今年 ISC 大会 CSO 分论坛的对话环节,其中一个话题是 CSO 们如何看待安全预算和资源问题。平安科技 CSO 分享了一个经验,近期华住事件被披露以后,他当天下午随即让团队同事跟进,整理出一份分析报告,然后他汇报给集团的大领导,变相地在向高层要资源。
平安的经验其实是企业客户对于热点安全事件很典型的一类需求。当安全事件曝光后,企业会第一时间去关注安全事件的前因后果,除了关心自身的安全问题,还会思考借鉴如何更好地促进自身安全建设和管理、降低成为又一受害者的风险。我们也看到,安全厂商第一时间会负责任地披露相关信息并给出安全建议和防护措施。但我阅读过的多数报告往往会聚焦于漏洞信息披露、大量的样本分析等单个环节的技术细节内容,而面向企业安全管理者甚至高层的分析报告则相对缺乏,如整个事件的还原(发生了什么、如何发生的)、攻击组织以及威胁发展趋势等。因此我想在此和大家分享三份还不错的安全事件分析报告。
前两份是 2013 年 Target 数据泄露事件后、2014 年初由两位安全厂商发布的报告。第一份是 Dell SecureWorks CTU(Counter Threat Unit) 研究团队面向其威胁情报服务订阅客户发布的一份报告《Inside a Targeted Point-of-Sale Data Breach》[1]。由于当时被披露和经证实的攻击细节很少,SecureWorks 从外部观察的视角,提供基于独立研究的一些新见解,以澄清当时正被作为事实传播的错误观念。这份报告基于两个重要恶意软件进行样本分析,进而基于杀链模型进行入侵重构分析、试图还原整个事件过程,对应给出安全建议,并在文末提供了相关的 IOC。另外值得一提的是,SecureWorks 以外部观察者身份,在这份报告中多处体现出其措辞严谨。比如在背景部分如下内容的声明:
“New details about this incident are emerging daily, and new information may invalidate conclusions reached in this analysis. The CTU research team offers this analysis solely as an outside observer and defers to Target and its designated representatives as the authoritative and rightful disseminators of all information about this incident. ”
第二份是 iSight Partners(2016年1月被 FireEye 收购) 发布的《KAPTOXA Point-of-Sale Compromise》。与 SecureWorks 不同,iSight Partners 当时直接参与了事件调查。这份报告以不影响当时尚在进行中的调查为前提,披露相关可指导行动的技术指标,以帮助识别其他可能的受害者。报告首先对恶意软件样本进行同源性分析实现变种判别、明确其属性,接着披露了攻击者其他几个主要的技战术、剖析了其技术能力。在此基础上进一步分析了POS 恶意软件在地下交易市场的现状以及发展趋势,从而帮助企业从战略层面了解未来可能面临的威胁。最后在附录部分提供了自查措施和安全建议以及详细的样本分析技术细节。由于这份报告原始链接已经失效,我会在最后附上报告截图,有兴趣的同学可以再自行阅读。
第三份是国内威胁情报初创公司微步在线于 2015 年底发布的一份报告《境外“暗黑客栈”组织对国内企业高管发起APT攻击》[2]。这是国内比较经典的一份安全事件分析报告,也是微步一战成名的报告。这份报告在样本分析的基础上,提炼出了攻击者的技战术特点,并与已知攻击团伙进行对比分析,从而初步判定了可能的攻击组织。这份报告充分展示了其在威胁情报领域以及安全分析上的能力。
这三份报告应该说各有特点,虽然行文和结构以及侧重点各自不同,但对于读者来说,它们试图回答了“发生了什么,如何发生的,攻击组织以及更高层面关注的攻击趋势和影响”,相信这也是企业安全团队以及管理者更多关心的内容。