工作内容
1.随时查看监控设备,分析日志流量;
2.对危险攻击事件进行详细记录并上报
3.变更安全策略,及时对攻击IP进行封禁;
4.编写每日日报,并在护网结束时总结护网经验编写护网经验总结;
windows应急响应时排查分析
1.检查服务器是否有弱口令
2.高危端口是否对外开放,比如ssh服务22端口,rdp服务3389端口等。
3.查看服务器是否有可疑账号。
4.结合日志分析eventvwr.msc查看管理员登录时间,相关事件是否有异常。
设备误报如何处理
来自外网的误报说明安全设备需要进行策略升级,不需要处理,如果来自内网的误报可以和负责人协商解决,必要的话添加白名单处理。
安全设备
入侵防御系统IPS
入侵检测系统IDS
防火墙:火绒,安全管家,TinyWall和ClearOS
WAF(web应用防火墙):安全狗,隔离网络
日志审计系统
堡垒机
蜜罐:一种安全威胁的主动防御技术,它通过模拟一个或者多个易受到攻击的主机或者服务器来吸引攻击者,捕获攻击流量样本,发现网络威胁,提取威胁特征,蜜罐的价值在于被探测,弓箭。T-Pot
漏洞扫描系统:awvs,nessus
常规流程
前期:自检和加固
弱口令:数据库,SSH,RDP,后台
命令执行:
文件操作:文件上传,文件读取
未授权访问:
中期:查缺补漏,安全警告,事件分析
1.收到告警后,需要根据自动判断的攻击类型查看流量特征,判断是否是误报:特征流量与攻击类型是否符合,是否是因为正常流量在的某些参数与攻击流量相似产生误报。如果通过特征流量判断不出来,则可以通过全流量包进行深入分析。
2.如果是误报则不需要上报
3.如果是真事告警则则需要进一步判断是否攻击成功,如果攻击失败,直接上报给封禁组,进行IP封禁。如果攻击成功,则需要立即上报给应急响应组,开始应急响应流程
蜜罐,钓鱼邮件, IP
发现植入后门如何处理
1.针对阿里云盾给出的后门文件路径进行强制删除。
2.使用开源程序的CMS系统,进行升级,漏洞补丁修复。
3.对网站的所有漏洞进行修复,检查网站是否存在漏洞,尤其上传漏洞,以及SQL注入漏洞,严格过滤非法参数的输入。
4.对网站的所有代码进行检测,是否存在一句话木马后门文件,可以对比之前备份的文件,一一对比,在一个个查看文件的修改时间,进行删除。
5.对网站的后台地址进行更改,默认都是admin,houtai,manage等的目录,建议改成比较复杂的名字,即使利用sql注入漏洞获取到账号密码,不知道后台在哪里也是没用的。