第一章 社会工程攻击
1.1 监测阶段
(1)
蜜罐系统,还用于将检测到的疑似社会工程学攻击事件发送给控制器;控制器,还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统,并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。
(2) 收到钓鱼邮件。
(3) 短网址替换真实网址,欺骗用户访问。
(4) 防恶意软件,防火墙,入侵检测系统告警。
1.2 研判阶段
(1) 看发件地址,若非预期不理。留心利用拼写错误来假冒发件人地址,比如r+n ~ m,v+vw,c+ld…;或私人邮箱号称官方邮件等。
(2) 看邮件标题,警惕诈骗字眼。典型的钓鱼邮件标题常包含(但不限于)
“账单、邮件投递失败、包裹投递、执法、扫描文档”等,重大灾害、疾病等热点事件常被用于借机传播。
(3)
看正文内容,辨明语法错误。忽略泛泛问候的邮件,警惕指名道姓的邮件;诈骗相关的热门正文关键字包括“发票、支付、重要更新”等;包含官方LOGO图片不等于就是真邮件。
(4)
看正文目的,保持镇定从容。当心索要登录密码、转账汇款等请求,通过内部电话等其它可信渠道进行核实。对通过“紧急、失效、重要”等词语制造紧急气氛的邮件谨慎辨别,不要忙中犯错。
(5) 看链接网址,注意鼠标悬停。鼠标悬停在邮件所含链接的上方,观看邮件阅读程序下方显示的地址与声称的地址是否一致。
(6)
看内嵌附件,当心木马易容。恶意电子邮件会采取通过超长文件名隐藏附件真实类型,起迷惑性附件名称诱使用户下载带毒邮件。一定要用虚拟机中打开,在下载邮件附件之前,应仔细检查附件文件名和格式,不要因好奇而下载可疑附件。打开前用杀毒软件进行扫描。常见的带毒邮件附件为:.zip,.rar等压缩文件格式。.doc,.pdf等文档中也可带有恶意代码。
(7) 有网站可以把短网址还原还可以把压缩的网址还原成原来的网址,把真实的网址无所遁形,一般短网址组成:短网址网站的域名+“/”+短码。
1.3 处置阶段
(1) 如果溯源到ip,上报指挥小组,上报封禁。
(2) 拒绝外部短网址的请求。
(3) 对网站的安全性进行分级并且初始安全评估报告。
第二章 发现隐蔽攻击隧道
2.1 监测阶段
(1)当出现有未知软件告警时,判断软件是否为常用隧道软件,如为搭建隧道软件,立即清除。
(2)记录软件名称,软件路径,文件传输文件交研判组。
2.2 研判阶段
(1)借助网络安全分析设备对用户和(或)系统行为进 行分析。
(2)分析未知软件和传输软件。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
2.3 处置阶段
(1)如确认为隧道进行攻击,应该立即上报指挥小组,协助指挥小组分析攻击事件
(2)对有关出站或入站DNS查询的长度、类型或大小等建立规则。
(3)定期采用主流杀毒软件进行查杀,对出现的未知软件及时进行清除。
(4)处于生产区的服务器主机在必要时禁止ICMP协议。
第三章 发现重要敏感数据窃取
3.1 监测阶段
(1)收集窃取行为信息:敏感文件读取行为例如(linux系统下:passwd文件、web中间件配置文件等)、数据库敏感信息窃取等行为,提取在排查范围内的服务器、终端、应用系统等的告警日志,并进行分析,发现可能窃取数据的攻击行为。重点排查和分析SQL注入、Webshell等
可获取数据的攻击日志。
(2)整理采集到的数据窃取信息,向研判小组递交监测单。
3.2 研判阶段
(1)研判失窃信息的敏感等级。
(2)高敏感等级应立即向处置小组进行上报,再进行后续研判以及信息收集工作。
