1. 极安网首页
  2. 网络安全技术

安全运营之攻击溯源

根据美国国防部安全事故处置流程,攻击溯源作为安全事故中事后响应的重要组成部分。

攻击溯源作为安全事故中事后响应的重要组成部分,一定程度上还原攻击者的攻击路径与攻击手法,从切入角度上看,安全告警事件,漏洞视角,网络和主机层面的异常以及APT攻击都可以帮助安全运营人员发现攻击源头,并且帮助其完成溯源工作。

在传统的安全运营工作中,如果我们不知道黑客是怎么进入到系统内部,其实我们无法彻底根除安全隐患。从用户角度也会常常碰到这种情况,特别是高层无法理解为啥安全事件层出不穷。那么加大对溯源能力的投入,可以缓解这种情况的出现。

安全运营之攻击溯源-极安网

从安全运营的角度上切入,用户最想要的是,通过安全系统的分析,能捕捉到整个攻击链事件。知道攻击路径和攻击手段。攻击阶段一般定义为:攻击入口、载荷投放、权限提升、逃逸检测、权限未知、横向移动、远程公职、数据泄露、痕迹清楚、影响破坏。

首先聊聊攻击入口,ATT&CK其实也定义的非常明晰,针对服务器端攻击,最常用的方式:

1、T1190、公开漏洞攻击&0day攻击 (自定义扫描脚本,比如这次HW用的比较多的fastjson漏洞等)

2、T1133、外部远程服务攻击(暴力破解)

3、T1078、合法账号攻击(弱口令/社工库)

检测手段:

1、通过WAF感知到漏洞入侵,或者通过主机安全发现漏洞利用程序运行事件,发送告警事件到安全运营中心综合分析。

2、通过主机安全产品感知,暴力破解成功(SSH/RDP)、Redis执行异常指令、Java应用执行异常指令、Postgres导出功能被误用写入可疑UDF库文件、Mysql导出功能误用写入可疑文件、Redis入侵后修改Crontab、Linux可疑命令序列、访问敏感文件,发送告警事件到安全运营中心综合分析。

3、异地登录、异常IP、异常时间登陆、弱口令账户登录,发送告警事件到安全运营中心综合分析。

处置手段:

1、当安全运营中心通过综合分析,发现主机层面存在相关的漏洞,并且进程正在运行,并且有网路层数据已经触达到主机,可调用WAF阻断该IP的访问。

2、主机层暴力破解阻断,这个目前主机安全软件都有。

3、禁用账号,还有一些攻击切入点主要是通过入侵客户端,然后进入数据中心的曲线救国方法,也就是我们常说的APT攻击。

T1189、水坑攻击

T1093、附件钓鱼攻击、T1092链接钓鱼攻击、T1094、服务钓鱼攻击

T1095、供应链攻击

T1200、硬件添加攻击

T1199、利用可靠关系

检测手段:需要通过OA网络中的终端安全产品来完成。需要同时把这部分告警日志接入到安全运营中心分析。

处置手段:隔离终端电脑

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3568.html