发现问题
作为一名安全运维,整理当天日报是正常的工作。
整理数据时,通过soc平台发现某内网ip存在不正常流量,对某内网ip进行多手段攻击,涉及7种攻击手段,单日总事件量达到3000余次,基本判断ip存在异常,因为不太清楚具体设备,只能及时上报。
初步分析
攻击手段多样化,不存在中木马中病毒情况,更像是人已控制源ip对目的ip进行攻击,试探性进行漏洞挖掘。
厂商配合解决问题
源ip是某一家安全厂商的VPN,soc平台无法解析日志,需要厂商配合分析问题。厂商没有来之前,走了很多弯路,很尴尬。
初步分析两种可能,一:VPN账号被盗,黑客使用VPN拨号进入内网进行攻击,二:自身底层数据加固,为护网行动做基础。vpn厂商登陆VPN设备直接对安全事件发生时间段的系统日志进行分析,发现其中某一账号登录时间符合情况,该VPN账号是另一家安全厂商在使用,联系账号使用者确认是为了即将进行的护网行动在做漏洞验证,只是我作为安全管理员,不清楚情况而已。
结论
很尴尬,感觉自己误报了。又学到了很多知识,一定要和其他安全厂家及时沟通,要不然很尴尬的。