安全事件运营SOP:网络攻击
时间:2023-03-06 17:15 来源:网络整理 作者:默认发布 点击:次
在开篇《》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但是处理起来并非无据可循。为了解决上述两个问题,同时提升工作效率和降低安全风险。经过大量的运营处置实践,总结出以下常见的处置标准操作程序(SOP)。 本文将从攻击、检测处置和防范三个维度,分别对应介绍网络攻击方式、事件运营SOP及防范措施。由于作者所处平台及个人视野有限,总结出的SOP虽然经过大量重复的操作、总结及提炼,但仍会存在错误或不足,请读者同行们不吝赐教,这也是分享该系列实践的初衷。
01 — 常见网络攻击 1.1 网络攻击概述互联网上每天都充斥着各种网络安全攻击,如漏洞扫描、已知漏洞利用、DDoS攻击、CC攻击、网络爬虫等。本文介绍的网络攻击SOP主要指边界突破阶段,针对应用系统使用到的一些攻击手法,比如web渗透、供应链攻击等。 就web渗透而言,实际涉及到的漏洞,范围远不止字面意思上的应用系统层面。因为应用系统不可能单凭自身就可以运行,渗透又是一系列的操作,至少还包括: 敏感信息探测:从外部视角看对攻击有用的信息,如端口开放扫描、源码备份文件扫描、应用服务框架识别、Swagger存在敏感信息泄露; 已知漏洞攻击:通常是使用漏洞扫描器(单一漏洞/综合漏洞)对目标系统进行扫描,根据漏洞检测规则发现已知漏洞,并进行利用导致系统被攻击。漏洞如果按照不同层面可分为基础层的系统及服务配置类漏洞,如基础环境的已知可利用漏洞、未授权类漏洞、弱账密类漏洞;应用层面的(即开发编写代码带来的安全问题),如SQL注入、Java反序列化命令执行、文件上传等漏洞;基于业务场景的漏洞发现和利用,如已注册用户枚举、任意账号密码重置、短信/邮件炸弹、短信/邮件纵向炸弹等。 在攻击技术日新月异的今天,供应链攻击一跃成为最热门的方式,包括对人员账号、软件和硬件的攻击。此处主要想提及对软件的投毒,由于软件产品基本都是开源组件+自研代码的组装,部分语言的存储仓库、社区管理不严格及GitHub自由开放等特性,攻击者可能上传恶意包并诱导他人进行下载。从安全运营的角度看,最常见的就是: 非法外连攻击:开发使用的开源组件被投毒,应用所在服务器被远控涉及到的metasploit行为、CobaltStrike行为等。 1.3 网络攻击检测 在攻击检测方面,除了传统的基于特征、异常、误用,机器学习和威胁情报等也得到了广泛应用。在企业的安全建设中不可或缺以上检测能力,通常体现在以下四类安全产品(每一类,列举一种产品加以说明): FW:对应用上外网权限、对外暴露权限实现管控; Waf:对应用层的漏洞探测、利用进行检测及阻断; NTA:对网络流量进行安全分析,引入威胁情报提升已知攻击检测能力; |
