擊或未經授權的訪問嘗試相關的已知惡意 IP 地址。

• 域名：
  攻擊者用於命令和控制伺服器或釣魚攻擊的可疑或惡意域名。

• 電子郵件地址：
  與釣魚嘗試或其他惡意活動相關的電子郵件地址。

• 註冊表變更：
  系統註冊表鍵的異常或未經授權的更改，這通常表明系統受到惡意軟體感染。

• 文件名稱和路徑：
  與惡意軟體或未經授權的更改相關的特定文件或文件路徑。

• 網路流量模式：
  異常或意外的網路流量，例如不正常的埠使用或與已知惡意 IP 的通信。

• 用戶帳戶活動：
  可疑的登錄嘗試，特別是來自異常位置或不尋常時間的登錄。

• 日誌文件：
  系統、應用程序或安全日誌中的異常，可能表明存在惡意活動。

• 行為模式：
  不尋常的系統行為，例如無法解釋的系統緩慢、意外重啟或未經授權的配置更改。

妥協指標

在本文中，您將了解痛苦金字塔的概念，並將探索不同類型的妥協指標的範例。理解和應用這一概念有助於組織提高防禦能力並減少事件可能造成的傷害。

妥協指標 (IoC)

妥協指標 (IoC) 是可觀察到的證據，顯示潛在安全事件的跡象。IoC 繪製與攻擊相關的特定證據，例如與某種惡意軟體相關的檔案名稱。您可以將 IoC 視為指向已經發生的事情的證據，例如注意到車內的貴重物品被盜。

攻擊指標 (IoA)

攻擊指標 (IoA) 是指示即時事件的一系列觀察到的事件。IoAs 專注於識別攻擊者的行為證據，包括他們的方法和意圖。

從本質上講，IoC 有助於在攻擊發生後識別攻擊者和攻擊內容，而 IoA 則專注於尋找正在進行或未知攻擊的原因和方法。例如，觀察建立網路連線的進程就是 IoA 的一個範例。進程的檔案名稱和進程聯繫的 IP 位址是相關 IoC 的範例。

注意：妥協跡象並不總是確認已發生安全事件。IoC 可能是人為錯誤、系統故障以及與安全無關的其他原因造成的。

痛苦金字塔

並非所有妥協指標為安全團隊提供的價值都是相同的。對於安全專業人員來說，了解不同類型的妥協指標非常重要，以便他們能夠快速有效地檢測並做出回應。這就是為什麼安全研究員 David J. Bianco 創建了這個概念的原因 —— 痛苦金字塔，目標是改進在事件檢測中使用妥協指標的方式。

痛苦金字塔概述

痛苦金字塔分為六層的三角形，概述了六個妥協指標，每個指標都有相應的難度等級。痛苦金字塔捕捉了妥協指標與惡意行為者在安全團隊阻止妥協指標時所經歷的難度等級之間的關係。它列出了安全專業人員用來識別惡意活動的不同類型的妥協指標。

每種類型的妥協指標都分為不同的難度等級。這些等級代表了當安全團隊阻止與妥協指標相關的活動時，攻擊者面臨的「痛苦」等級。例如，阻止與惡意行為者關聯的 IP 位址被標記為簡單，因為惡意行為者可以輕鬆地使用不同的 IP 位址來繞過防禦並繼續其惡意行為。如果安全團隊能夠阻止位於金字塔頂部的 IoC，攻擊者繼續攻擊就會變得更加困難。以下是痛苦金字塔中不同類型妥協指標的細分：

