应急响应红蓝工程师白帽子取证Linux入侵排查还原攻击痕迹,追溯攻击者,以及各种木马和病毒以及恶意脚本文件排查和清除。
一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要。
主机取证溯源是安全事件运营的最后一公里,应急响应的速度和质量决定了一次重大安全事件的应对是否成功,能否尽可能挽回损失。
这几年,主机应急响应的需求显著增加。这是因为随着攻防对抗的持续升级,黑客攻击技术越发精深、手段越发高超隐蔽,传统安全防护体系基本防不住,且入侵后难以被发现。从技术角度来看,供应链攻击、0day打击、社工钓鱼等技术是目前边界防护的盲点,非常考验防守方的未知威胁发现能力和快速止血能力。
尽管失陷主机应急响应对时间要求苛刻,需通过攻防响应侧的专业技术长板去弥补跨部门协商、应急响应流程不完善等导致的时间流失,但因主机痕迹检测领域技术较为空白、主机侧检测技术对安全人员知识的广度和深度要求更高、主机取证溯源过程更依赖人员的质量而非数量等,在日常应急响应过程中落
