在事件回應時,單只是治療症狀是不夠的。治療疾病本身也很重要。
偵測到威脅時,首要工作就是對即時攻擊進行分級。 這意味著可能要清理勒索軟體可執行檔或銀行木馬程式,或是阻止資料外洩。但是,團隊通常只會阻擋最初的攻擊,卻沒有警覺到尚未真正解決根本的原因。
成功移除惡意軟體並清除警示,並不代表就已經將攻擊者踢出環境。我們偵測到的很可能只是攻擊者進行的一次測試,以試探他們所面對的是什麼防禦措施。如果攻擊者仍然可以進入,他們很可能會再次發動攻擊且破壞性更大。
事件回應團隊需要確保他們已經解決所緩解事件的原始根本原因。攻擊者還能在環境中立足嗎?他們是否打算發動第二波攻擊?補救過數千起攻擊的事件回應操作人員知道應該在何時何地進行更深入的調查。他們會尋找攻擊者在網路中正要做、已經做或可能要做的其他行為,並同樣加以化解。
例如,在某個案例中,Sophos 事件回應專家成功阻止歷時 9 天的攻擊,並看到攻擊者有 3 次單獨使用勒索軟體攻擊組織的行為。
在第一波攻擊中 (最終被組織的端點保護解決方案擋下),攻擊者使用 Maze 勒索軟體鎖定了 700 台電腦,並提出 1500 萬美元的贖金要求。遭鎖定目標的安全團隊發現他們受到攻擊,因此使用了 Sophos Mamanged Threat Response (MRT) 團隊的進階事件回應技術。
Sophos 事件回應專家迅速找出受感染的系統管理員帳戶,然後識別並刪除了幾個惡意檔案,並阻擋了攻擊者的 C2 (命令和控制) 通訊。藉此,Sophos MTR 又成功抵禦對手的另外兩次攻擊。如果攻擊者得手且受害者付款,那麼這可能是迄今為止最昂貴的勒索軟體贖金之一。
在另一個範例中,,Sophos MTR 團隊對潛在的勒索軟體威脅做出了回應,但很快就發現沒有證據表明有勒索軟體存在。到這一步,其他團隊可能就已經結案並開始其他工作。不過,Sophos MTR 小組繼續調查並發現了一個歷史悠久的銀行木馬程式。幸運的是,這個威脅對客戶不再有效,但它可以作為一個範例,說明為什麼要察覺超越初始症狀的跡象以確定根本原因,這一點很重要,因為它可能是一次更大型的攻擊。