作为安全事件发生后，进行事后响应的重要组成部分，攻击溯源有助于企业在一定程度上还原攻击者路径及攻击手法，并以此加强自身防御，尽量避免二次攻击的发生。但在实际操作中，溯源的难度、时间的可控性等往往难以估量，甚至还会带来不小的内部损耗，但面对有时不得不做的溯源，企业应该如何评估考量？该从哪些方面提升溯源效率，本期话题我们就以企业进行攻击溯源为话题，对相关问题展开讨论。

在美国针对西北工业大学的网络攻击事件中，我方进行溯源花费了一定的时间，大家认为影响溯源时长或者说难度的因素有哪些？

A1：

影响时长和难度的还是看双方的技能，攻击方反溯源能力，被攻击方的安全建设能力。是否有日志系统等。

A2：

需要看中间有多少数据、日志存留下来了。取决于攻守双方的能力和水平。

A3：

对手狡猾，毁尸灭迹 ，比如不断变化IP，删除Logs等，增加取证难度。

A4：

攻击IP不一定能溯源到有效信息，往往是跳板机或者肉鸡。

A5：

个人理解，美国本身技术领先，掌握关键基础措施，本身用的跳板多，跳的次数多，又一般位于与我方无网络安全合作的一些国家，溯源难度大，又加上这次剑指TAO，必须拿到有力的铁证，否则不会发布。

A6：

影响溯源时长的我觉得有三个因素：
（1）溯源团队的专业能力
越是高水准的APT溯源，对安全团队的专业能力要求就越高。目前大部分企业的安全团队的职责划分都不算细致，很多情况下甲方企业组建安全团队的需求中溯源能力的要求并不高。毕竟针对APT团队的溯源，一般涉及到对团队自研后门的分析等，所需的部分技能如样本分析、逆向、二进制等技术难度高，需要溯源人员具有高素质的红队水平，这与企业的安全团队技能树的交集是很小的，基本不具备复杂的病毒样本分析能力。比如老美之前开发出来的一些后门技术，有的安全团队依旧无法有效分析。所以必要的时候还是请专业的乙方安全团队来做溯源吧。
（2）企业的安全建设水平
一个内网都部署了全流量监控的企业和一个公网WAF都不咋更新的企业在面对相同的应急响应事件时，溯源难度是完全不同的。所谓巧妇难为无米之炊，辅助溯源的手段越多，溯源起来也会容易不少。诚然，现有的各家安全厂商的安全设备有或多或少的缺陷，但是在实际场景中，无论是安全事件的发现还是响应，这部分前期投入的安全设备在面对中低水平的溯源事件中依然发挥着不小的作用。
（3）攻击方的专业能力
脚本小子和黑灰团队和职业APT打手这几个给企业带来的威胁是完全不同的，当然这与企业自身的价值也是密切相关，毕竟没人打蚊子还用大炮。如果企业本身存在较高的入侵价值自然面对的风险越高，所以该需要投入的安全预算还是不要太少比较好（给点预算吧！我相信这也是群友们的呼声）。

Q：如果企业被攻击，但攻击溯源成功之后，安全部门是否可以“甩锅”或者免于责罚？

A1：

“甩锅”是必然的，否则啥都要安全部门承担，那安全部门就太坑了，没人愿意干了。前提是，安全部门首先要做好该做的事，才能顺利甩一部分出去，但是甩不完，安全部门怎么都会有责任，毕竟监测是安全部门在做。最好的结果就是把主要责任能够甩出去。

A2：

不能免责，如果溯源就能免责，那就不要做防御了。溯源后复盘出了哪些问题，如何改进，且举一反三。责任归属上，业务和安全都有。

A3：

这个不相关吧，拿多少钱办多少事，如果预算有限，没有足够的防护手段，不能溯源也不能承担责任。
如果是通过一个应该防护好的渠道被攻击，那么就算溯源了，这个问题也应该追责。

A4:

溯源成功后能不能甩锅，还是看分析出的问题所在是不是其他人砍了预算，还是没按要求落实安全规范，人手不够等等。如果其他都行，就是安全自己没做好，对上说不过去了，那就没办法了。

A5:

可以甩锅，但前提不是溯源成功，而且在攻击前已经做好相对应安全加固措施，但还是被攻击成功，然后监控及时发现，快速溯源处置，才可以进行甩锅。

A6：

溯源对于安全甩锅感觉没啥用，而且溯源之后的事情往往涉及法务等等，非技术部门可控范围，安全事件发生了，一旦声誉之类的次生危害发生了，能溯源只是挽回点面子，但从效果看意义不大。

