今年 ISC 大會 CSO 分論壇的對話環(huán)節(jié)，其中一個話題是 CSO 們?nèi)绾慰创踩A(yù)算和資源問題。平安科技 CSO 分享了一個經(jīng)驗，近期華住事件被披露以后，他當天下午隨即讓團隊同事跟進，整理出一份分析報告，然后他匯報給集團的大領(lǐng)導(dǎo)，變相地在向高層要資源。

平安的經(jīng)驗其實是企業(yè)客戶對于熱點安全事件很典型的一類需求。當安全事件曝光后，企業(yè)會第一時間去關(guān)注安全事件的前因后果，除了關(guān)心自身的安全問題，還會思考借鑒如何更好地促進自身安全建設(shè)和管理、降低成為又一受害者的風險。我們也看到，安全廠商第一時間會負責任地披露相關(guān)信息并給出安全建議和防護措施。但我閱讀過的多數(shù)報告往往會聚焦于漏洞信息披露、大量的樣本分析等單個環(huán)節(jié)的技術(shù)細節(jié)內(nèi)容，而面向企業(yè)安全管理者甚至高層的分析報告則相對缺乏，如整個事件的還原（發(fā)生了什么、如何發(fā)生的）、攻擊組織以及威脅發(fā)展趨勢等。因此我想在此和大家分享三份還不錯的安全事件分析報告。

前兩份是 2013 年 Target 數(shù)據(jù)泄露事件后、2014 年初由兩位安全廠商發(fā)布的報告。第一份是 Dell SecureWorks CTU（Counter Threat Unit） 研究團隊面向其威脅情報服務(wù)訂閱客戶發(fā)布的一份報告《Inside a Targeted Point-of-Sale Data Breach》^[1]。由于當時被披露和經(jīng)證實的攻擊細節(jié)很少，SecureWorks 從外部觀察的視角，提供基于獨立研究的一些新見解，以澄清當時正被作為事實傳播的錯誤觀念。這份報告基于兩個重要惡意軟件進行樣本分析，進而基于殺鏈模型進行入侵重構(gòu)分析、試圖還原整個事件過程，對應(yīng)給出安全建議，并在文末提供了相關(guān)的 IOC。另外值得一提的是，SecureWorks 以外部觀察者身份，在這份報告中多處體現(xiàn)出其措辭嚴謹。比如在背景部分如下內(nèi)容的聲明：

“New details about this incident are emerging daily, and new information may invalidate conclusions reached in this analysis. The CTU research team offers this analysis solely as an outside observer and defers to Target and its designated representatives as the authoritative and rightful disseminators of all information about this incident. ”

第二份是 iSight Partners（2016年1月被 FireEye 收購） 發(fā)布的《KAPTOXA Point-of-Sale Compromise》。與 SecureWorks 不同，iSight Partners 當時直接參與了事件調(diào)查。這份報告以不影響當時尚在進行中的調(diào)查為前提，披露相關(guān)可指導(dǎo)行動的技術(shù)指標，以幫助識別其他可能的受害者。報告首先對惡意軟件樣本進行同源性分析實現(xiàn)變種判別、明確其屬性，接著披露了攻擊者其他幾個主要的技戰(zhàn)術(shù)、剖析了其技術(shù)能力。在此基礎(chǔ)上進一步分析了POS 惡意軟件在地下交易市場的現(xiàn)狀以及發(fā)展趨勢，從而幫助企業(yè)從戰(zhàn)略層面了解未來可能面臨的威脅。最后在附錄部分提供了自查措施和安全建議以及詳細的樣本分析技術(shù)細節(jié)。由于這份報告原始鏈接已經(jīng)失效，我會在最后附上報告截圖，有興趣的同學可以再自行閱讀。

第三份是國內(nèi)威脅情報初創(chuàng)公司微步在線于 2015 年底發(fā)布的一份報告《境外“暗黑客?！苯M織對國內(nèi)企業(yè)高管發(fā)起APT攻擊》^[2]。這是國內(nèi)比較經(jīng)典的一份安全事件分析報告，也是微步一戰(zhàn)成名的報告。這份報告在樣本分析的基礎(chǔ)上，提煉出了攻擊者的技戰(zhàn)術(shù)特點，并與已知攻擊團伙進行對比分析，從而初步判定了可能的攻擊組織。這份報告充分展示了其在威脅情報領(lǐng)域以及安全分析上的能力。

這三份報告應(yīng)該說各有特點，雖然行文和結(jié)構(gòu)以及側(cè)重點各自不同，但對于讀者來說，它們試圖回答了“發(fā)生了什么，如何發(fā)生的，攻擊組織以及更高層面關(guān)注的攻擊趨勢和影響”，相信這也是企業(yè)安全團隊以及管理者更多關(guān)心的內(nèi)容。

附錄：《KAPTOXA Point-of-Sale Compromise》報告

1.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

1. https://krebsonsecurity.com/wp-content/uploads/2014/01/Inside-a-Targeted-Point-of-Sale-Data-Breach.pdf
2. https://mp.weixin.qq.com/s/XFuAw-K2eH9M9GNtycWQMQ