今年 ISC 大會 CSO 分論壇的對話環節,其中一個話題是 CSO 們如何看待安全預算和資源問題。平安科技 CSO 分享了一個經驗,近期華住事件被披露以后,他當天下午隨即讓團隊同事跟進,整理出一份分析報告,然后他匯報給集團的大領導,變相地在向高層要資源。
平安的經驗其實是企業客戶對于熱點安全事件很典型的一類需求。當安全事件曝光后,企業會第一時間去關注安全事件的前因后果,除了關心自身的安全問題,還會思考借鑒如何更好地促進自身安全建設和管理、降低成為又一受害者的風險。我們也看到,安全廠商第一時間會負責任地披露相關信息并給出安全建議和防護措施。但我閱讀過的多數報告往往會聚焦于漏洞信息披露、大量的樣本分析等單個環節的技術細節內容,而面向企業安全管理者甚至高層的分析報告則相對缺乏,如整個事件的還原(發生了什么、如何發生的)、攻擊組織以及威脅發展趨勢等。因此我想在此和大家分享三份還不錯的安全事件分析報告。
前兩份是 2013 年 Target 數據泄露事件后、2014 年初由兩位安全廠商發布的報告。第一份是 Dell SecureWorks CTU(Counter Threat Unit) 研究團隊面向其威脅情報服務訂閱客戶發布的一份報告《Inside a Targeted Point-of-Sale Data Breach》[1]。由于當時被披露和經證實的攻擊細節很少,SecureWorks 從外部觀察的視角,提供基于獨立研究的一些新見解,以澄清當時正被作為事實傳播的錯誤觀念。這份報告基于兩個重要惡意軟件進行樣本分析,進而基于殺鏈模型進行入侵重構分析、試圖還原整個事件過程,對應給出安全建議,并在文末提供了相關的 IOC。另外值得一提的是,SecureWorks 以外部觀察者身份,在這份報告中多處體現出其措辭嚴謹。比如在背景部分如下內容的聲明:
“New details about this incident are emerging daily, and new information may invalidate conclusions reached in this analysis. The CTU research team offers this analysis solely as an outside observer and defers to Target and its designated representatives as the authoritative and rightful disseminators of all information about this incident. ”
第二份是 iSight Partners(2016年1月被 FireEye 收購) 發布的《KAPTOXA Point-of-Sale Compromise》。與 SecureWorks 不同,iSight Partners 當時直接參與了事件調查。這份報告以不影響當時尚在進行中的調查為前提,披露相關可指導行動的技術指標,以幫助識別其他可能的受害者。報告首先對惡意軟件樣本進行同源性分析實現變種判別、明確其屬性,接著披露了攻擊者其他幾個主要的技戰術、剖析了其技術能力。在此基礎上進一步分析了POS 惡意軟件在地下交易市場的現狀以及發展趨勢,從而幫助企業從戰略層面了解未來可能面臨的威脅。最后在附錄部分提供了自查措施和安全建議以及詳細的樣本分析技術細節。由于這份報告原始鏈接已經失效,我會在最后附上報告截圖,有興趣的同學可以再自行閱讀。
第三份是國內威脅情報初創公司微步在線于 2015 年底發布的一份報告《境外“暗黑客棧”組織對國內企業高管發起APT攻擊》[2]。這是國內比較經典的一份安全事件分析報告,也是微步一戰成名的報告。這份報告在樣本分析的基礎上,提煉出了攻擊者的技戰術特點,并與已知攻擊團伙進行對比分析,從而初步判定了可能的攻擊組織。這份報告充分展示了其在威脅情報領域以及安全分析上的能力。
這三份報告應該說各有特點,雖然行文和結構以及側重點各自不同,但對于讀者來說,它們試圖回答了“發生了什么,如何發生的,攻擊組織以及更高層面關注的攻擊趨勢和影響”,相信這也是企業安全團隊以及管理者更多關心的內容。
附錄:《KAPTOXA Point-of-Sale Compromise》報告
