总结一些安服遇到的问题及思考
(一)安全服务小组的主要工作
(1)应急响应和取证溯源。
(2)对客户中出现的网络威胁进行分析和处置。
(3)配合公司自有产品发现威胁和解决网络安全问题。
(4)关注重大威胁事件,跟踪并能及时将解决方案同步到客户侧。
(二)安全服务小组在现实中的任务
1)网络安保:在国家重大活动中提供的安保服务,分两种;
由公安部牵头,支撑单位配合的无偿安保任务。在活动期间派驻一名工程师7 * 24小时驻守,不需要主动接管安保单位的网络安全。发生安全事件,而安保单位自己的安全团队不能解决时,我方需介入并上报CNCERT;
另一种为甲方购买了重大活动安保服务。我方将按合同派1到2名工程师到现场值守,需要主动利用网络安全设备来发现问题,解决问题。
2)会议交流:为宣传文化或由主管部门组织的行业专题交流。
3)应急响应:客户网络遭受* * *,派工程师前往阻止网络* * *,恢复系统正常运行,完成后期加固溯源。
4)项目支撑:支持其他部门项目,主要为销售,售前,售后,研发。
5)威胁分析:样本,流量,安全日志等分析工作。
6)产品巡检:按合同,依据公司产品提供安全检查服务,完成巡检报告,配合客户处理威胁。
7)培训项目:主要为恶意代码分析方向,安全意识,* * *,加固等培训。
8)技术研究:一个人技术提升或项目技术研究。
9)研发项目:平台搭建、工具编写等研发。
10)其他项目:不在以上9类的。
(三)按照任务和规划要求小组具备以下能力
(1)样本分析能力,主要是快速鉴别的能力。
(2)网络流量分析能力
(3)综合* * *场景认知能力
(4)网络安全设备日志分析能力
(5)客户有效沟通能力。
(6)重大项目交付能力
(7)态势感知平台化服务能力
以下是面对各任务下的思考
(一)应急响应思考(描述问题比解决问题重要)
<代码> 1,负责人接听客户应急电话,询问情况,初步判定事态,组建应急团队。 询问的问题包括: 发现问题的现象是什么样的? 出现问题的时间? 做了什么处理吗? 是否影响业务,能否断网? 问题机器是什么系统? 能否远程? 远程指导客户意见:不影响业务的情况下断网,启用备份;不影响业务情况下,安装杀毒软件全盘查杀;保留现场,等待工程师取证。
2,现场
要求管理员陪同全程参与,以将业务恢复正常为主要目的,充分了解网络架构完成溯源和加固。
目前在实施过程中较为突出的问题有:安服人员对linux服务器应急经验薄弱,网络设备日志没有重点。
(二)样本分析思考
1,查看md5值,将5级值或文件名在威胁情报平台检索或谷歌。
2,动态监控,查看文件行为,网络行为。将监控到的文件路径,注册表,网络地址等在威胁平台关联。
3,脱壳后,静态查看字符串,在威胁平台关联字符串。
4,调试分析。
注意关键点的截的图。
目前问题:漏洞利用类样本分析难度较大,感染式病毒修复,批量样本分析,勒索解密。
(三)基于公司安全产品的巡检工作思考
了解客户的关注点,有些客户关注威胁,有些希望大事化小。
<代码>客户关注重点及有价值的威胁:
(1)监管部门事件通报。
(2)网页篡改
(3)服务器故障
(4)数据泄露
甲方可能面临的高级威胁场景:
(1)个人U盘带到内网的高级* * *。
(2)以员工个人电脑作为跳板的横向* * *。
(3)员工点击网络链接,利用浏览器0天的* * *。
(4)员工邮件附件文档或可执行程序的* * *。
(5)员工账号信息获取转入下一环节的* * *。
(6)服务器弱口令用户账户爆破* * *。
(7)服务器组件0天漏洞利用* * *。
某些高级威胁场景现象:
(1)深夜时段连接通信。
(2)服务器主动外联IP。
(3)文件传输量大,数据包大,引发的威胁场景。
(4) ddos拒绝服务* * *。
(5)主动防御拦截的威胁
(6)沙箱前置检出的未知威胁的威胁场景。
(四)小组其它规划
<代码>(1)在遇到疑难安全事件,无法判定时,组织其它安全小组一起参与威胁研判,这一环节可以理解为:专家会诊 (2)召开安全例会,每周一次,或每日早晨开始,对工作进行安排,对自己处置的威胁在会议中通报审核。 (3)案例分享,面对较为重要的事件,比如新出现的一些* * *手法,做报告分享。 (五)企业应该做的 (1)做好邮件防护 (2)做好U盘防护 (3)安装最新漏洞补丁 (4)终端杀毒,主动防御安全服务的一些思考
