为心理健康构建事件响应手册

欢迎阅读本周的《威胁源》简报。这将是一篇沉重的阅读材料。说实话，写下这些内容对我来说更加艰难。我想谈谈从事网络安全职业的代价——不是金钱或时间，而是可能付出的身心健康代价。我想拉开帷幕，让你们深入了解当压力巨大、成功的欲望不仅必要甚至关乎生死时，人们会经历什么。

那么，故事开始了。

七年前，思科Talos披露了一个新颖的威胁活动：VPN Filter。VPN Filter是一个小型办公室/家庭办公室（SOHO）设备僵尸网络，具有许多我们从未在SOHO设备中见过的新特性：设备重启后仍保持感染持久性、模块化、受害者特征分析，以及最重要的（后来）归因于俄罗斯威胁行为者APT44（又名Sandworm）。该平台还具有一个清除开关，这是一个旨在掩盖痕迹或销毁受VPN Filter感染设备的模块。如果他们愿意，可以大规模执行此操作。这是一个有条不紊、巧妙且结构完善的活动，旨在为国家的网络行动攻击全球未打补丁和/或存在漏洞的设备。回顾那段时光，它当时（现在仍然是）一种技艺精湛的进攻性网络行动。

请设身处地为我们Talos团队着想。我们刚刚发现了一个由臭名昭著的威胁行为者发起的大规模活动。我们都知道这是什么，是谁干的，以及可能的后果——而且威胁行为者比我们领先很多。我们绝对不能搞砸。如果我们的研究打草惊蛇，威胁行为者可能会受惊，直接使用清除开关摧毁一切。风险非常高。

我们花了数月时间逆向分析和分析恶意软件、受害者特征、基础设施，并理解VPN Filter已经做了什么以及可能做什么。我们挖掘得越深，其含义就越 ominous，我们工作得也越努力。

随着周变成月，我们工作的时间越来越长，压力开始对我们所有人造成损害。分析和响应VPN Filter任务的巨大规模以及保持隐秘的压力开始让我们个人付出代价。态度变差，关系紧张，有些关系甚至完全破裂。就我个人而言，那是一段非常黑暗的时期，让我付出了沉重的代价——我退出了人员管理岗位，转任个人贡献者角色，至今仍在此岗位。

最终，威胁行为者迫使我们采取行动。我们一直理论化地设想一个"紧急情况"时刻，即威胁行为者可能加速行动，我们将不得不向全世界发出警报。有一天，我们看到乌克兰的感染数量激增，于是我们向全世界披露了VPN Filter。我们仍然有很多未解之谜，但当我们看到激增时别无选择。在某种程度上，这是一种解脱。我们早就达到了极限，大家都精疲力竭、士气低落。我知道我是这样，这深深影响了我的关系和职业生涯，其回响至今仍能感受到。

新入行或潜在的安全从业者经常问我：“Joe，有什么酷炫的黑客故事吗？“我有很多这样的故事，VPN Filter肯定是其中之一。但很少有人想听我们人生中最糟糕的日子。关于倦怠和压力的故事。关于长时间工作和持续不断的工作。总有个地方在发生漏洞，你的公司总是受到攻击，总有人被黑客攻击的故事，有时甚至有人受伤或死亡。这种节奏会带来伤害——从像VPN Filter这样的事件，到在SOC工作——都是一样的。无论你在哪里工作，我们都在这里保护我们的客户、选民和社区免受外面那些真正混蛋的侵害。这是关于进行正义的战斗，而战斗永不停息。

那么，我们能做些什么呢？你如何避免成为VPN Filter事件中的我？

学习并执行界限。你必须为自己创造空间和时间，并坚定地维护这些空间和时间。如果这意味着下班后禁用通讯工具，那就这样做，并且毫无愧疚地这样做。你必须照顾好自己。

同伴支持。无论是治疗师、同事，还是Slack/Discord/Bsides社区，在那里你可以与同病相怜的人分享和发泄，你必须减少这个职业领域可能带给你的孤立感。其他人也在寻找同样的东西，并且乐于倾听和分享。与那些渴望回报的人一起庆祝你的胜利。

断开连接的自助护理。这很困难，我也不太擅长。锻炼、绘画、打理你的花园，做一些与工作无关的事情。放下你那该死的矩形手机，从新闻和社交媒体中断开连接。

强制性的解压/休假。在一次事件之后，无论是VPN Filter还是其他漏洞，领导者们：照顾好你的人。识别出倦怠迹象，并推动你的直接下属进行一些强制性的停工时间，以便他们能够恢复。至少，将他们轮换到压力较小的岗位上，以便他们可以休息一下。照顾那些为你努力工作的人是你的责任。

事件发生后的响应与事件本身的响应同等重要。每一次漏洞、类似VPN Filter的事件或紧急情况，都是反思其对健康造成的代价，并评估你能做些什么来帮助自己和他人的机会。这份工作有时很艰难，但这是我们热爱的使命。只需照顾好自己和彼此，听到了吗？

