总结一些安服遇到的问题及思考
(一)安全服务小组的主要工作
(1)应急响应和取证溯源。
(2)对客户中出现的网络威胁进行分析和处置。
(3)配合公司自有产品发现威胁和解决网络安全问题。
(4)关注重大威胁事件,跟踪并能及时将解决方案同步到客户侧。
(二)安全服务小组在现实中的任务
1)网络安保 :在国家重大活动中提供的安保服务,分两种;
由公安部牵头,支撑单位配合的无偿安保任务。在活动期间派驻一名工程师7*24小时驻守,不需要主动接管安保单位的网络安全。发生安全事件,而安保单位自己的安全团队不能解决时,我方需介入并上报CNCERT;
另一种为甲方购买了重大活动安保服务。我方将按合同派1到2名工程师到现场值守,需要主动利用网络安全设备来发现问题,解决问题。
2)会议交流:为宣传文化或由主管部门组织的行业专题交流。
3)应急响应:客户网络遭受攻击,派工程师前往阻止网络攻击,恢复系统正常运行,完成后期加固溯源。
4)项目支撑:支持其他部门项目,主要为销售、售前、售后、研发。
5)威胁分析:样本、流量,安全日志等分析工作。
6)产品巡检:按合同,依据公司产品提供安全检查服务,完成巡检报告,配合客户处理威胁。
7)培训项目:主要为恶意代码分析方向、安全意识、渗透、加固等培训。
8)技术研究:个人技术提升或项目技术研究。
9)研发项目:平台搭建,工具编写等研发。
10)其他项目: 不在以上9类的。
(三)按照任务和规划要求小组具备以下能力
(1)样本分析能力,主要是快速鉴别的能力。
(2)网络流量分析能力
(3)综合攻击场景认知能力
(4)网络安全设备日志分析能力
(5)客户有效沟通能力。
(6)重大项目交付能力
(7)态势感知平台化服务能力
以下是面对各任务下的思考
(一)应急响应思考(描述问题比解决问题重要)
1、负责人接听客户应急电话,询问情况,初步判定事态,组建应急团队。
询问的问题包括:
发现问题的现象是什么样的?
出现问题的时间?
做了什么处理?
是否影响业务、能否断网?
问题机器是什么系统?
能否远程?
远程指导客户意见:不影响业务的情况下断网,启用备份;不影响业务情况下,安装杀毒软件全盘查杀;保留现场,等待工程师取证。2 、现场
要求管理员陪同全程参与、以将业务恢复正常为主要目的、充分了解网络架构完 成溯源和加固。
目前在实施过程中较为突出的问题有:安服人员对linux服务器应急经验薄弱、网络设备日志没有重点。
(二)样本分析思考
1、查看md5值,将ms5值或文件名在威胁情报平台检索或google。
2、动态监控,查看文件行为,网络行为。将监控到的文件路径、注册表、网络地址等在威胁平台关联。
3、脱壳后,静态查看字符串,在威胁平台关联字符串。
4、调试分析。
注意关键点的截图。
目前问题:漏洞利用类样本分析难度较大,感染式病毒修复、批量样本分析,勒索解密。
(三)基于公司安全产品的巡检工作思考
了解客户的关注点,有些客户关注威胁,有些希望大事化小。
客户关注重点及有价值的威胁:(1)监管部门事件通报。
(2)网页篡改
(3)服务器故障
(4)数据泄露
甲方可能面临的高级威胁场景:
(1)个人U盘带到内网的高级攻击。
(2)以员工个人PC作为跳板的横向攻击。
(3)员工点击网络链接,利用浏览器0day的攻击。
(4)员工邮件附件文档或可执行程序的攻击。
(5)员工账号信息获取转入下一环节的攻击。
(6)服务器弱口令用户账户爆破攻击。
(7)服务器组件0day漏洞利用攻击。
某些高级威胁场景现象:
(1)深夜时段连接通信。
(2)服务器主动外联IP。
(3)文件传输量大,数据包大,引发的威胁场景。
(4)ddos拒绝服务攻击。
(5)主动防御拦截的威胁
(6)沙箱前置检出的未知威胁的威胁场景。
(四)小组其它规划
(1)在遇到疑难安全事件,无法判定时,组织其它安全小组一起参与威胁研判,这一环节可以理解为:专家会诊
(2)召开安全例会,每周一次,或每日早晨开始,对工作进行安排,对自己处置的威胁在会议中通报审核。
(3)案例分享,面对较为重要的事件,比如新出现的一些攻击手法,做报告分享。
(五)企业应该做的
(1)做好邮件防护
(2)做好U盘防护
(3)安装最新漏洞补丁
(4)终端杀毒,主动防御原文地址:http://blog.51cto.com/antivirusjo/2091970