痛苦金字塔的不同層級

1. 哈希值：
   與已知惡意檔案對應的哈希值。這些通常用於提供對特定惡意軟體樣本或入侵中涉及的檔案的唯一引用。

2. IP 位址：
   網際網路通訊協定位址，例如 192.168.1.1。

3. 網域：
   網址，例如 www.google.com。

4. 網路工件：
   惡意行為者在網路上建立的可觀察證據。例如，在網路協定中找到的信息，例如用戶代理字串。

5. 主機工件：
   惡意行為者在主機上建立的可觀察證據。主機是連接在網路上的任何裝置。例如，惡意軟體建立的檔案名稱。

6. 工具：
   惡意行為者用來實現其目標的軟體。例如，攻擊者可以使用 John the Ripper 等密碼破解工具來執行密碼攻擊，以取得帳戶的存取權限。

7. 策略、技術和程序 (TTP)：
   這是惡意行為者的行為。策略是指對行為的高階概述；技術提供了與策略相關的行為的詳細描述；程序則是對該技術的非常詳細的描述。TTP 是最難檢測的。

使用調查工具分析妥協指標

到目前為止，您已經了解了可用於偵測安全事件的不同類型的偵測方法。本文探討了在調查過程中如何使用調查工具來分析可疑的妥協指標 (IoC)並圍繞警報建立上下文。請記住，IoC 是可觀察的證據，顯示潛在安全事件的跡象。

為調查添加背景信息
您已經了解了痛苦金字塔，它描述了妥協指標與惡意行為者在妥協指標被安全團隊阻止時所經歷的難度級別之間的關係。您也了解了不同類型的 IoC，但如您所知，並非所有 IoC 都是相同的。儘管 IoC 相關活動被阻止或限制，惡意行為者仍然可以設法逃避偵測並繼續損害系統。

例如，識別和封鎖與惡意活動相關的單一 IP 位址並不能提供對攻擊的更廣泛的了解，也不能阻止惡意行為者繼續其活動。專注於單一證據就像專注於一幅畫的單一部分：你會錯過更大的畫面。

一位女士正在觀察一幅巨畫的一個部分。

安全分析師需要一種方法來擴展 IoC 的使用，以便他們可以為警報添加上下文。威脅情報是基於證據的威脅訊息，提供有關現有或新興威脅的背景資訊。透過存取與 IoC 相關的其他信息，安全分析師可以擴展他們的視角來觀察更大的情況，並建立有助於為他們的回應行動提供資訊的敘述。

一位女士正在完整地觀看一幅大象的巨畫。

透過在 IoC 中新增上下文（例如，識別與可疑 IP 位址相關的其他工件，例如可疑網路通訊或異常進程），安全團隊可以開始繪製安全事件的詳細情況。這種背景可以幫助安全團隊更快地偵測安全事件，並採取更明智的回應方法。

**眾包的力量 **
眾包是利用公眾意見和協作來收集資訊的做法。威脅情報平台使用眾包從全球網路安全社群收集資訊。傳統上，組織對事件的回應是孤立進行的。安全團隊將接收並分析警報，然後努力修復它，而無需了解如何處理它的額外見解。如果沒有眾包，攻擊者就可以對多個組織執行相同的攻擊。

攻擊者成功攻擊了五個不同的組織。

透過眾包，組織可以利用數百萬其他網路安全專業人員的知識，包括網路安全產品供應商、政府機構、雲端供應商等。眾包允許全球網路安全社群的人員和組織公開共享和存取威脅情報資料集合，這有助於不斷改進偵測技術和方法。

資訊共享組織的例子包括資訊共享和分析中心 (ISAC)，該中心專注於收集特定行業的威脅情報並將其共享給能源、醫療保健等特定行業的公司。開源情報 (OSINT)是從公開來源收集和分析資訊以產生可用情報。 OSINT 也可以用作收集與威脅行為者、威脅、漏洞等相關資訊的方法。

這些威脅情報資料用於改進安全產品的偵測方法和技術，例如偵測工具或防毒軟體。例如，攻擊者經常對多個目標執行相同的攻擊，希望其中一個目標能成功。一旦組織偵測到攻擊，他們可以立即將攻擊詳細資訊（例如惡意檔案、IP 位址或 URL）發佈到 VirusTotal 等工具。然後，該威脅情報可以幫助其他組織防禦相同的攻擊。

