安全事件运营SOP:网络攻击(2)
时间:2023-03-06 17:15 来源:网络整理 作者:默认发布 点击:次
HIDS:对主机层面如登录、进程异常等进行安全检测,往往作为最后一道防线。 02 — 安全运营SOP 网络攻击安全事件的处置,需要从攻击行为、攻击来源、攻击成功与否的状态等多个方面进行考量,不同情况的组合采取的措施略有差异。比如在排出非公司资产的情况下,攻击源来自外网且发起大量扫描,则需在FW墙上进行封禁,再判断是否攻击成功;若攻击源是内网(已经被突破边界,如供应链投毒的场景),则应该进行网络、账号等权限的下线,并立即对源地址进行应急响应。简而言之,在面对网络攻击事件时,有如下处置步骤:2.1 攻击告警初判 从告警信息中提取攻击时间、源IP(Sip)、目的IP(Dip)、协议等基础信息,以时间为维度查看告警前后一段时间内,Sip对哪些地址做过攻击或扫描,以及攻击是否成功。 2.2 攻击地址封禁 若Sip对一个或多个Dip发起大量攻击(例如扫描),则需进行封禁处置。但在封禁之前,需要判断Sip是否为公司资产、是否在白名单中、是否为正常业务。若不是公司的资产,则在公网边界进行封禁并对Dip进行排查;若属于公司资产且在白名单中,则应检查是否为安全检测规则、安全运营策略等导致的误报。若属于公司资产但不在白名单中,则需联系业务或终端Owner确定是否正常行为,若是正常或本人行为,则对业务进行加白或对相关owner进行通报(尤其是在安全公司中,渗透测试需要授权,未授权的行为属于违规事件);若是非业务或本人行为,则需立即开展业务故障排查、断网下线、溯源分析等应急响应动作。 2.3 攻击告警研判 若Sip没有发起大量攻击,也需要对安全事件进行分析。从告警中提取URI、payload、查看响应包状态等,甚至从日志、流量中提取更多上下文信息辅助分析攻击成功状态。 2.4 应急响应处置 若是攻击成功,则应立即断网下线,同时分别以Sip和Dip为基点,对整个攻击链进行溯源分析、后门清除等应急响应动作。 2.5 附SOP流程图 2.1 – 2.4的处置流程,如下图所示: 03 — 网络攻击防范 防范网络攻击是一门安全管理与技术融合应用的学科,涉猎范围较广,实现方法也有很多。但从ROI或仅从效果的角度来考虑,以下六种的较为有效&高效:3.1 减少对外暴露面 暴露面指从互联网就能访问到的系统或使用的系统服务,具化为域名、IP、端口、API等网络资产,减少它们对外的暴露情况降低被攻击的可能性。 (责任编辑:admin) |
