“First:安全日志分析及响应
威胁分析与预警 | 深度威胁分析和研判 | 威胁主动响
内网脆弱性分析
1)WEB明文传输分析:安全服务工程师分析web数据传输过程是否有存在被监听或者信息泄露风险,并给出解决建议。
2)Web弱密码分析:安全服务工程师分析web的登录过程是否存在弱密码,避免web站点被轻易爆破,并给出解决建议
尝试入侵行为分析
1)口令爆破行为分析:安全服务工程师分析口令爆破行为,并对攻击次数最多的TOP5攻击源验证是否爆破成功,并给出解决建议。
2)内部横向攻击分析:安全服务工程师对发起横向威胁top5主机和遭受横向威胁top5业务展开分析,包含横向攻击、风险访问、违规访问、可疑行为等行为,并给出解决建议。
3)WEB应用攻击分析:安全服务工程师对WEB系统IP地址进行日志分析,判断对web应用的攻击行为,并给出解决建议。。
潜在威胁分析
1)失陷主机分析:安全服务工程师对失陷主机进行分析研判,并给出修复建议。
2)潜伏威胁分析:安全服务工程师分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APT C&C通道、隐藏外联通道等外联威胁行为
漏洞利用攻击事件深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断漏洞利用行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段(kill-chain),提出针对性的加固建议
5)根据攻击行为可溯源得知风险点
Webshell上传事件深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断webshell上传行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段(kill-chain),提出针对性的加固建议
5)根据攻击行为溯源得知风险点、web应用的脆弱点
6)根据日志或url可得知攻击行为是否具有针对性。
Web系统目录遍历攻击深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)判断攻击行为是否具有针对性
SQL注入攻击深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析SQL注入点,并分析是否为业务活动,是否具有针对性
系统命令注入攻击深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
口令暴力破解深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析判断是否为分布式爆破;是否为慢速爆破;并分析扫描特征
Web明文传输深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析是否存在敏感信息泄露等风险
弱密码深度分析研判
针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析当前密码强度,并建议升级的密码强度
“Second:应急响应