A7：

攻击溯源成功，本身对于安全是加分项；事后复盘如果安全工作没到位，免不了被倒打一耙。背锅无所谓，如果事后能推动安全工作、增加预算、提高所处地位、增加HC，不要脸就完事了。

A8：

我觉得还是不能的，安全团队就是用来背锅的。能否大事化小取决于这次事件造成的具体危害，要是严重影响公司的正常营收，怎么折腾都要被处罚的。

Q：针对哪些攻击，企业会开展攻击溯源，溯源成本一般怎么衡量？对于成功性较难把握的攻击溯源，到底有没有必要做？一般该如何评判？

A1：

溯源是一定要做的，如果被打穿被脱裤了不溯源，那就变成公交车了。

A2：

有限制吗，比如一定要溯源成功，还是有标准化的流程，或者人力物力的预算。

A3：

溯源还考虑啥成功率，溯源应该遵循应溯尽溯的原则。

A4：

对于到底有没有必要做，可针对影响和造成的损失来决定溯源的力度。

A5：

事件溯源分析和攻击者溯源，两码事。

A6：

这里讨论的应该都包括了，只是对于企业来说，重点是事件，攻击者身份的溯源是顺带的，否则成本就太高了。

A7：

对于体系完善的公司来讲，知道为啥不能溯源到这个会比较简单点，但是如果没有完整安全体系的公司来讲还是会比较困难的。 本身就是一个筛子，鬼知道是哪个洞被利用到了。

A8：

基础日志搞起来问题不大，但是被搞了以后，可能会有日志覆盖率问题，依赖问题一大堆。

A9：

看企业自身的能力以及外部专家、服务提供商的水平了。基础的溯源肯定要做，不然都没办法撰写事件报告。

A10：

当年我司安全0投入，被人攻击了。别人日志全删，因为影响有点大，所以找了几个安全公司，都说做不了溯源。最后有一家开了一个巨高的价格。最后CTO放弃溯源了。然后开始安全投入。

A11：

分析也好，溯源也罢，目的只是为了知道自己问题出在哪儿，怎么进来，怎么扩散，以后怎么改。数据越多越利于分析，就怕没人没资源管这个。

A12：

系统爆破，命令执行，数据窃取或已经到主机层（内网）的攻击会溯源；溯源依赖的日志，优先将对外的系统、web类系统通过SDL卡点落地，主机层、网络层面（主要是互联网网关、数据安全域网关、各子公司互联口）也做了审计留存。
溯源必要性还是有的，现在HVV的初心也是去检验、提升防守方发现问题、应急处置的能力。

A13：

任何攻击都可以溯源，只是时间和成本问题， 像DDoS攻击 钓鱼邮件等，可以第一时间快速锁定， 勒索病毒这种可以委托第三方公司 。

A14：

溯源应该溯到，你真正被入侵的源头在哪，去修掉那个洞，或者加安全策略回避。

A15：

个人感觉对于技术类攻击相对不怎么会溯源，意义不大，主要还是发现别人是怎么进来的，有哪些漏洞跟问题，亡羊补牢，持续优化。反而是涉及品牌保护的，对一些仿冒公司的进行钓鱼、诈骗的，公司会争取社会资源支持进行溯源和打击。

A16：

个人认为，考量因素如需要调动的安全人手、其他部门资源、外部协助；是否需要做“成功性较难把握的攻击溯源”，还是看ROI。

A17：

外部溯源不一定能做到，但是内部溯源是必须做的，否则都不能确定究竟什么原因导致的问题。

A18:

我们一般是针对应用系统影响较大问题的进行溯源，比如系统打不开了，恢复后丢失数据之类的，如果只是终端计算机连恶意域名、中毒中木马啥的，封IP，重装系统之类的短平快处理。如果是溯源的话，基本就是要找到攻击者IP，事件说清楚前因后果，提交好事件调查报告，基本上都是内部处理了。

A19：

一般会溯源的攻击都是确认攻击成功了以及造成了影响较大的攻击事件(比如大规模数据泄露，重要系统被拿到权限这种)。一般的也就是自己找到攻击链，把漏洞补了就是了。毕竟现在除开胆大的表哥，就连大部分小黑都知道挂代理了。溯源的成本分情况，如果自己搞那就是个时间成本，算个工时就完了，也不会做多久。如果是影响重大自己又解决不了的就要考虑请外部安全公司来应急了，这部分是要花钱的，一般不会这么做。但是在不得不做的时候，比如你泄露了公民数据，大手介入进来了，该请大牛还是得请。