打工人眼中攻防演练蓝军那些人那些事儿(三)

访客4年前黑客文章1325

系列文章

由于本系列文章较长,故分为五个部分,如需回顾前文,可点击下方链接:

打工人眼中攻防演练蓝军那些人那些事儿(一)

打工人眼中攻防演练蓝军那些人那些事儿(二)

打工人眼中攻防演练蓝军那些人那些事儿(三)

打工人眼中攻防演练蓝军那些人那些事儿(四)

打工人眼中攻防演练蓝军那些人那些事儿(五)

4.3 第三阶段:攻防预演习阶段

预演习阶段由甲方协商攻击方来检测我们的实战防守能力和前期的风险排查盲点。在预演习期间,防护小组由乙方人员开展安全监测、攻击处置和应急响应等防守工作,攻击方一般由甲方邀请多组攻击队伍,一般是合作商,保密协议授权当然都要签署。预演习主要是检测前期工作的排查摸底情况和实战防守中的安全监测和应急处置情况,时间充裕的情况下很有必要。

4.3.1预演习防守

防守流程

1、授权与备案

2、预演习攻击

3、预演习防护

4、问题分析总结

5、安全整改与加固

防守工作:

业务监测

目标系统的相关运维部门利用系统监测手段实时监测应用系统和服务器运行状态,包括系统访问是否正常、业务数据是否有异常变更、系统目录是否出现可疑文件、服务器是否有异常访问和修改等,监测到异常事件后及时协同相关部门共同分析处置。

攻击监测

预演习期间,安全部门、 *** 部门等利用已有设备对 *** 攻击行为进行实时监测。基于流量分析,对 *** 安全策略有效性进行检验,并对安全设备的攻击告警进行初步分析,评估攻击真实性和影响,及时协同相关部门共同分析处置。

  1. 恶意邮件监测

  2. 钓鱼邮件监测

  3. WEB攻击监测

  4. 安全扫描工具监测

  5. 登录爆破监测

  6. 数据库敏感操作监测

  7. 常见木马行为监测

  8. HTTP Tunnel监测

  9. WebShell网站后门监测

  10. 针对集权类系统重点监测

事件处置

在业务系统运行发生异常事件或安全设备出现攻击告警后,防护小组应协同对事件进行处置,分析事件原因、明确攻击方式和影响、确定处置方案,通过调整安全设备策略等方式尽快阻断攻击、恢复系统。

应急响应

在事件处置过程中,经分析确定已发生 *** 攻击,且攻击已成功进入系统、获取部分权限、上传后门程序,应立即启动专项应急响应预案,根据攻击影响可采取阻断攻击、系统下线等方式进行处置,并全面排查清理系统内攻击者创建的系统账号、后门程序等。

修复整改

在 *** 攻击事件处置完毕后,安全部门和业务主管部门应针对攻击利用的安全漏洞或缺陷,组织技术力量尽快进行漏洞修复和问题整改。

其实以上业务监测和攻击检测,态势感知、SOC和DAC都可以实现监测,以态势感知为例,从态势总览里我们重点关注以下几点,然后分开去查看确定被攻击主机和攻击事件,人工研判紧急处理。
image.png

image.png

4.3.2 预演习总结

参加攻防预演习人员对演习过程中发现的问题进行总结,包括是否存在系统漏洞、安全设备策略是否有缺陷、监测手段是否有效等,针对性提出整改计划和方案,尽快进行整改,同时通过攻防预演习发现的问题改进和完善安全自查和整改。

4.4 第四阶段:正式防护阶段

在正式防护阶段,重点加强防护过程中的安全保障工作,各岗位人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强防守过程的安全防护效果。

4.4.1 安全事件实时监测

当开启正式防护后,防护小组组织各部门人员,根据岗位职责开展安全事件实时监测工作。安全部门组织其他部门人员借助安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计等)开展攻击安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。

  1. 恶意邮件监测

  2. 钓鱼邮件监测

  3. WEB攻击监测

  4. 安全扫描工具监测

  5. 登录爆破监测

  6. 数据库敏感操作监测

  7. 常见木马行为监测

  8. HTTP Tunnel监测

  9. WebShell网站后门监测

防守监测研判协同图

在攻防演练防守阶段,防护工作组在指挥、监测、发现、分析、处置以及上报的过程中,可参考某信的《防守监测研判协同图》。

1596789808351-77d6f716-5ab4-4a89-ba70-c3ce3b60516c.png

监测值守要求

1.实行7×24小时现场值守,有能力的话,更好是三班倒,每位工作人员保证足够的休息。确保各 *** 安全设备、系统持续监控,驻守人员及时开展现场处置工作,第三方协助人员更好也在现场,最起码发生事件时要保证随叫随到,尽快处理。

2.安全监测处置组值守人员应根据安全区域布防和事件监控提前编排布防责任人清单,,确保各安全设备、系统均有人员负责,各类安全事件均能监控。对攻击行为进行及时开展分析、研判、上报和处置工作。

3.安全监测处置组值守人员在值守期间,应提前准备好并参考设备监控指引手册,实时密切关注所负责的安全设备或应用系统的安全告警、安全状态,负责对产生报警进行初步识别和分析,相对来说,一个总览的态势感知、SOC、DAC是比较省时省力的。

