剧本介绍

背景说明

攻击链路在网络安全领域中是一个重要的概念，它主要指的是攻击者为了达成攻击目的，在目标网络或系统中采取的一系列攻击步骤和路径。这些步骤和路径构成了攻击链路，通过它们，攻击者能够逐步深入目标系统，最终实现其攻击目标。

攻击链路对目标网络或系统的危害是巨大的。一旦攻击者成功构建了攻击链路，并突破了目标系统的防御措施，就可以对目标系统进行任意操作，包括窃取敏感信息、破坏系统数据、瘫痪系统服务等。这些危害不仅会导致经济损失，还可能对国家安全和社会稳定造成严重影响。

响应方案

攻击者攻击域名成功之后会对后端服务器进行攻击，因此针对此链路攻击的路径，安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后，进行告警，通知运营人员进行处置。

“攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程，该流程需要使用消息通知服务（Simple Message Notification，SMN）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。

“攻击链路分析告警通知”流程是通过资产关联，查询对应HSS告警影响资产所关联的网站资产列表，流程预置默认查询最多3条网站资产。

• 如果有关联网站资产，则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据（告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击），同样的，最多查询3条告警数据。
• 如果有对应WAF告警，则将WAF告警数据与本条HSS告警数据进行关联，并通过SMN通知到邮箱。

图1 攻击链路分析告警通知

事件响应

1. 获取、保护、记录证据。
   1. 根据您华为云环境的配置，通过主机安全服务（HSS）以及Web应用防火墙（WAF）来源检测相关类型的告警。
   2. 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到的告警信息。
   3. 一旦确认攻击是事件，需要评估受影响范围、攻击机器和受影响业务及数据信息。
   4. 通过安全云脑“转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。
   5. 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。

2. 控制事件。
   1. 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。
   2. 通过隔离查杀，策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作，降低后续影响。
   3. 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。
   4. 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。

3. 消除事件。
   1. 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的IAM用户、角色和策略，并吊销凭据等操作进行主机加固。
   2. 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。
   3. 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。

4. 从事故中恢复。
   1. 确定从备份执行的所有还原操作的还原点。
   2. 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。
   3. 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。
   4. 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。
   5. 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。

5. 事故后活动。
   1. 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。
   2. 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。
   3. 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。
   4. 通过风险分析，结合攻击链路告警分析，进行风险前置，在未发生事件之前进行风险控制处理。