一、HW前
1、了解自身有什么
了解自有资产列表
确认有哪些安全产品、可以监控哪些业务
了解对外服务情况(网站、端口)
了解对外服务风险点
了解网络拓扑、业务拓扑
了解业务流走向
注意点:避免有遗漏资产对外服务
2、了解自身没有什么
确认己方缺少的点,无论是人员技能还是安全产品
确认哪些业务未接入安全产品监控范围
多次确认安全薄弱点,进行重点监控
3、知产品
云防护 云waf CDN
串联类设备 WAF 邮件网关 IPS 抗D 防病毒 负载均衡,前置代理
旁路设备 IDS APT 流量分析
流量设备 流量分析 流量审计
日志类设备 日志类分析:SOC平台 安管平台
日志留存类:日志服务器
终端防护类:服务杀毒软件 web安全防护
蜜罐 服务蜜罐 web蜜罐
了解常见产品功能
了解相关产品的功能,出现问题时能快速找到所需要的信息,进行攻击事件的研判 如:WAF告警检测到了SQL注入攻击,这时需要做什么?
二、攻击发生时
1、日常安全监控
hw开始后,会有大量的攻击事件产生,对于安全设备的监控尤为重要,基本上要做到5-10分钟检查一次安全告警若有发现异常的情况,就要进行攻击事件的定位。
2、常规攻击事件定位 确认攻击量 确认攻击类型 确认攻击是否成功 确认攻击源
如果攻击量足够大,并且攻击源一致,即使攻击行为未成功,也可以判定为同一个攻击者,某些情况下也可以作为防守得分
如果攻击成功、需要继续对相关得攻击做进一步得溯源操作。
3、蜜罐攻击事件
web蜜罐:个人信息 设备信息
服务蜜罐:收集攻击者IP
三、攻击发生后
1、收集攻击成功得payload-------编写自定义waf规则进行防御
2、应急
利用已有得信息进行信息收集:IP 邮箱
内网入侵应急:确认入侵IP 确认回连地址 收集遗留信息 分析恶意文件
3、溯源
<1>信息收集
A.IP
源IP:IDC、云服务器、需要特别关注 运营商 代理(普通代理、高匿代理-大都数情况下时无法找到真是地址)
目的IP:刷选相关IP得攻击
B.域名
恶意文件得下载地址、远程访问地址
C&C远程回连域名
C.手机号
攻击流量中泄露得手机号
蜜罐捕获到得手机号
D.邮箱
备案信息中遗留的邮箱
E.其他隐匿信息 ID信息 文件名 测试提醒信息
<2>信息分析
A.IP
IP历史解析
旁站/同站查询
证书反查
搜索引擎
威胁平台(只有IP时的主要分析手段)
端口扫描
B.域名
备案信息
简介:通过备案信息来获取备案时的真实信息( 也可能是伪造、因为非国内云的域名绑定不需要 实名制)
微步在线: https://x.threatbook.cn/
V站:https://www.virustotal.com/gui/home/search
站长之家ICP: http://icp.chinaz.com/
sojson: https://www.sojson.com/beian/
爱站ICP: https://icp.aizhan.com/
icplishi:https://icplishi.com/
域名信息
简介:通过域名信息的查询,可以获取到域名注 册时候的一些信息,但是大部分为运营商的技术 支持人员信息
阿里云whois:https://whois.aliyun.com/
站长之家whois:http://whois.chinaz.com/
C.个人信息
知道手机号
微信 百度 钉钉 微博 运营商登录 钓鱼短信 手机号搜索绑定的qq 支付宝转账知道名字 其他方式
知道邮箱
查whois信息 搜索引擎 已注册网站 搜索信息 找回密码看部分绑定手机号
其他信息
<3>反制
通过对攻击者中转设备进行攻击,以达到反制的目的
全端口探测,获取IP开放服务,通过开放的服务来进行反制
对开放服务的IP地址进行反制,通过漏洞利用或者遗留的后门等等来获取主机权限,然后再通过 对主机进行下一步分析(后续类似于应急响应操 作)
反制的IP为僵尸主机 大多数是存在漏洞的机器,被其他人利用然后实施攻击,但此处大概率为黑产行为,但也不排除 红队攻击
反制的IP为国内外VPS主机 红队大多数用来反弹shell或者远程下载,此处更偏向于域名备案信息,但是不排除在上面部署服 务的情况
反制的IP为运营商动态IP 此IP没有分析的意义
1840
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
