Contenido del trabajo
1. Verificar el equipo de monitoreo y analizar el tráfico de registros en cualquier momento;
2. Mantenga registros detallados de los incidentes de ataques peligrosos e infórmelos.
3. Cambiar la política de seguridad y prohibir la IP atacante de manera oportuna;
4. Compile un informe diario, resuma la experiencia de protección de la red y escriba un resumen de la experiencia de protección de la red al final de la protección de la red;
Solución de problemas y análisis durante la respuesta de emergencia de Windows
1. Compruebe si el servidor tiene contraseñas débiles.
2. Si los puertos de alto riesgo están abiertos al mundo exterior, como el puerto de servicio SSH 22, el puerto de servicio RDP 3389, etc.
3. Verifique el servidor en busca de cuentas sospechosas.
4. Combine el análisis de registro eventvwr.msc para verificar la hora de inicio de sesión del administrador y ver si hay alguna anomalía en los eventos relacionados.
Cómo lidiar con las falsas alarmas del dispositivo
Los falsos positivos de la red externa indican que el dispositivo de seguridad debe someterse a actualizaciones de políticas y no es necesario procesarlos. Si los falsos positivos de la red interna se pueden resolver mediante la negociación con la persona a cargo, agregue una lista blanca para su procesamiento si es necesario.
equipo de seguridad
Sistema de prevención de intrusiones IPS
IDS del sistema de detección de intrusiones
Cortafuegos: Tinder, Administrador de seguridad, TinyWall y ClearOS
WAF (firewall de aplicaciones web): perro de seguridad, red aislada
Sistema de auditoría de registros
maquina fortaleza
Honeypot: una tecnología de defensa activa contra amenazas a la seguridad. Atrae atacantes simulando uno o más hosts o servidores vulnerables, captura muestras de tráfico de ataque, descubre amenazas de red y extrae características de las amenazas. El valor de los honeypots radica en ser atacado. Detección, arco y flecha. T-Pote
Sistema de escaneo de vulnerabilidades: awvs, nessus
proceso de rutina
Etapa temprana: autoevaluación y refuerzo
Contraseñas débiles: base de datos, SSH, RDP, backend
Ejecución de comando:
Operaciones de archivos: carga de archivos, lectura de archivos
Acceso no autorizado:
Medio plazo: verificación de deficiencias, advertencias de seguridad y análisis de eventos
1. Después de recibir la alarma, debe verificar las características del tráfico según el tipo de ataque determinado automáticamente para determinar si se trata de una falsa alarma: si el tráfico característico coincide con el tipo de ataque y si la falsa alarma se genera debido a algunos parámetros de El tráfico normal es similar al tráfico de ataque. Si no se puede determinar a través del tráfico característico, puede realizar un análisis en profundidad a través del paquete de tráfico completo.
2. Si se trata de una falsa alarma, no es necesario reportarla.
3. Si es una alarma real, debe determinar más a fondo si el ataque tuvo éxito. Si el ataque falla, infórmelo directamente al grupo de prohibición para la prohibición de IP. Si el ataque tiene éxito, es necesario informarlo inmediatamente al equipo de respuesta a emergencias para iniciar el proceso de respuesta a emergencias.
Honeypots, correos electrónicos de phishing, IP
Cómo afrontar el descubrimiento de puertas traseras implantadas
1. Elimine por la fuerza la ruta del archivo de puerta trasera proporcionada por Alibaba Cloud Shield.
2. Utilice el sistema CMS de programas de código abierto para actualizar y corregir errores.
3. Repare todas las vulnerabilidades en el sitio web, verifique si hay vulnerabilidades en el sitio web, especialmente vulnerabilidades de carga y vulnerabilidades de inyección SQL, y filtre estrictamente la entrada de parámetros ilegales.
4. Verifique todos los códigos del sitio web para ver si hay un archivo de puerta trasera troyano de una oración. Puede comparar los archivos respaldados anteriormente uno por uno, verificar el tiempo de modificación de los archivos uno por uno y eliminarlos.
5. Cambie la dirección backend del sitio web. De forma predeterminada, es el directorio admin, houtai, administre, etc. Se recomienda cambiarlo a un nombre más complejo. Incluso si utiliza la vulnerabilidad de inyección SQL para obtener la cuenta. contraseña, es inútil si no sabes dónde está el backend.