4.值守人员在值守期间不得从事与值守无关的工作,不得利用所获得相关权限进行破坏或攻击行为。

5.值守人员完成值守后,应等待下一班人员到场后,完成值守交接,并通知现场值班专责后方可离开。

4.4.2 事件分析与处置

防护工作组根据监测到安全事件,协同进行分析和确认。针对攻击来源,采取“先阻断,再处置上报”的策略。如有必要可通过态势感知类平台、安全审计类设备或者主机日志、 *** 设备日志、入侵检测设备日志等信息对攻击行为进行分析,以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息,并对攻击 *** 、攻击方式、攻击路径和工具等进行分析研判。

防护工作组根据分析结果,应采取相应的处置措施,来确保目标系统安全。通过遏制攻击行为,使其不再危害目标系统和 *** ,依据攻击行为的具体特点实时制定攻击阻断的安全措施,详细记录攻击阻断操作。业务主管单位对业务稳定性进行监测,工作接口人及时通报相关信息。

防护工作组应针对攻防演练中可能产生的攻击事件,根据已经制定的 *** 安全专项应急预案进行协同处置,同时在明确攻击源和攻击方式后,保证正常业务运行的前提下,可以通过调整安全设备策略的方式对攻击命令或IP进行阻断,分析确认攻击尝试利用的安全漏洞,确认安全漏洞的影响,制定漏洞修复方案并及时修复。

攻击事件分类

前期踩点类事件:是指经监测发现的攻击前期位于区域边界的踩点行为,主要为互联网边界、省公司IDC边界和信息中心IDC边界;

定向攻击类事件:是指经监测发现的攻击前期位于区域边界针对特定目标的攻击行为;

主机被控类:是指经监测发现位于某一主机上,该WEB系统主机已被控制的攻击行为;

内网渗透类:是指经监测发现,发生在 *** 内部以某一主机为跳板的横向攻击行为。

序号

事件类型

事件名称

1.

前期探测

域名收集

2.

端口扫描

3.

服务识别

4.

web指纹识别

5.

敏感目录和文件爆破

6.

网页爬取

7.

其他信息刺探行为

8.

WAF探测

9.

定向攻击

SQL注入

10.

命令执行漏洞

11.

XXE注入

12.

XSS漏洞

13.

文件上传漏洞

14.

反序列化漏洞

15.

CSRF

16.

SSRF

17.

目录遍历

18.

逻辑漏洞

19.

未授权访问

20.

弱口令

21.

信息泄露

22.

框架漏洞

23.

暴力破解

24.

钓鱼邮件

25.

主机被控

数据库脱库

26.

Webshell上传

27.

隧道建立(正向或反向)

28.

其他木马等黑客工具安装

29.

账号提权

30.

非法外联

31.

*** 异常连接或端口开放

32.

进程异常

33.

敏感命令

相关文章

电脑被黑客攻击找公安局-怎么上黑客网(没有网黑客怎么攻击)

电脑被黑客攻击找公安局-怎么上黑客网(没有网黑客怎么攻击)

电脑被黑客攻击找公安局相关问题 黑客知道手机号的后果相关问题 如何只用手机做黑客 远程监控苹果手机屏幕(手机远程监控电脑屏幕)...

E把手:天天免费可赚3.5元以上!

E把手手游和以前推荐的牛玩,链牌跳动是一个货色,不外感受这个平台脱手比前面都要阔绰,新用户注册免费赠予10000积分,绑定微信和支付宝再得5000积分,当前15000积分天天分红1.5米,天天签到有积...

活字印刷谁发明的(韩国人为什么说“活字印刷术”是他们发明的)

活字印刷谁发明的(韩国人为什么说“活字印刷术”是他们发明的) 作者:我方特邀作者逗叔 逗叔写网文,从来没有像今天这么急切过。 为嘛?因为邻邦韩国正在不断地为中国古代名人落户,他们今天引进李白...

生鲜电商,困在“鲜”与“生”之间的夹心饼干

生鲜电商,困在“鲜”与“生”之间的夹心饼干

当现代技术能够随时随地让消费者尝到那一口“鲜”之后,问题也随之而来,尤其是海鲜产品,人们不仅要求“鲜”,更要求“活”。但对于生鲜电商,保“鲜”和保“生”,真的是一回事吗? 在中国千百年来的饮食文化中...

花t恤搭配什么裤子(男士花T恤怎么搭配好看)

花t恤搭配什么裤子(男士花T恤怎么搭配好看)

立秋已经到了“骚年”都想着抓住夏的尾巴让自己再潇洒一回花T恤是个不错的选择穿起来方便又能穿出个性 各种风格的印花T恤其实是很好的单品,随手一件,既可以让你出众,又可以穿出个性。但很多男士都不是太...

微信视频会被监控吗,看看腾讯的回答 详细简单教程

现在各种信息安全确实值得我们严厉对待这一领域,所以每个人都应该有自己的能力来保护我们在互联网上的一些安全问题。 微信视频会被监控吗,看看腾讯的回答 1. 特别是现在我们有很多人质疑微信监控,比如:...