2022.07.13
不忘初心,继往开来
--- 微步应急响应团队
过去几年,国内企业安全建设发生了巨大的变化,无论是从传统的被动防御为主向持续性检测与响应为主,还是每年各种国家级、区域级、行业级和企业内部的攻防演练,无不是在检测和提升企业应对真实威胁的实战能力;此外,整体安全形势也愈发严峻,APT攻击层出不穷,勒索病毒攻击、数据泄露事件、大规模病毒感染/挖矿事件层出不穷。
微步一直深耕于为企业提供威胁发现与响应的能力,我们在服务客户的过程中,真真切切感受到了攻防不对等的差距越来越大。每年,我们都会跟踪和处理多个APT组织对国内重要基础设施的长期定向渗透和妄图进行敏感数据窃取以获取经济、政治利益;国内外每年会有多起重大勒索事件,以数据加密和窃取为手段对企业进行高额敲诈;大规模挖矿事件已成常态;黑灰产团伙诈骗泛滥事件等等。黑客的攻击手段和资源在快速迭代升级,而单一企业在遭受黑客攻击时,往往没有足够的技术、资源能力来应对,尤其是复杂、高级威胁攻击场景。
为了帮助企业抵御突发的重大安全事件,几年来,我们逐渐培养形成了一支有着强大战斗力的应急响应团队,积累了大量的实战经验,现在微步已累计完成数千次应急取证服务,服务覆盖金融、科技、制造、政府、能源、医疗、教育等主流行业的企业客户,其中以APT攻击、挖矿、勒索、僵尸网络病毒等典型事件类型为主。此外,响应分析了XCodeGhost、WannaCry、Petya等近年来的重大网络安全事件以及境外针对我国主要行业频繁的APT攻击活动。同时,也获得了来自客户侧的认可,不管是在原始积累中与一部分客户建立的深厚的战斗友谊,还是近两三年来协助应对突发复杂事件赢得的信任。在过去共同奋战的过程中,我们逐步形成了微步独有的特色和优势,可以归纳为如下几点:
数据和技术积累能力:作为国内最早开始研究威胁情报的安全团队之一,我们拥有国内最大的情报社区X。自公司成立之初,便在持续探索威胁情报的多场景应用,包括应急响应,以帮助我们更高效、完整地了解对手,捕获和持续跟踪攻击者的蛛丝马迹,帮助企业客户发现和处置更为隐蔽的攻击。此外,还有S云沙箱在样本方面的积累、漏洞情报的积累、空间测绘数据积累等等。
系统和工具能力:经过几年的积累,我们内部维护了一整套完善的应急响应工具集,包括终端取证工具集、产品化的流量检测/主机入侵检测/威胁情报检测工具、内部自研的日志分析系统用于海量数据分析、追踪溯源系统等等,为高效的应急响应提供自动化工具支撑。
流程和质量控制能力:我们的应急响应服务旨在第一时间帮助客户解决突发重大安全问题,减少损失;微步将客户成功写入企业价值观,有完善的机制和流程支撑应急响应团队在第一时间调动最强大的数据、检测响应工具等来确保应急响应服务的快速推动落实。
人员的能力:要持续与高级威胁对抗,团队协作是我们重要的共识和矢志不渝坚持的做事方法。每一次服务的交付,都不是某个工程师的单兵作战。团队成员由具有丰富的实战化攻防、木马取证、溯源分析、漏洞分析、日志分析、主流安全产品使用等综合能力的应急响应工程师组成;此外,我们有资深的漏洞分析专家、恶意软件分析师、威胁情报分析师、高级威胁追踪分析师、攻防研究专家的高效协作配合。
应急响应能力框架模型
在不断积累各种实战经验的过程中,我们也越来越清楚我们是谁,以及我们想成为谁。微步应急响应团队是一个有正义感的年轻团队,我们以求实求真、专注的态度对待每一个细节,为守护客户的网络安全、守护数字世界的安全为己任。我们侧重于解决高级威胁对抗、复杂攻击场景的分析与响应,立志成为国内应急响应方向最专业的安全厂商。
建立这个公众号的初衷,是为了有更直接、更聚焦的方式,向大家分享和传递我们团队在应急响应方向上的一些技术积累、典型的真实攻击应急案例,一方面让企业了解到一些常见的黑客攻击思路,早做防护;一方面给做应急响应方向的志同道合的同学们一些参考,也欢迎对安全怀有热情,愿意共同探究网络安全真相的有识之士加入我们!
如有侵权请联系:admin#unsafe.sh