鬼故事 - 为什麽骇客一直回来

鬼故事

故事回到我们小新的身上，
小新公司最近被骇客入侵，身为网管兼资安的人员，
遇到这种情况当然是先 call 外援来帮忙。

(请外面厂商协助调查)
小新：「请问你们调查的状况如何」
厂商：「我们无法确定来源，因为部分机器我们没办法确定在哪」
厂商：「但根据目前调查的资料，我们找到这些後门和帐号被利用」
厂商：「我们会建议先做清除，并等待我们继续做完调查」
小新：「好的，那我先把这些路径的恶意程序移除，帐号我们去重改密码」

厂商同步进行调查、小新清除恶意程序
经过三天後，骇客又回来了，
并且用着同样的帐号在同样的受害端点活动

资安探讨

从这中间厂商的建议，
各位读者是否有看出来不完善的地方。

1. 打草惊蛇：入侵来源有时候不能确定，这在 IR 的时候常常有这状况，但如果在调查还没完整的时候，厂商或是企业资安人员就开始先清除恶意程序，骇客就知道被发现而会快速转移後门或是灭证。
2. 後续建议不够完整：在无法确定来源的时候，清理恶意程序当然还是要做。但专业的人员应该建议哪边可以提高侦测／多纪录些资料，这样骇客二次袭来可以更加确定来源。
3. 不完整的事件响应计画：如果没有进一步确认骇客夺取了什麽资料、帐密，你无法防范骇客是不是会利用这些资料去做事，我们就看过骇客利用窃取的渗透测试报告进行二次入侵。在规划一个资安事件，应该不是单纯移除後门、改密码、ban IP 就好，你要知道受灾范围，从而用公版去修改这次的专属计画，这就很考验厂商的建议与企业资安人员的技术力。