VirusTotal
病毒總數是一項允許任何人分析可疑檔案、網域、URL 和 IP 位址以查找惡意內容的服務。 VirusTotal 也提供額外的服務和工具供企業使用。本文重點關注 VirusTotal 網站，該網站可供免費且非商業用途。

它可用於分析可疑檔案、IP 位址、網域和 URL，以偵測惡意軟體等網路安全威脅。使用者可以提交和檢查文件雜湊或 IP 位址等工件，以取得 VirusTotal 報告，該報告提供有關 IoC 是否被視為惡意、該 IoC 如何與資料集中的其他 IoC 連接或關聯等的附加資訊。

VirusTotal 主頁的螢幕截圖。
以下是報告摘要的細分：

VirusTotal 報告摘要的螢幕截圖。
檢測：「檢測」標籤提供第三方安全供應商及其對 IoC 的檢測結論的清單。例如，供應商可以將其偵測結論列為惡意、可疑、不安全等。

詳細資訊：「詳細資料」標籤提供從 IoC 靜態分析中提取的附加資訊。諸如不同的哈希值、文件類型、文件大小、標題、創建時間以及首次和最後一次提交資訊等資訊都可以在此選項卡中找到。

關係：「關係」標籤提供以某種方式連接到工件的相關 IoC，例如聯絡的 URL、網域、IP 位址和刪除的檔案（如果工件是可執行檔）。

行為：「行為」標籤包含與在受控或沙盒環境中執行工件後觀察到的活動和行為相關的資訊。這些資訊包括偵測到的策略和技術、網路通訊、註冊表和檔案系統操作、進程等。

社群：「社群」標籤是 VirusTotal 社群成員（例如安全專業人員或研究人員）可以留下 IoC 的評論和見解的地方。

供應商比率和社區分數：報告頂部顯示的分數是供應商比率。供應商比率顯示了總體上有多少安全供應商將 IoC 標記為惡意。在此分數之下，還有基於 VirusTotal 社群輸入的社群分數。文件偵測到的次數越多且其社群分數越高，該文件就越有可能是惡意的。

Jotti 惡意軟體掃描

Jotti 的惡意軟體掃描是一項免費服務，可讓您使用多個防毒程式掃描可疑文件。您可以提交的文件數量有一些限制。

Urlscan.io

Urlscan.io是一項免費服務，可掃描和分析 URL 並提供總結 URL 資訊的詳細報告。

惡意軟體集市

惡意軟體集市是惡意軟體樣本的免費儲存庫。惡意軟體樣本是可用於研究目的的威脅情報的重要來源。

建立和使用文檔

1. 文件的作用和重要性

   • 安全團隊在回應事件時會使用不同的文件工具和類型。文件提供透明度，作為安全保險的證據來源，幫助索賠、監管調查和法律程序。

2. 記錄檢測規則的必要性

   • 記錄檢測規則被觸發時的含義、嚴重性、可能導致誤報的原因，以及如何確認警報的合法性。
   • 沒有文檔的支持，安全運營團隊無法擴展規模。

3. 文檔的三大功能
   透明度
   文件使相關資訊易於存取，有助於建立透明度。
   標準化
   透過文件建立組織的安全策略、流程和程序，確保有既定的指導方針和標準可循。
   清晰度
   有效的文件提供明確的角色、職責和工作完成的指導，避免事件回應過程中的不確定性和混亂。

