首页 > 其他分享 >【HW系列】事中迎战(6):应急响应

【HW系列】事中迎战(6):应急响应

时间:2024-07-28 15:51:18浏览次数:22  
标签:攻击 HW 事中 我们 迎战 响应 日志 应急 告警

本章为该系列的第16篇,也是事中迎战的第6篇。如果说体现攻击队综合能力的方式是打攻防,那对于防守方来说,体现综合能力的方式就是应急响应。
今天不讲理论,本篇通过一个虚构的应急案例,来看看前几篇所讲的内容如何应用在实战中。我觉得如果攻击方死盯着一个目标打,是一定会突破的,我们在做防守工作的时候一定要有这样的意识。
后面的内容当故事看就行了,且听我慢慢道来,如有雷同,纯属巧合。

像往常一样,大家盯着监控聊着八卦,突然一条情报让所有人都不困了,从攻击现场传出来的情报,听说我们已被攻破。虽然这个时候情报真真假假,但是特殊时期宁可信其有不可信其无,多做些准备总是没坏处的。

这个时候,最坐不住的是领导,领导借助自己的情报优势,提供了一些线索,组织大家展开排查。这时一线监控人员对历史告警进行逐项排查。看了一圈后大家心都凉了,因为每一条告警都完成了闭环处置,没有发现异常,难道说遇到了猪猪侠所说的“无感出局”?

然后赶紧调整排查方向,不能只看告警了,需要对原始日志进行分析。原始日志可比告警大出好几个量级。说实话,没什么好方法,只能一条一条看,大海里捞针一样……
不过功夫不负有心人,一组奇怪的流量引起了大家的注意,超长和加密的数据,与正常业务流量有很大差别,顺着这条线索对源ip进行了排查,发现了大量类似的网络请求,随即升级到二线分析研判组进行深入分析,最后定性为攻击事件,先把ip封了吧。

攻击队采用了多种绕过方式组合利用,导致全程一条告警都没有,说实话,“让防守方无感出局”以前我是不相信的,现在真是刷新了我的认知。

二线研判完成定性之后,还要进一步分析攻击者到底做了什么,看看我们的问题到底在哪,有什么损失。攻击流量中有很多混淆,分析起来非常困难,于是我们转变思路,用流量日志+应用日志进行进一步分析。应用日志量也不小,不过已经掌握了payload的特点,可以通过编写脚本对日志文件进行批量处理。说干就干,这时已经凌晨2点了,线索就是兴奋剂,大家颇有不搞清楚不睡觉的状态,脚本调试完毕后,在几十G的日志中提炼出攻击数据,去除了垃圾字段,最后攻击payload终于水落石出。
图片
拿着payload对目标系统进行验证,完了,真的存在漏洞,赶紧联系处置组修复漏洞,把漏洞成因给系统负责人讲清楚后,立即对功能代码进行修复。同时,安全运营人员针对攻击特征配置了防护规则,可以有效检测和阻断攻击流量。
很多人为此彻夜不眠,历时48小时,事件处置完毕,整个过程报告组全程参与,最后输出应急响应报告,至此,应急结束。

最后聊聊我对攻与防关系的看法。

在赛场上遇到这种高水平对抗是一件幸运的事,虽然应急的过程很痛苦,但感觉酣畅淋漓,人生能有几回搏,这不就算一次。
如果有攻击队搞你,你会不会对其恨之入骨,想要鱼死网破?我见过很多防守单位都是这样,被攻击之后恨不得要了攻击人员的命,我觉得这是没有格局的做法,攻击队拿出毕生所学帮我们发现安全问题,我们应该感谢才是,平时我们投入多少预算都不一定有这样的机会历练。
攻防赛场上,对手用尽全力这是对我们的尊重,双方队员都拿出看家本领,打的有来有回,这样的比赛才精彩,也能真正达到演习的目的。我们都不喜欢看放水的比赛,对不对。
每一次应急响应都是一次螺旋提升,别抱怨为什么攻击队搞我们,更不要把攻击队当成敌人,没有他们,就没有今天的我们。可能我们整个安全生涯都不一定能遇到几次这样的应急事件,经过实战打磨,我们的人员能力和防护水位都会有提升,我向高水平的攻击队致敬。

