防御

  1. 常见安全设备之间的区别

    1
    2
    3
    4
    5
    6
    7
    8
    WAF:专门对WEB进行防护的应用程序,对http流量进行特征检测,并及时拦截、封禁IP等措施;
    防火墙:主要在三层、四层进行过滤,根据规则进行拦截或者放行;
    IDS: 对交换机镜像过来的流量进行检测,根据特征进行匹配然后告警,一般旁路部署;
    IPS:在检测流量的基础之上,还可以拦截危险的流量,主要部署在出入口的一些地方,形成一条串行链路;
    态势感知:整个网络进行的监控,实时汇报攻击源、攻击事件,甚至还可以预测提示下一步的攻击方向,提前防御;
    蜜罐:故意部署的带有漏洞的一些系统,主要套取攻击者的一些攻击手法、工具等等,当然了,在一定程度上起到了防御作用;根据交互式程度一般分为低中高三种蜜罐,最常用的开源蜜罐一般是hfishing;
    威胁情报:对攻击事件进行的总结,形成的报告,最有意义/最具有代表性的要看里面的IOC(攻击的特征)。来源:微步在线、XXX威胁情报中心,在云沙箱里面运行可以程序,根据特征/IOC进行分析;
    EDR:根据特征库、行为对终端进行监控、防护、高危行为的组织。

  2. 怎么判断设备是不是误报

    1
    2
    1. 看来源IP:国内的/国外的、内部来源/外部来源、访问频率、有没有其他攻击行为的记录(安全设备&威胁情报);
    2. 人工分析流量特征:请求里面有没有一些比较敏感的流量特征/敏感的函数名关键字、响应内容是不是包含了敏感信息/命令执行的结果

  3. windows入侵排查

    1
    2
    3
    4
    5
    1. 恶意账号:net user/net localgroup/注册表找影子账户/在事件管理器的widnows安全日志中,找出登录的用户;
    2. netstat -ano获取外部链接ip,然后到威胁情报中心进行判断
    3. 启动项排查、计划任务
    4. everything查看新增的一些文件,重点筛选exe/vbs/dll,通过云沙箱进行在线判断
    5. 日志分析4625找失败的日志、4672管理员登录、4688找新创建的日志

  4. Linux入侵排查

    1
    2
    3
    1. 账号安全:列出所有特权用户、sudo用户、远程登录用户;历史命令,可以在/etc/profile文件中配置记录命令时,同时记录IP地址
    2. ss -tulpna找出所有网络连接和对应的进程
    3. 启动项排查(/etc/rc.d/rc*.d/)、定时任务(/var/spool/cron/ /etc/crontab)

  5. 溯源反制

    1
    2
    3
    4
    1. 确认攻击事件之后,通过系统日志、网络流量定位到攻击者ip;
    2. 通过一些在线网站ip138、站长之家反查域名,尽量找到攻击者的个人信息;
    3. 反打攻击者ip,找到vps上遗留的个人数据,查看登录日志,找出上一次的登录ip;
    4. 部署蜜罐,套取攻击者的工具信息、字典信息、攻击的目标等攻击手法