資料洩露後，攻擊者是如何應對事件響應的?

網路攻擊是當今企業面臨的最大威脅之一，尤其是在新冠病毒爆發期間。現在，還有一部分企業員工選擇在家辦公，越來越多的裝置連線到企業網路中，越來越多的業務在網上進行。這種新的工作環境為安全攻擊者提供了更多的機會進入企業網路，滲透或篡改資料。

最近，SolarWinds攻擊事件說明了高階永續性攻擊者是如何長期隱藏在網路中而不被發現的。由於時間、機會和投資，攻擊者已經深入組織，試圖保持隱蔽並進一步推進其目標。

組織必須知道在檢測到資料洩露後該怎麼做，準備應對計劃以阻止更多的惡意活動。在此，我們將深入瞭解攻擊者如何應對事件響應，以及安全團隊如何阻止攻擊者進一步嵌入組織內部。

攻擊者如何反擊事件響應措施

在攻擊者意識到被動措施的情況下，他們通常會加速實現其最終目標，例如滲透智慧財產權或執行勒索軟體。高階攻擊者可能部署了多個工具集，並改用其他手段進行活動，以降低響應者的可見度。攻擊者還透過洩露電子郵件通訊來監控響應者的通訊。

考慮到攻擊者在發現事件響應參與後可能會加速或改變路線，受影響的實體應該擁有當前的、經過測試的響應手冊以及事件響應流程，以高效地應對漏洞，從而減少攻擊者的反應時間。

他們如何潛伏在系統中

攻擊者在成功進入環境後，會設法透過多種入口途徑實現永續性，如後門、建立合法管理員賬戶或安裝遠端控制軟體。這就消除了每次想要獲得訪問權時利用漏洞或人員的要求。獲得未來進入環境的多種選擇，加強了攻擊者的立足點和能力，即使在事件響應團隊發現和干預後，他們也會返回。受影響的實體應該實施有效的網路和端點監控，以識別異常情況並做出相應的反應。

他們如何躲避檢測

高階攻擊者會經常試圖透過使用合法軟體來生存，這些軟體往往不會觸發防病毒或端點檢測和響應技術。這些軟體型別通常被稱為Living Off The Land Binaries，或LOLBins，可以是攻擊者用來實現其目標的任何合法軟體。例如，系統管理員通常使用PuTTY套件來完成日常任務，並且通常包含在標準客戶端桌面構建中。雖然這為系統管理員提供了方便，但它也是一套工具，攻擊者可以用來建立SSH會話，從暫存伺服器上收集更多的工具，並四處移動資料，所有這些都是透過加密的渠道。一些高階攻擊者透過在端點上使用提供給他們的工具來完成他們的活動，而不需要將惡意程式碼引入環境中。

他們如何在安全的情況下利用後門返回

後門的範圍可以從端點上安裝的程式碼到新的管理員賬戶。端點上的持久機制通常是服務、計劃任務、登錄檔 "執行 "鍵，甚至是使用者配置檔案啟動資料夾內的條目。如果遠端訪問是可用的，或者遠端控制軟體的安裝沒有被阻止的話，他們也可以利用被入侵或惡意建立的賬戶來保留遠端訪問。

事件響應團隊如何應對攻擊者的技術

事件應對不一定由一個小組負責，應開展準備活動，以提高任何安全應對能力。如果安全小組內部不具備事件應對的專門知識，請第三方專家參與也是可行的。

核心事故應對團隊將牽頭負責。然而，他們應該呼籲企業內部的關鍵部門和技術所有者增加可視性、經驗和知識的層次。利用相關業務部門內的現有技術和其他人員的知識將使發現異常活動和軟體或程式碼的工作變得更加容易。

在任何安全事件發生之前，都可以開展一些標準活動，為更高效、更快速的響應鋪平道路。雖然不同的企業和不同的事件會有所不同，但這個動態活動清單可能包括以下內容。

●儘可能查明、評估和最終利用帶外通訊平臺(不在內部託管或不在受影響實體擁有或管理的網路上的通訊渠道)以減少威脅行為體攔截資訊的風險。對這些通訊渠道的訪問應僅在批准的基礎上進行，並可進行審計。

●在任何安全事件發生之前，開發和測試事件應對流程和手冊。這些流程和手冊應包括關鍵部門和技術所有者，他們可以被要求協助響應者並處理常見的網路安全事件。

●允許列出在業務環境中被認為可以接受的軟體。所有的例外情況都應在批准前要求正式申請、審查和簽字。

●制定身份和訪問管理政策，定義最小許可權原則，以減少不必要的使用者許可權。反過來，這也減少了資料刪除、損壞或更改的風險(不管是無意的還是惡意的,或被入侵賬戶使用特權訪問的風險)。

●開發一個標準端點構建，僅包含跨所有業務單元所需的最低限度軟體。超出此範圍的軟體將由允許列表和允許列表申請流程覆蓋。

●網路分段，以實現對特定受影響區域的監控或關閉。

安全團隊必須準備好在違規事件發生後該怎麼做，無論是自己還是在專家第三方的幫助下，以防止攻擊者的進一步破壞。透過了解攻擊者如何對抗事件響應團隊，組織可以更好地識別攻擊的警告訊號，並制定行動計劃，迅速做出反應。