安全分析--追踪溯源的找人思路

安全分析--追踪溯源的找人思路

导语

一旦发生攻击行为，确定攻击者或者说是责任人一般是定损止损快速恢复业务之后的第二反应。谁要为事件负责？谁该承担责任变成了进一步追查的目标。可是在网络攻击行为中能够查到人或者组织谈何容易，一般能够抓到攻击者或者攻击组织的大约能到30%就很不错了。即使如此，下面还是从几个维度谈谈如何找人。

一、公司或组织内部的异常操作者

一般异常操作者，这里我们指误操作者，不是有意进行的攻击行为，所以不会进行诸如IP隐藏、日志删除等等行为。

1、从内部监控设备或者受攻击设备上面调取日志，查询到IP、根据资产登记情况追溯到个人就可以了。

2、一般异常操作者，可追查到IP但是资产没有归属登记的。可以根据内部相关信息查询。第一观察此IP访问的邮箱、QQ号等互联网账号的相关情况，如果有可以关联到内部人员。

3、查看主机名（与域控通信中一般会有相关信息），或者系统指纹等等，然后根据域控信息查询到姓名或者手机号或者工号，可以完成对应。

4、内网服务器，没有域控的，可以查看那个IP登录了相关联的21、22、23、3389等端口，查到源IP，根据源IP进行上述查询。

二、公司内部的攻击者

如果是公司内部的攻击者，尤其是熟悉内部网络架构的攻击者，对于追溯攻击来源是一种挑战。因为他可能是熟悉安全攻防的专家，又了解内部网络架构，可以抹除痕迹，避开监控等等，但是总有蛛丝马迹留存。

1、收集相关信息，能有多少收集多少，根据一中的方法进行查询。

2、判断攻击方式和手法，例如WEB攻击一般来源于熟悉WEB安全攻防的团队人员，恶意样本攻击很可能来自二进制或者系统安全人员的攻击。然后结合攻击手法是否是熟悉的特征并结合1中的一些信息综合判断。（备注：其实每个人都有其独特的攻击特征，现在广泛的要求建立攻击者画像就是可以做这个内容）。

三、公司外部的攻击者

这里一般分为两种人：

1、一般白帽子和脚本小子：

这一类攻击者，对自身的防护也不是很强，触发报警或者被日志审计是很正常的，根据IP追踪地理位置；如果是白帽子结合公司SRC的白帽子数据库可以基本确定，如果是脚本小子，可以追查到IP或者地理位置就很不容易了。脚本小子群体数量庞大，没有明显的极具特征的标识，有时候可以通过测试用的ID来搜索一些论坛。社交平台从而发现攻击者。一般而言这类攻击者造成的损失不会太大。

2、针对性攻击者：