1. 首页
  2. 黑帽SEO

复仇者系列看事件响应工具和技术

复仇者系列看事件响应工具和技术

随着复仇者系列的最新一期在屏幕上的播出,我们可以从“最终游戏”的角度轻松地查看事件响应工具和技术。我们总是谈论事件反应“团队”,幸运的是,我们不必担心在事件中失去一半的团队,但当所有其他防御都失败时,我们有相同的任务来击败我们的敌人!

所以,让我们从这个主题的核心开始:员工和技术的“团队”。我们都知道,没有一个银弹出来(无论销售团队做得多好,试图说服我们否则),虽然许多组织有自己的超级明星事件响应,他们仍然必须睡觉,甚至休息时间!因此,我们必须建立一个有弹性的团队,有能力应对事件,拥有各种各样的技能和工具。

我们都知道,你需要一套不同的技能来处理一个有效的事件(从分类一直到补救和吸取教训)。在这里,我希望更多地关注成为一个有效团队所需的工具集,而不是开源工具相对于供应商的优点,因为我们必须充分利用我们作为一个团队可以使用的每种工具。

这就是说,我们这些天非常幸运,有许多项目正在运行,支持事故响应团队,如蜂巢项目、布谷鸟沙箱和MIPS,但只有少数项目需要强调。

作为一个组织,我们需要找出我们想要实现的目标(业务决策/风险等),然后建立我们的安全监控或事件响应能力,以配合该任务。

就在十年前,这是通过简单的方法实现的,比如安装防火墙并在网关上转储一些ID/IP,从那时起,这种保护伞方法就发生了根本性的变化。

Siem已经成为我们提供所需可视性(但并不真正适合于红外团队)的一部分,这些可视性与网络传感器(全数据包捕获等)以及协调性相结合,为组织提供了“视而不见”的安全监控能力,但这还不足以应对事件。

响应者确实需要访问所有这些信息,但是能够从仅仅知道一个事件已经发生到能够对它做一些事情,这就是事件响应团队获得保留的地方。

事件响应团队的核心是他们的专用工具和使用技巧(通常是以取证合理的方式,并将在法庭上站立)。通常,这些都是为了让我们了解一个问题(网络、法医、恶意软件分析),而这个问题反过来又衍生出我们的妥协指标,并构建我们的威胁图/战役知识(为未来的调查提供信息);可以说,这些知识是我们任何调查中最重要的工具/组件。

然后,这将导致如何最好地利用这些信息作为调查的一部分,在大多数情况下,您将需要多个协调工作的工具。一个很好的例子是在取证调查中,取证调查主要由来自访问数据、指导软件和X-Ways的供应商工具集控制。

然而,在每一个事件或调查中,我总是必须为特定的任务使用一套其他专门的工具,例如注册表分析(regripper)、内存分析(volatibility)、元数据分析(exittool)或自动运行位置(sysinternals autorun)(注意:其他法医工具可用!).

这真的让我想到了这个博客的核心:就像拥有一个非常熟练的团队成员一样(无论团队规模大小,任何团队中总有一个忍者),他们和他们的工具对一个组织或团队都不应该是至关重要的。一个团队就是这样,我们多样化和传播我们的知识,并用我们在事件中使用的工具做同样的事情。

我们知道没有“银弹”,所以我们必须远离使用单一或有限工具集的想法。让我们确保作为事件响应者,我们有权使用合适的工作工具,并确保我们正在交叉培训我们的员工,以避免任何失败的风险(嘿,甚至托尼·斯塔克创造了一个战争机器的替代品!)。那么,定义您自己的起源故事:

原创文章,作者:奈落,如若转载,请注明出处:https://www.zx116.com/?p=211

发表评论

电子邮件地址不会被公开。 必填项已用*标注