首先是设备,(本人)这次HW使用的安全产品主要有两个:天眼和椒图。
产品 | 全称 |
---|---|
天眼 | 奇安信天眼威胁检测与分析系统 |
椒图 | 奇安信网神云锁服务器安全管理系统 |
天眼负责流量分析,部署在旁路,对交换机镜像过来的流量进行监测、分析和溯源。
椒图负责服务器的系统防护,通过在服务器上安装的客户端,将收集到的主机信息发送到控制中心集中分析。
二、工作内容
防守方主要分为三个组:安全监控组、事件研判组、应急处置组。
1)监控组分析安全设备的告警,确定是攻击就提交给处置组封禁IP;分析不出来就提交给研判组分析。
2)研判组负责分析监控组提交的告警是否为攻击,必要时可以访问受害网站复现攻击,或者联系受害网站的负责人验证是不是正常业务/人为操作。
3)处置组主要负责封禁IP,如果是webshell这种攻击,还需要联系受害网站的负责人,协助修复漏洞或者加固网站。
三个组通过指挥调度管理系统进行协作防护:
大家上班第一件事就是登录管理系统,监控组向管理系统提交告警的攻击/受害IP、告警类型以及payload,处置组/研判组看到管理系统上有新的告警了就封禁IP/分析告警事件。
原则上来说,我一个安全监控组,只需要盯着安全设备,简单分析一下然后提交告警就可以了。
由于公司就来了我一个,只要是我们产品相关的事,都会把我喊过去。
因此,除了设备监控外,我的工作还包括但不限于:分析webshell文件、分析病毒木马文件、升级/加固安全产品、对失陷主机进行后门扫描和病毒查杀、以及协助失陷网站修整加固。。。
三、安全事件
好了,撇开厕所不谈,下面分享几个印象比较深的攻击事件吧:
1)失陷主机排查
青藤云的蜜罐检查到,有个用户电脑访问了蜜罐的80端口,用户断网以后用360和火绒查杀了三个毒以后,重新上线,结果又踩了蜜罐,用户又用360和火绒扫了一遍,啥也没扫出来,就喊我过去处理。
当时我就一脸懵逼:这是我一个安全监控该干的事吗?
但架不住一群人直勾勾的盯着我,只能硬着头皮去干
先是用椒图扫了一遍webshell和后门文件。
确认没有后门以后,用专杀工具全盘扫描,扫出来7个病毒。
扔到ti威胁情报中心鉴定