精选文章

阻止攻击并回报社会: F5 的安全事件响应由众议院负责

SIRT 图像

大多数攻击者并不是来攻击你的。 至少,一开始不是。 他们通常会采用极其广泛的方法,然后瞄准那些表现出他们试图利用的特定漏洞的组织。 除非你是一个特别高价值的目标(例如金融、大型零售或政府),否则这与你无关。 你可能恰好拥有人们所追求的弱点——不可否认,在受到攻击时,这并没有什么安慰作用。

从广义上讲,攻击者通常会全面寻找相同类型的东西,因此从理论上讲,知识共享非常有益。 然而,这在实践中通常会失败,因为大多数组织没有建立机制来 a) 吸取行业以前的安全事件的教训或 b) 以匿名的方式标记他们的经验,以便其他人可以避免同样的失误。 因此,有关当前利用新的(或已知的)漏洞的攻击活动的信息并没有得到应有的传播,我们不断看到源自相同潜在漏洞和漏洞利用的违规相关头条新闻。 例如,2017 年有多少 WannaCry 受害者运行了被广泛认为存在问题的 EOL/不受支持的软件? 答案是:很多

公平地说,从具体上下文来看,大部分情况都是可以理解的。 当安全专业人员面临攻击、可能遭到破坏以及应对紧急事件的压力时,向更大的社区提供信息并不是他们首先考虑的事情——同时还要面对法律部门的密切关注,法律部门会竭尽全力保留有关事件的信息,直到事实确定。 假设你没有感受到巨大的压力,并且仍然保持足够的无私精神,那么你究竟能做哪些事来帮助周边行业呢? 与VirusTotal共享发现的文件可能是一种选择,但您可能只能将其留在那里,然后再回到更紧迫的任务,即保护您的组织(或许更重要的是,您的工作)。 理想情况下,您希望有一支训练有素的增援队伍随时准备并能够迅速协助您应对危机。 专门的专业人员可以分析信息,提供即时的缓解指导,然后帮助您(和您的网民)更好地准备网络以抵御任何未来的攻击。

重返业务

输入 F5。 如果您是客户,您的支持合同将附带免费(是的,免费)紧急事件响应援助。 这不仅可以帮助您在最关键的时刻获得所需的帮助,而且还提供了分析、汇总和抽象多个组织的经验的途径,从而使更大的群体受益。 如果面临迫在眉睫的威胁,只需拨打 F5 技术支持电话,解释您正在遇到安全事件,他们就会直接将您转接至 F5 安全事件响应团队 (SIRT)。 该全球团队由安全工程师(支持十几种语言)组成,他们拥有丰富的事件响应经验,全年 24 小时待命。 虽然他们肯定会回到相关的更广泛的安全主题上,以便更好地为未来的事件做好准备,但 F5 SIRT 的主要目标是帮助您止血并让您有时间为您的企业制定更长期的缓解解决方案。

F5 SIRT 全球人员还可以从 F5 产品或服务在客户环境中提供的广泛缓解选项中进行选择,例如Advanced WAF(API 安全 - 新一代 WAF) (包括主动机器人防御、CAPTCHA 等)、 AFM 、IP 智能 (IPI)、GeoIP、各种暴力破解保护选项以及其他一些选项;他们还可以在适当的时候与 F5 的Silverline团队合作或推荐增加基于云的 DDoS 或 WAF 保护。 在适用的情况下,这些和其他解决方案可通过 F5 销售获得。

SIRT 团队尤其擅长使用 F5 的可编程iRules ,这些规则可以快速开发和部署以修改流量。 多快? 虽然问题的复杂性始终存在,但可定制的 iRules 可以在几分钟内准备好,并由客户在几小时内部署(当然,遵循适当的紧急变更控制程序)。

让我们来看一个简单的例子: F5 客户的 F5 设备前端的 RDP 服务器遭遇了暴力破解攻击。 这些服务器对互联网开放,需要可访问以支持其业务,但仅限于特定的一组网络范围。 为了缓解攻击,F5 SIRT 开发了一个 iRule,它使用数据组作为手段,根据一组“已知和受信任的”外部网络检查客户端 IP,并丢弃任何不是来自其中一个的流量。 这彻底缓解了攻击并改善了客户的安全态势。 此外,这种方法还保留了从受信任列表中添加或删除网络的能力(客户可以在 GUI 中配置特定的数据组),以抵御将来的类似攻击。

回归社区

如果在事件调查过程中发现相关细节,例如以前从未见过或不太了解的新漏洞、活动、恶意软件或漏洞,F5 SIRT 可以访问整个公司的团队网络以获得更多视角。 这种方法有效地汇集了 F5 威胁研究人员、安全产品开发人员和其他专家的知识,以分析调查结果并提供增强的补救措施。 如果某个特定元素适合发布以造福更广泛的行业,则不会发布有关特定客户或特定事件的详细信息。 详细信息仅限于特定威胁的发现和行为(就像我们对PyCryptoMiner所做的那样)以及适用的一般指导。 

您可以更好地保护和管理您的基础设施,因为您知道 F5 专家团队随时准备为您提供帮助,而且在受到攻击时,您和所需帮助之间不会存在大量繁文缛节和文书工作。 除此之外,还有一个好处是,其他客户不会遭受同样的命运,而且,由于这种共享宝贵知识的方式,您的组织随着时间的推移也会更加安全。

那么,F5 能从中得到什么呢? 显然,我们希望公司能够正常运转、成功且安全地开展业务;客户的成功推动着 F5 的成功。 此外,我们认识到安全事件不仅仅影响目标实体,还常常会对其客户和合作伙伴产生连锁反应,有时甚至会产生深远的影响。 (举例来说,用户经常在多个网站上使用相同或相似的密码,大大增加了安全事件的范围 - 例如,发现索尼和雅虎的用户 59% 的时间都在两个帐户上使用相同的密码。) 不做过多夸张地说,这种连锁反应会影响到所有在互联网上做生意的人。 (另外补充一下: 研究表明,如今每个在线用户平均有三条记录被泄露。)

我们(以及整个行业)可以通过创造机会分享相关攻击细节和关键经验来更好地处理导致系统易受攻击的根本问题。 通过 F5 SIRT,首先要让客户能够为更大的利益做出有利贡献,同时提高他们自身的地位。


如需了解更多信息并联系 F5 安全事件响应团队 (SIRT),请访问其网页