原创 十九线菜鸟学安全

标签:攻击,HW,事中,我们,迎战,响应,日志,应急,告警
From: https://www.cnblogs.com/o-O-oO/p/18328311

相关文章

  • 【HW系列】战后收尾(1):打扫战场
    本章为该系列的第17篇,也是战后收尾阶段的第1篇。演练告一段落,该清理的需要清理。设备清退。为演练临时借用的各种办公用品要及时退还,比如办公电脑、大屏、交换机、插线板、桌椅等用品。不知道大家有没有遇到过借东西不还的情况,不管东西是否贵重,有借无还都会让人觉得不舒服。所以......
  • 【HW系列】战后收尾(2):复盘提升
    本章为该系列的第18篇,也是事后收尾阶段的第2篇。有些防守单位会以演习结束作为整个防守项目的结束,甚至会专门定制倒计时大屏,当时钟走到0秒的那一刻,所有人欢呼雀跃,组织庆功宴,和庆祝春节有一拼了,朋友圈里都开始有了年味。但是,演练真的结束了吗?能与国家顶级攻击队在正面战场上较量,这......
  • 【HW系列】事前准备(8):蜜罐建设
    本章为该系列的第8篇,也是事前准备阶段的第8篇。之所以蜜罐单独拿出来讲,是因为平时不怎么起眼的蜜罐,在演练期间却特别耀眼,特别是互联网蜜罐。一、内网蜜罐内网蜜罐主要应对的威胁是横向移动,所以内网蜜罐最需要关注的是覆盖率,要确保探针尽可能多的覆盖各个网段。同网段内不必大范......
  • 【HW系列】事中迎战(1):人员组织
    本章为该系列的第11篇,从此篇开始就进入事中迎战阶段了,迎战第1篇让我们聊聊战时的人员组织。一、排班对于主防单位来说,每次参演人员都得几十号人吧,如果领导问“这么多人怎么组织起来”,你会怎么回答呢?把庞大的防守队伍组织起来最简单的方法就是做个排班表。在特殊时期肯定是24小......
  • 【HW系列】事中迎战(2):安全事件监控与处置
    本章为该系列的第12篇,也是事中迎战的第2篇,这一节让我们聊聊演练期间工作量最大的一项任务----安全事件监控与处置。一、角色分组还记得【红蓝/演练】-事前准备(1)之演练组织中介绍的组织架构吗,实战阶段的主力军就是以下三个组:监控组,负责对安全告警进行处置,及时闭环安全事件或......
  • 【HW系列】事中迎战(3):情报处置
    本章为该系列的第13篇,也是事中迎战的第3篇。井喷的情报算是演练期间的一大特色了,这一篇我们聊聊如何搞定这些情报。一、情报收集古往今来,情报一直都是兵家必争之地,演练期间尤其明显,各种情报的密度要比往常高很多,它们从四面八方传来,给我们带来了很多困扰。情报的来源是我们首......
  • 【HW系列】事前准备(6):办公网风险收敛
    本章为该系列的第6篇,也是事前准备阶段的第6篇。除了直接面对互联网的系统,另一个容易受到攻击的就是办公环境了,这一节让我们聊聊办公环境的风险收敛。一、上网机风险治理对于有条件的企业,办公网络最好关闭互联网访问的权限,比如金融、能源的企业,办公网络都是与互联网隔离的,员工的......
  • 【HW系列】事前准备(7):供应链安全
    本章为该系列的第7篇,也是事前准备阶段的第7篇。柿子要挑软的捏,这是演练场景下,出现在攻击队口中最高频的词了。对攻击队来说,“曲线救国”往往有着出其不意的效果,供应链打击也是近几年常见的技战法,这一节让我们聊聊供应链安全。一、网络外联区治理首先从网络层面看一看我们与哪些......
  • 【HW系列】事前准备(9):工作推进
    本章为该系列的第9篇,也是事前准备阶段的第9篇。前8篇介绍了这么多准备工作,这些繁杂的任务怎么保证有序推进呢?这一篇来聊聊这个话题。一、工作清单前期准备工作繁杂量大,梳理一份工作清单是非常有必要的。事前可以结合眼下最紧急的事项拆解任务,同时向团队内不同工作领域的人征集......
  • 【HW系列】事前准备(10):事前阶段小结
    本章为该系列的第10篇,也是事前准备阶段的第10篇,通过本章做个小结,来结束事前准备阶段的介绍,从下一篇开始,将正式进入事中迎战阶段。有幸观摩过一场线下沙龙,在讨论过程中,我发现不同性质的企业,安全的建设方案完全不一样。当时在讨论邮件安全的议题,一位互联网公司的小伙直接打趣金融行......