今日份护网培训——护网项目普及,事件处理、报告编写技巧

    2024年3月15号20：30，星禾团队的第五次护网培训，他来啦！这次的直播内容是护网项目普及,事件处理、报告编写技巧，来，学！

护网整体流程

一、备战阶段

• 目的：减少护网被攻击面、主动发现安全风险、闭环潜伏安全隐患、了解自身安全现状、完善安全监控能力、提高安全防护能力。

• 工作（护网前两个月）--自查：网络安全架构分析、护网保障资产梳理、全面基础安全检查、业务系统风险分析、内部账号安全审计、安全能力缺陷补充、整体安全策略优化。

二、临战阶段

• 目的：建立护网保障机制、熟悉应急响应流程、提高内部安全意识、检验护网保障能力、磨合护网保障团队、主动改进自身不足。

• 工作（护网前一个月）——预演：护网保障团队组建、应急场景演练开展、应急场景预案调整、安全意识宣贯培训、红蓝对抗攻防演练、保障机制调整优化。

三、决战阶段

• 目的：避免非必要减分情况、提前进行攻击拦截、主动获取各项加分项

  、及时控制安全风险。

• 工作（持续2周）——保障：通告处置、封堵封禁、监控预警、分析研判、应急响应、事件上报、策略优化、安全巡检。

四、参与厂商及角色分工

五、告警事件处置总体流程

监控技巧

1. 熟知每日报告格式、流程以及对接人。

2. 每5-10分钟刷新一次告警列表（网页漏洞利用、webshell上传和命令执行），统计攻击IP，将IP同步到研判组，需排除负载和代理类设备，避免影响业务。

3. 重点关注攻击结果：成功和失陷的告警，发现攻击成功实践后上报研判组进行分析研判；4. 重点关注告警信息：网页漏洞利用、webshell上传、weblogic反序列化、文件上传、FTP爆破、SSH爆破、数据库爆破、web登录入口爆破；

4. 每日收集合规类信息：弱口令、SQL语句查询、敏感信息泄露；6. 负责配合查询日志信息，提供日志给研判和溯源组进行分析溯源；

监控技巧 —— 排除误报

1. 观察请求所使用的协议，观测其是否为正常业务功能点该有的请求。

2. 通过监控平台对此告警进行筛选，观察其是否在护网开始前就已经出现。

3. 根据不同漏洞类型，进行专一排除，例如：设备报了一个RCE，配合请求包具体内容，观察其是否成功执行，执行的命令是否存在可控变量，参数，如果成功执行，回溯命令执行链 ；

4. 多设备联动排除，检索攻击ip是否在其他监控设备也出现，通过情报中心或威胁分析平台对ip来源，归属进行查询；

研判技巧 —— 多平台联动研判

• 熟知每日报告格式、流程以及对接人。

• 负责对护网期间各监控组上报的安全事件，进行研判分析，并给出研判结论和处置建议。

• 结合安全告警信息，查看攻击事件、攻击特征、特征文件、攻击IP等判断是否入侵成功；每15-30分钟刷新1次告警，包括查看天眼分析平台，邮件沙箱，WAF，HIDS，SOC；

• 根据时间类型和重要程度，在事件平台对该告警事件进行研判和给出处置建议；

• 提供专业建议协助处置组完成应急处置；

溯源技巧 —— 社工层面

    灵活利用互联网上的 ，结合相关群聊组织动向，根据相关群成员是否有异常举动（如发布异常链接等）进行，根据已到的获取基本信息（社交id，qq账号，邮箱等）进行反向钓鱼同时利用各种应用的身份验证手段进行手机号，身份证号调查等。

溯源技巧 —— 技术层面

• 攻击源捕获

• 安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等

• 日志与流量分析，异常的通讯流量、攻击源与攻击目标等

• 服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等邮件钓鱼，获取恶意文件样本、钓鱼网站URL等

• 蜜罐系统，获取攻击者行为、意图的相关信息

注意事项

• 【禁止渗透行为】未经许可和授权，禁止对各类系统、IT 基础设施进行渗透测试等攻击行为，如有漏洞测试需求需逐层申请测试。

• 【禁止扫描刺探内网】未经许可和授权，禁止对内网进行端口探测、资产发现或者漏洞扫描。

• 【禁止关闭绕过奇安信安全设施】未经许可，禁止卸载奇安信终端管控软件、禁止绕过准入措施、禁止卸载安全防护软件、禁止停止服务器日志采集服务。如需进行前述操作的，需向信息安全部报批。

• 【禁止使用远控软件】未经许可，禁止使用未经允许的远程控制软件从外网控制内网终端或服务器；禁止使用各类反向代理软件打通内外网。如需要进行前述操作的，需向逐层申请VPN。

• 【禁止内部钓鱼】未经许可，禁止向邮箱投递伪造邮件、钓鱼邮件和含有恶意样本的邮件。传递样本或 IOC 的邮件，请务必在邮件中标明样本和链接有害，防止收件人误点。如需要进行前述操作的，需逐层做出申请，由信息安全部协助进行测试。

• 【禁止随意测试恶意样本】未经许可，禁止在办公网测试蠕虫、木马等恶意样本。

• 【禁止私自发布互联网应用】未经许可，禁止私自将应用发布到互联网。

• 【禁止私借账号密码】未经许可，禁止将个人所拥有的奇安信等账号和密码借给他人使用。个人账号密码包括但不限于邮箱账号密码、内部系统账号密码。

• 【禁止第三方软件传输工作数据】禁止使用 QQ、微信等即时通信工具传输、备份内部数据。

• 【禁止不总结报告】每天日报要通过蓝信发送给项目经理。

• 【禁止迟到早退】每天要提前到工位，牢记打卡，不能出现漏打、晚打情况。

• 【禁止未锁屏离开工位】不在电脑前一定要电脑锁屏。

• 【禁止带毒上岗】及时修复系统安全漏洞，定期查杀病毒木马；

报告编写 —— 攻击事件上报

内容要素：告警时间、告警设备、攻击IP（xff）、受害IP、威胁名称、攻击结果、处置建议。

示例：

• 攻击时间：2022-08-01 00:02:13

• 告警设备：宽带网天眼平台（10.136.23.23）攻击IP：10.30.138.16

• XFF:10.30.139.227

• 受害IP：10.161.35.124

• 威胁名称：代码执行

• 攻击结果：成功

• 处置建议：排查失陷面、主机下线排查

报告编写 —— 溯源分析报告

内容要素：综述、线索分析、攻击者画像、溯源分析过程、事件应急响应流程。

    哇，满满干货展示完毕，还有相关案例展示！各位大哥可以去看看直播，将持续更新干货~

各位大佬们，我们护网培训3.8号开始，后续还会持续直播，全程hvv公开课免费，希望各位大哥留点时间看看，建议新手学生，和想冲中级的大哥们来听。

录播视频及工具领取方法：关注星禾团队公众号，回复“护网教程”即可领取~