推荐三份安全报告

今年 ISC 大会 CSO 分论坛的对话环节,其中一个话题是 CSO 们如何看待安全预算和资源问题。平安科技 CSO 分享了一个经验,近期华住事件被披露以后,他当天下午随即让团队同事跟进,整理出一份分析报告,然后他汇报给集团的大领导,变相地在向高层要资源。

平安的经验其实是企业客户对于热点安全事件很典型的一类需求。当安全事件曝光后,企业会第一时间去关注安全事件的前因后果,除了关心自身的安全问题,还会思考借鉴如何更好地促进自身安全建设和管理、降低成为又一受害者的风险。我们也看到,安全厂商第一时间会负责任地披露相关信息并给出安全建议和防护措施。但我阅读过的多数报告往往会聚焦于漏洞信息披露、大量的样本分析等单个环节的技术细节内容,而面向企业安全管理者甚至高层的分析报告则相对缺乏,如整个事件的还原(发生了什么、如何发生的)、攻击组织以及威胁发展趋势等。因此我想在此和大家分享三份还不错的安全事件分析报告。

前两份是 2013 年 Target 数据泄露事件后、2014 年初由两位安全厂商发布的报告。第一份是 Dell SecureWorks CTU(Counter Threat Unit) 研究团队面向其威胁情报服务订阅客户发布的一份报告《Inside a Targeted Point-of-Sale Data Breach》[1]。由于当时被披露和经证实的攻击细节很少,SecureWorks 从外部观察的视角,提供基于独立研究的一些新见解,以澄清当时正被作为事实传播的错误观念。这份报告基于两个重要恶意软件进行样本分析,进而基于杀链模型进行入侵重构分析、试图还原整个事件过程,对应给出安全建议,并在文末提供了相关的 IOC。另外值得一提的是,SecureWorks 以外部观察者身份,在这份报告中多处体现出其措辞严谨。比如在背景部分如下内容的声明:

“New details about this incident are emerging daily, and new information may invalidate conclusions reached in this analysis. The CTU research team offers this analysis solely as an outside observer and defers to Target and its designated representatives as the authoritative and rightful disseminators of all information about this incident. ”

第二份是 iSight Partners(2016年1月被 FireEye 收购) 发布的《KAPTOXA Point-of-Sale Compromise》。与 SecureWorks 不同,iSight Partners 当时直接参与了事件调查。这份报告以不影响当时尚在进行中的调查为前提,披露相关可指导行动的技术指标,以帮助识别其他可能的受害者。报告首先对恶意软件样本进行同源性分析实现变种判别、明确其属性,接着披露了攻击者其他几个主要的技战术、剖析了其技术能力。在此基础上进一步分析了POS 恶意软件在地下交易市场的现状以及发展趋势,从而帮助企业从战略层面了解未来可能面临的威胁。最后在附录部分提供了自查措施和安全建议以及详细的样本分析技术细节。由于这份报告原始链接已经失效,我会在最后附上报告截图,有兴趣的同学可以再自行阅读。

第三份是国内威胁情报初创公司微步在线于 2015 年底发布的一份报告《境外“暗黑客栈”组织对国内企业高管发起APT攻击》[2]。这是国内比较经典的一份安全事件分析报告,也是微步一战成名的报告。这份报告在样本分析的基础上,提炼出了攻击者的技战术特点,并与已知攻击团伙进行对比分析,从而初步判定了可能的攻击组织。这份报告充分展示了其在威胁情报领域以及安全分析上的能力。

这三份报告应该说各有特点,虽然行文和结构以及侧重点各自不同,但对于读者来说,它们试图回答了“发生了什么,如何发生的,攻击组织以及更高层面关注的攻击趋势和影响”,相信这也是企业安全团队以及管理者更多关心的内容。

附录:《KAPTOXA Point-of-Sale Compromise》报告

1.png
2.png
3.png
4.png
5.png
6.png
7.png
8.png
  1. https://krebsonsecurity.com/wp-content/uploads/2014/01/Inside-a-Targeted-Point-of-Sale-Data-Breach.pdf
  2. https://mp.weixin.qq.com/s/XFuAw-K2eH9M9GNtycWQMQ
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,602评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,442评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,878评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,306评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,330评论 5 373
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,071评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,382评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,006评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,512评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,965评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,094评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,732评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,283评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,286评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,512评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,536评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,828评论 2 345

推荐阅读更多精彩内容