4. 文件的維護和更新

   • 隨著安全領域的變化和攻擊的演變，定期審查和更新文件以保持其有效性。

5. 文件的重要性與實踐

   • 安全專業人員應將文件職責與其他任務結合，並透過記錄行為來回顧和發現行動中的差距。這不僅對個人有價值，也對整個組織有益。

監管表格記錄證據

1. 文件提供透明度：監管鏈的作用
   • 事件回應期間，必須考慮證據在整個事件生命週期中的處理。
     *若證據需要在法律訴訟程序中使用，追蹤證據的流轉至關重要。為此，安全團隊使用一種稱為監管鏈的文件形式。
2. 監管鏈的過程與記錄
   • 監管鏈是記錄證據持有和控制的過程，在事件生命週期中保持透明。
   • 當收集到證據時，會引入監管鏈表格，處理證據時應填寫表格的詳細資料。
3. 數位取證分析的實例
   • 事件回應期間，安全分析師（如 Aisha）會驗證並保護受損硬碟，確保資料不被修改或刪除，並記錄硬碟映像的加密雜湊函數。
   • 硬碟轉交至其他人（如 Colin 和 Nav）時，每次轉移都需要登入監管鏈表格，以確保證據的透明性，並使用原始哈希來檢測是否有資料篡改。
4. 監管鏈表格的基本元素
   • 證據描述：包括可識別的訊息，如位置、主機名稱、MAC 位址或 IP 位址。
   • 監護日誌：記錄轉移者的姓名、收到證據者、收集或轉移的日期和時間，以及轉讓目的。
5. 監管鏈的斷裂與法律影響
   • 若證據記錄不正確或有條目缺失，則監管鏈可能會斷裂，這種情況可能影響證據的完整性、可靠性和準確性。
   • 在法庭上，監管鏈文件幫助證明證據的可信性。如果監管鏈斷裂，則可能導致證據無法在法庭上使用。
6. 監管鏈的重要性
   • 監管鏈表格為保護證據提供了方法，確保惡意行為者能為其行為負責，並符合法律標準，使證據在法律訴訟中具有效力。

回應與恢復

警報管理的挑戰

• 證券分析師每天可能會接收到大量的警報，必須有效管理這些警報。

分類的概念與醫療類比

• 醫院急診室的分類：
  每天接收大量病患，資源有限，必須通過分類來優先處理病情最緊急的患者。

• 安全事件的分類：
  警報在升級前會經歷分類過程，根據事件的緊急性和重要性進行優先排序。資源有限，必須集中在最緊急的事件上。

事件分類的重要性

• 事件分類基於其對機密性、系統完整性和可用性的威脅程度。

  例如，勒索軟體事件的優先級高於網路釣魚電子郵件事件，因為前者可能造成重大財務、聲譽和營運損失。

分類過程

• 何時分類：
  一旦偵測到事件並發出警報，分類立即開始。

• 分類步驟：

  1. 接收並評估警報，確定是否為誤報或與現有事件相關。
  2. 對真陽性警報進行優先排序，依據組織的政策和指導方針。
  3. 調查警報，收集和分析相關證據，如系統日誌。

徹底分析的重要性

• 分析師需進行徹底的分析，以確保有足夠的資訊來做出明智的決策。

  例如，在處理用戶登入嘗試失敗的警報時，分析師應添加上下文來判斷其是否為惡意行為，避免不完整或不正確的結論。

下一步：應對與恢復

• 在了解警報分類之後，下一步是討論如何應對事件和從中恢復。

事件層級的分類

分診流程
之前，您了解到分類用於評估警報並為事件分配優先順序。在本文中，您將探索分類過程及其好處。作為安全分析師，您將負責分析安全警報。擁有有效分類的技能非常重要，因為它可以讓您有效地處理和解決安全警報。

分診流程

事件可能會對組織造成重大損害。安全團隊必須快速有效地回應，以防止或限制事件的影響，以免為時已晚。分類是根據事件的重要性或緊急程度對事件進行優先排序。分類流程可協助安全團隊評估安全警報並確定其優先級，並有效分配資源，以便先解決最關鍵的問題。

分類過程包括三個步驟：

1. 接收並評估
2. 指定優先級
3. 收集並分析

接收並評估

在分類過程的第一步中，安全分析師會收到入侵偵測系統 (IDS) 等警報系統的警報。您可能還記得，IDS 是一種監視系統活動並針對可能的入侵發出警報的應用程式。然後，分析師檢查警報以驗證其有效性並確保他們完全了解警報。

