知攻善防,遇强则强!
先介绍一下什么是HVV行动:
它是由公安部牵头的,通过组织红队和蓝队进行为期两周到三周的攻防对抗演习,来检测一些企业单位可能存在的网络漏洞和威胁,进而进行修复和加固,提高安全性能。
HVV行动中蓝队最常见的三个组:监控组、研判组、处置组
(此外还有负责溯源、写报告以及其他工作的组)
我下面要介绍的是监控组,作为监控组你必须要知道并且会用的一个安全设备:态势感知平台
什么是态势感知平台?
来看一下ChatGPT的回答:
态势感知平台是一个综合性的信息管理系统,用于收集、整合、分析和可视化各种数据源的信息,
以帮助组织更好地理解当前情况和趋势。这种平台通常在许多领域中得到广泛应用,包括军事、
国土安全、网络安全、城市规划、应急管理等。
态势感知平台的主要功能包括:
1. 数据收集:从各种传感器、监控系统、社交媒体、网络通信和其他数据源收集信息。
2. 数据整合:将来自不同源头的数据整合在一起,以创建完整的信息图像。
3. 数据分析:使用数据分析工具和技术,对信息进行处理和解释,以了解当前的态势和趋势。
4. 可视化:通过图表、地图、仪表板等方式,将信息可视化呈现,使用户能够快速理解复杂的数据。
5. 情报共享:在组织内部或与其他组织之间共享信息,以支持决策制定和合作。
这些平台的目标是提供实时、全面的信息,以帮助组织有效地应对各种挑战和情境,
从而改善决策制定和资源分配。我们实际HVV中使用的态势感知平台其实就是对一些异常流量的捕捉,它会基于一定的策略,锁定一些流量特征,将这些有问题的请求包筛选出来,但是态势感知有一个最大的问题就是误报严重,每天的告警可能会有几万条,但实际的真实攻击可能只有几条,所以才需要人工进行判定和处置。
常见的态势感知平台:深信服的SIP和奇安信的天眼
下面给大家找了一些图
大致就是这样,但是我们监控组看到其实主要是另一个页面 ,即告警列表的界面
在告警列表里我们可以看到各种各样的攻击告警,我们可以查看详情,通过分析流量包的请求和响应,来判断是否为真实攻击,以及给出相应的处置建议。
至于怎么看和分析告警流量,常见的攻击有哪些,为什么态势感知误报严重,如何避开误报筛选出真实攻击,如何应对不同企业不同的资产,常用的工具还有哪些,以及如何给处置建议等等,这些我们放到下一篇再讲。
这里主要是带大家入个门先了解HVV这个东西以及必须要知道的一个安全设备——态势感知
我是Myon,我们下篇博客再见!喜欢的可以关注一下哈,主要分享网络安全、CTF相关知识Thanks♪(・ω・)ノ