重要事项

在Talos的最新博客文章中，我们分析了为什么对于面临当今持续不断网络威胁的任何组织来说，拥有思科Talos事件响应（IR）保留服务是一项改变游戏规则的举措。通过Talos IR保留服务，您可以直接访问我们的专家团队、24/7紧急支持以及让每个人——从IT到领导层——保持同步的定制计划。您还将受益于持续的威胁情报和现实世界的指导，以帮助您的组织在任何事件后更强劲地恢复。

为什么我要关心？

我们的团队帮助您在威胁升级之前进行狩猎，评估您的准备情况并随时间改善您的安全状况。如果发生网络事件，拥有一个已经就位的可信合作伙伴意味着您已准备好果断行动，拥有明确的角色、经过测试的程序以及随时准备在每一步为您提供支持的专家。

那么现在该怎么办？

考虑确保获得Talos IR保留服务，以确保您有专家随时待命，并且您的防御措施始终保持最新。联系我们安排桌面演练，或讨论您的组织实际准备情况如何。

本周顶级安全头条

新的VoidProxy网络钓鱼服务绕过微软和谷歌账户的多因素认证 攻击通常从使用合法电子邮件服务提供商（如Constant Contact、Active Campaign或NotifyVisitors）的被入侵账户发送欺骗性电子邮件开始。（Hack Read）
Shai-Hulud供应链攻击：蠕虫用于窃取秘密，超过180个npm包受影响 恶意代码的自我传播潜力可能会使该活动再持续几天。为避免感染，用户应警惕任何在npm上有新版本但在GitHub上没有的软件包，并固定依赖项。（SecurityWeek）
谷歌清除224个幕后大规模广告欺诈活动的Android恶意软件应用 这些应用被下载超过3800万次，并采用混淆和隐写术来向谷歌和安全工具隐藏恶意行为。（Bleeping Computer）
前FinWise员工可能访问了近70万条客户记录 近70万名FinWise银行客户正在收到通知，因为一名前员工可能在离职后访问或拿走了个人数据。该事件未被发现超过一年。（The Register）

无法满足对Talos的需求？

Alex Ryan：从零冷静到安静自信 了解一位思科Talos事件响应专家如何从哲学过渡到高风险、情感紧张的事件指挥世界，以及她对有抱负的网络安全专业人士的建议。
与Talos共饮啤酒：如何毁掉APT的一天 B团队与来自Talos国家支持的威胁情报和拦截团队的Sara McBroom一起。Sara分享了她从文科专业到追踪世界上一些最先进对手的旅程。
被篡改的Chef：当恶意广告提供信息窃取程序时 想象一下从网上下载一个PDF编辑器工具，它工作得很好……直到近两个月后，它悄悄地窃取了你的凭证。Nick Biasini解释了网络犯罪分子如何投资"恶意广告"以及防御面临的挑战。

您可以找到Talos的即将举行的活动

LABScon（9月17日–20日）亚利桑那州斯科茨代尔
VB2025（9月24日–26日）德国柏林
Wild West Hackin’ Fest（10月8日–10日）南达科他州戴德伍德

过去一周Talos遥测中最普遍的恶意软件文件

SHA256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
Talos Rep: https://talosintelligence.com/talos_file_reputation?s=9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
典型文件名: executable.exe
声称产品: 不适用
示例文件名: 0a0dc0e95070a2b05b04c2f0a049dad8_1_Exe.exe
检测名称: Win.Worm.Coinminer::1201

SHA256: 41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610
MD5: 85bbddc502f7b10871621fd460243fbc
Talos Rep: https://talosintelligence.com/talos_file_reputation?s=41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610
典型文件名: nwx3hgsl.exe
声称产品: 自解压存档
检测名称: W32.41F14D86BC-100.SBX.TG

SHA256: c0ad494457dcd9e964378760fb6aca86a23622045bca851d8f3ab49ec33978fe
MD5: bf9672ec85283fdf002d83662f0b08b7
Talos Rep: https://talosintelligence.com/talos_file_reputation?s=c0ad494457dcd9e964378760fb6aca86a23622045bca851d8f3ab49ec33978fe
典型文件名: werrx01USAHTML
声称产品: 不适用
检测名称: W32.C0AD494457-95.SBX.TG

SHA256: 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974
MD5: aac3165ece2959f39ff98334618d10d9
Talos Rep: https://talosintelligence.com/talos_file_reputation?s=96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974
典型文件名: ~3B6A.tmp
声称产品: 不适用
检测名称: W32.Injector:Gen.21ie.1201

SHA256: a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
Talos Rep: https://talosintelligence.com/talos_file_reputation?s=a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
典型文件名: img001.exe
声称产品:
检测名称: Win.Dropper.Miner::95.sbx.tg