這涉及收集盡可能多的有關警報的信息，包括觸發警報的活動、涉及的系統和資產的詳細信息。以下是驗證警報有效性時需要考慮的一些問題：

• 警報是否誤報？
  安全分析師必須確定警報是真正的安全問題還是誤報，或者是否是錯誤地偵測到威脅存在的警報。

• 過去是否曾觸發過此警報？
  如果有，是如何解決的？警報的歷史記錄可以幫助確定警報是新問題還是重複出現的問題。

• 警報是否由已知漏洞觸發？
  如果已知漏洞觸發警報，安全分析師可以利用現有知識來確定適當的回應並最大限度地減少漏洞的影響。

• 警報的嚴重程度如何？
  警報的嚴重性可以幫助確定回應的優先級，以便快速升級關鍵問題。

指定優先級

一旦警報被正確評估並驗證為真正的安全問題，就需要對其進行相應的優先排序。事件的影響、規模和範圍各不相同，這會影響回應工作。為了管理時間和資源，安全團隊必須優先考慮如何應對各種事件，因為並非所有事件都是相同的。以下是確定事件優先順序時需要考慮的一些因素：

• 功能影響：
  針對資訊科技系統的安全事件會影響這些系統提供給使用者的服務。例如，勒索軟體事件可能會嚴重影響系統的機密性、可用性和完整性。資料可以被加密或刪除，讓使用者無法存取。考慮事件對系統現有業務功能的影響。

• 資訊影響：
  事件可能會影響組織資料和資訊的機密性、完整性和可用性。在資料外洩攻擊中，惡意行為者可能竊取敏感資料。該數據可能屬於第三方或組織。考慮資訊外洩對組織外部的影響。

• 可恢復性：
  組織如何從事件中恢復取決於事件的規模、範圍以及可用資源的數量。在某些情況下，復原可能是不可能的，例如當惡意行為者成功竊取專有資料並公開分享時。在無法恢復的事件上花費時間、精力和資源可能是浪費的。重要的是要考慮恢復的可行性，並衡量其成本與效益。

注意：安全警報通常會分配一個優先級或嚴重性級別，以便根據其緊急程度來分類警報。

收集並分析

分類過程的最後一步涉及安全分析師對事件進行全面分析。分析包括從不同來源收集證據、進行外部研究以及記錄調查過程。此步驟的目標是收集足夠的信息，以便做出明智的決定來解決該問題。根據事件的嚴重程度，可能需要將事件升級為二級分析師或經理處理。二級分析師和經理可能對使用先進技術來解決事件有更多的了解。

事件響應的生命週期

1. 事件響應生命週期的第三階段
包括以下步驟：遏制、根除事件並從事件中恢復。
這些步驟相互關聯，遏制有助於根除，根除有助於恢復。
此階段整合了NIST網路安全框架的核心職能：回應與復原。
2. 遏制（Containment）
定義：遏制是限制和防止事故造成額外損失的行為。
遏制策略：組織在事件響應計劃中概述遏制策略，詳細說明事件發生後安全團隊應採取的行動。
範例：對於惡意軟體事件，常見的遏制策略是將受影響的系統與網路斷開連接，以防止惡意軟體傳播到其他系統。
3. 根除（Eradication）
定義：一旦事件得到控制，安全團隊致力於消除事件的所有痕跡。
根除行動：包括徹底清除來自所有受影響系統的事件元素，如執行漏洞測試並應用修補程式。
4. 恢復（Recovery）
定義：恢復過程是將受影響的系統恢復到正常運作的狀態。
恢復操作：包括重新映像受影響的系統、重設密碼、調整網路配置（例如防火牆規則）。
重要性：事件可能擾亂關鍵業務運作和服務，恢復期間需確保所有受影響的服務恢復正常。
**5. 循環性（Cyclical Nature）
事件響應生命週期是循環的，可能同時處理多個事件，且這些事件可能相互連結。
安全團隊可能需要回到生命週期中的其他階段進行額外調查。