當發生資安事件的時候,想必讓大家刻苦銘心,因為在發生事件的開始,我們需要在短時間內針對事件進行處理,並且找出問題的根源,往往開始的同時壓力就來了,因為有很多線索及調查的細節都需要我們掌握,所以接下來我想透過以下幾個面向幫助大家在下次面對問題的時候可以透過以下幾個步驟,幫助你找到事件調查的一些脈絡,在下次事件來臨的時候你可以不慌不亂的處理事件。
以下有四個面向可以在調查的時後幫助你快速識別異常的狀態
- 當下:針對當前電腦的狀態進行分析,包含出事當下的畫面、使用者做了哪些事情
- 檔案:透過採證過後的檔案進行分析,找出異常的檔案狀態,可搭配EDR 、端點或是將檔案產生Hash 送到威脅情資平台進行比對
- 封包:封包可以配合資安設備如IDS/IPS 或是NDR 進行分析,找出異常的行為。
- 日誌:日誌可以配合SIEM或是一些日誌分析軟體,找處有問題的來源、行為及相關動作。
在調查的時後可以參考以下四個步驟進行分析:
- 選擇
- 萃取
- 分析與識別
- 歸納
這四個步驟的目的其實是幫你建立一個調查的脈絡,因為資安事件發生的同時,我們需要從不同類型(角度)的資訊進行搜集分析及彙整,故需要針對不同類型的資料採取適當的分析平台,例如日誌分析可以搭配日誌分析軟體(ELK 、notepad++ 或是Splunk 等工具),並且在時間內針對重要的欄位資訊進行拆解,找出資訊跟資訊之間的關聯,必要時可以進行關聯比對,透過許多的證據拼湊出一個整個事件的藍圖,而證據跟證據之間,多少有機會找到共通的特性,例如:時間、IP、攻擊手法的前後順序等,透過這些證據之間的拼圖,有機會幫你拼出事件的原貌。