数据泄露后要如何处理？事件响应团队如何应对攻击者的技术？

数据泄露后该怎么办？最近的 SolarWinds 攻击说明了高级持久性攻击者如何能够长时间隐藏在网络中而不被发现。由于时间、机会和投资的原因，攻击者已经深入组织，试图保持隐藏并进一步实现其目标。

组织必须知道在检测到数据泄露时该怎么做，并准备响应计划以阻止更多恶意活动。在这里，我们将深入研究攻击者如何响应事件以及安全团队如何防止攻击者进一步嵌入组织中。

攻击者如何应对事件响应措施

在攻击者意识到反应措施的情况下，他们通常会加速实现其最终目标，例如渗透知识产权或执行勒索软件。高级攻击者可能已经部署了多个工具集并切换到其他活动方式以降低响应者的可见性。攻击者还通过窃取电子邮件通信来监控响应者的通信。

考虑到攻击者在发现事件响应参与后可能会加速或改变路线，受影响的实体应该拥有当前经过测试的响应手册和事件响应流程，以有效解决漏洞，从而减少攻击者的反应时间。

他们如何潜伏在系统中

攻击者成功进入环境后，会尝试通过后门、创建合法管理员账户、安装远程控制软件等多种进入途径实现持久化。这消除了每次想要获得访问权限时利用漏洞或人员的要求。即使在事件响应团队检测和干预之后，为未来进入环境获得多种选择可以增强攻击者的立足点和返回能力。受影响的实体应实施有效的网络和端点监控，以识别异常并做出相应反应。

他们如何逃避检测

高级攻击者通常会尝试通过使用通常不会触发防病毒或端点检测和响应技术的合法软件来生存。这些软件类型通常被称为 Living Off The Land Binaries 或 LOLBins，可以是攻击者用来实现其目标的任何合法软件。例如，系统管理员经常将 PuTTY 套件用于他们的日常任务，并且通常包含在标准客户端桌面构建中。虽然这为系统管理员提供了便利，但它也是一组工具，攻击者可以使用它来建立 SSH 会话、从暂存服务器收集更多工具以及移动数据，所有这些都通过加密通道进行。一些高级攻击者通过在端点上使用提供给他们的工具来完成他们的活动，而不会将恶意代码引入环境。

他们如何使用后门安全返回

后门的范围可以从安装在端点上的代码到新的管理员帐户。端点上的持久性机制通常是服务、计划任务、注册表“运行”键，甚至是用户配置文件启动文件夹中的条目。如果远程访问可用或远程控制软件的安装未被阻止，他们还可以使用受损或恶意创建的帐户来保留远程访问。

事件响应团队如何响应攻击者的技术

事件响应不一定是单个团队的责任，应开展准备活动以增强任何安全响应能力。如果安全团队没有内部事件响应专业知识，那么让第三方专家参与也是可行的。

核心事件响应团队将带头。但是，他们应该呼吁企业内的关键部门和技术所有者提高知名度、经验和知识水平。利用现有技术和相关业务部门内其他人的知识将使发现异常活动和软件或代码的工作更容易。

在发生任何安全事件之前，可以执行一些标准活动，为更有效和更快速的响应铺平道路。虽然这会因企业和事件而异，但此动态事件列表可能包括以下内容。

尽可能识别、评估并最终利用带外通信平台（不在内部托管或在受影响实体拥有或管理的网络上托管的通信渠道），以降低威胁参与者截获信息的风险。对这些沟通渠道的访问应仅在获得批准的基础上进行，并且可以进行审核。

在任何安全事件发生之前制定和测试事件响应程序和手册。这些流程和手册应包括可被要求协助响应者和处理常见网络安全事件的关键部门和技术所有者。

允许列出在商业环境中被认为可接受的软件。所有例外情况均应在批准前进行正式申请、审查和签名。

制定定义最小权限原则的身份和访问管理策略，以减少不必要的用户权限。这反过来又降低了数据删除、损坏或更改的风险（无论是无意的还是恶意的，或者使用特权访问的帐户受损的风险）。

开发一个标准端点构建，其中仅包含所有业务部门所需的最少软件。超出此范围的软件将包含在许可名单和许可名单申请流程中。

网络分段以启用特定受影响区域的监控或关闭。

安全团队必须为违规后的应对措施做好准备，无论是他们自己还是在第三方专家的帮助下，以防止攻击者造成进一步的破坏。通过了解攻击者如何与事件响应团队作战，组织可以更好地识别攻击的警告信号并制定快速响应的行动计划。

这几篇文章你可能也喜欢：

• 大数据时代如何保护信息安全？
• 安装ssl证书可以帮助企业抵御网络攻击(手机安装SSL证书后无法访问)。
• 网站数据是如何泄露的，如何保护网站数据安全？
• 密码立法:保障信息安全刻不容缓。
• 为什么学校教育机构容易受到网络攻击(学校会知道教育网上的投诉吗)

本文由主机参考刊发，转载请注明：数据泄露后要如何处理？事件响应团队如何应对攻击者的技术？ https://zhujicankao.com/69095.html