(3)组织技术研判组对失窃数据内容及范围进行研判,根据研判结果向相关业务主管部门进行通报。
(4)相关业务主管部门在收到通报后,应在第一时间根据技术研判组研判建议采取相关处置措施,防止事件升级。
3.3 处置阶段
(1)如果是SQL注入进行数据窃取,应及时分析和查找注入点,配合业务方进行临时系统加固,等待指挥小组安排后续上机处置。
(2)提高检测能力,及时更新诸如IDS和其他入侵报告工具等的检测策略,以保证将来对类似的入侵进行检测。
第四章 系统被控制、植入木马等
4.1 监测阶段
(1)当发现系统远程执行命令或者木马相关告警时,应立即判断攻击IP是否为公网外部IP,如为公网外部IP,则应立即向IP封禁组递交IP封禁列表。
(2)记录攻击IP以及受攻击IP,记录攻击命令或者木马类型,向研判组递交监测单。
4.2 研判阶段
(1)根据告警以及日志分析攻击结果。
(2)分析受到影响业务以及主机。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
4.3 处置阶段
(1)务必首先上报指挥小组。
(2)协调业务方进行安全整改以及安全加固。
(3)等待指挥小组安排上机排查。
(4)上机排查务必保留攻击证据,并消除木马以及远控客户端。
第五章 邮件系统被盯控
5.1 监测阶段
(1) 可利用阅读记录去识别,通常黑客盗取邮箱时,会过滤所有你的邮箱,只留下他们感兴趣的信息。
(2) 登录管理后台查看。
(3) 发现已读变成未读。
5.2 研判阶段
(1) 往常用邮箱发送检测文件,若邮箱有多个,请使用群发单显功能。
(2) 邮箱标题要设置吸引人的关键词,如新的银行卡密码,公司通信录,员工信息表等。
(3) 插入:发信时勾选邮箱追踪功能,邮件被阅读触发追踪记录,包含对方ip,设备,阅读时间等信息。
(4) 保持关注该邮件的追踪记录。
5.3 处置阶段
(1) 修改密码,不可为常用密码。
(2) 邮箱有专用的密码或授权码,开启。
(3) 建议登录页面的短信验证开启,收信使用授权码验证。
(4) 把ip,设备拉黑。
第六章 近源攻击突破网络防线
6.1 监测阶段
(1)收集物理设备或智能终端如:网线接口、USB接口、智能设备等业务系统信息。
(2)对无线网络端进行检测,对无线节点混乱、无线网络区域划分不当、无线网络设置为弱口令登录、无线网络密码口令复用、无线设备过于老旧等问题进行排查。
6.2 研判阶段
(1)根据告警以及日志分析攻击结果。
(2)若存在无线网络密码爆破成功、异常IP连接成功等行为,则应立即向处置小组上报,再进行后续攻击证据收集。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
6.3 处置阶段
(1)采取零信任处置措施。
(2)若为无线网络端攻击:则加固无线网络设备,若为弱口令,改变全部可能受到攻击的系统的口令并定期修改;增加网络区域隔离,一般用户无法直连核心网络,定期进行设备升级。
(3)若为终端设备攻击:则加强人员管理,防止终端设备物理接口攻击,应向指挥小组上报,配合业务方进行系统加固或者接口升级。
第七章 供应链打击
7.1 监测阶段
(1)如发现安全设备告警时,设备针对终端/主机的进程创建、文件写入、模块加载、注册表值写入等异常行为进行监控对大多数攻击行为的捕获。
(2)如发现流量侧监控告警,对告警流量包进行记录。
7.2 研判阶段
(1)对攻击行为进行分析,结合日志,计划任务,进程服务等应急操作对攻击行为确认。
(2)对后门文件,样本文件分析,判断是否启动恶意程序。
(3)如果研判攻击成功,应向处置小组递交研判单,并配合后续处置流程。
7.3 处置阶段
(1) 对攻击入口进行封堵、攻击传播链阻断以及恶意IOC的封禁。
(2)根据缓解步骤中提取出的各种IOC信息,全面关联告警查询,在各监控平台内做二次review,结合事前准备阶段的SBOM软件物料清单,全网全终端排查受影响范围。
(3)恢复系统网络连接、恢复系统和应用服务、恢复账号等用户数据,对系统进行全面安全加固。
第八章 通过下属单位、跨网、迂回攻击
8.1 监测阶段
(1)如通过下属单位进行攻击,应立对攻击详情进行收集并向研判小组递交监测单。
(2)如发现跨网、迂回攻击,则应立即向IP封禁小组递交IP封禁列表,对攻击事件进行初判是否为有效攻击,如是有效攻击则向研判小组递交监测单。
8.2 研判阶段
(1)如发现是通过下属单位进行攻击,则应立即向处置小组上报,再进行后续攻击证据收集。
(2)如跨网、迂回攻击,则根据攻击告警以及工具日志进行攻击结果分析,如果攻击成功,则根据日志进行证据采集以及分析攻击广度以及攻击深度,并向处置组递交研判单。
8.3 处置阶段
(1)如是通过下属单位进行的攻击,应立即上报指挥小组,并配合指挥小组进行上机排查攻击事件。
(2)对受影响的系统进行临时安全加固,并且配合业务方进行业务调整以及安全升级。
(3)对于跨网的以及迂回攻击的攻击IP进行封禁。
第九章 内网敏感信息被搜集利用
9.1 监测阶段
(1)收集数据泄露的帐号或者接口信息。
(2)收集数据泄露的业务系统信息。
(3)整理采集到的数据泄露信息,向研判小组递交监测单。
9.2 研判阶段
(1)研判泄漏信息的敏感等级。
(2)高敏感等级应立即向处置小组进行上报,再进行后续研判以及信息收集工作。
(3)如信息泄露点为个人账号导致,则应收集该账号信息,以及分析账号是否应被禁用或者修改密码等,并向处置小组递交研判单。
(4)如泄露点为业务系统或者业务接口,应验证接口的数据权限以及验证接口泄露数据的范围,分析泄露产生的原因编写修复意见,并向处置小组递交研判单。
9.3 处置阶段
(1)如泄漏点为个人账号,则应立即采用禁用策略、修改密码或者权限降级。
(2)如泄露点为信息系统或者系统接口,应向指挥小组上报,配合业务方进行系统加固或者接口升级。
第十章 漏洞利用、口令盗用、权限提升等高危操作
10.1 监测阶段
(1)收集漏洞类型、盗用的口令、以及权限提升命令或者权限提升操作。
(2)对攻击结果进行初次分析,如果分析攻击成功则向研判小组递交研判单。
10.2 研判阶段
(1)研判漏洞利用结果是否成功,如果漏洞利用成功则应立上报处置小组再进行后续研判工作。应研判漏洞影响的范围以及受影响的主机,根据漏洞类型以及影响范围编写修复建议向处置组递交研判单。
(2)如是口令盗用攻击,则应使用该口令进行横向以及纵向分析,分析是否还有其他业务系统受影响以及其他模块受影响,研判口令影响范围,根据口令以及影响范围编写研判单向处置小组递交。
(3)如存在权限提升攻击,应研判是否提权成功,以及提权后的后续操作,如果权限提升成功,则应根据帐号信息以及权限信息编写研判单递交给处置小组。
10.3 处置阶段
(1)如果是漏洞利用,则应立即向指挥小组上报,并进行临时系统加固,等待指挥小组安排后续上机处置。
(2)配合指挥小组以及业务方对系统进行安全加固以及安全升级。
(3)如盗用口令攻击,则应对被盗用口令进行禁用,溯源口令供给链路以及生成口令的帐号。
(4)权限提升攻击应立即对帐号进行权限限制操作,如果已经发生权限蔓延,则需要配合业务方对蔓延的帐号进行权限恢复。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
865
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
