研鑫科技安全运营服务——详解篇(二)

“First:安全日志分析及响应


威胁分析与预警  |  深度威胁分析和研判 |  威胁主动响





































































































威胁分析与预警

内网脆弱性分析

1)WEB明文传输分析:安全服务工程师分析web数据传输过程是否有存在被监听或者信息泄露风险,并给出解决建议。
2)Web弱密码分析:安全服务工程师分析web的登录过程是否存在弱密码,避免web站点被轻易爆破,并给出解决建议

尝试入侵行为分析

1)口令爆破行为分析:安全服务工程师分析口令爆破行为,并对攻击次数最多的TOP5攻击源验证是否爆破成功,并给出解决建议。
2)内部横向攻击分析:安全服务工程师对发起横向威胁top5主机和遭受横向威胁top5业务展开分析,包含横向攻击、风险访问、违规访问、可疑行为等行为,并给出解决建议。
3)WEB应用攻击分析:安全服务工程师对WEB系统IP地址进行日志分析,判断对web应用的攻击行为,并给出解决建议。

潜在威胁分析

1)失陷主机分析:安全服务工程师对失陷主机进行分析研判,并给出修复建议。
2)潜伏威胁分析:安全服务工程师分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APT C&C通道、隐藏外联通道等外联威胁行为

深度威胁分析与研判

漏洞利用攻击事件深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断漏洞利用行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段(kill-chain),提出针对性的加固建议
5)根据攻击行为可溯源得知风险点

Webshell上传事件深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断webshell上传行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段(kill-chain),提出针对性的加固建议
5)根据攻击行为溯源得知风险点、web应用的脆弱点
6)根据日志或url可得知攻击行为是否具有针对性

Web系统目录遍历攻击深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)判断攻击行为是否具有针对性



SQL注入攻击深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议

5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析SQL注入点,并分析是否为业务活动,是否具有针对性



系统命令注入攻击深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功


口令暴力破解深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析判断是否为分布式爆破;是否为慢速爆破;并分析扫描特征


Web明文传输深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析是否存在敏感信息泄露等风险


弱密码深度分析研判

针对此类事件,安全服务工程师开展深度分析研判,内容包含:
1)分析攻击源是否恶意
2)判断攻击行为具有的意图(如攻击时间可判断是否为业务行为、攻击频率可判断是否为批量攻击行为、攻击源综合分析可判断是否为爬虫等)
3)判断攻击行为是否成功
4)判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议
5)根据攻击行为溯源得知风险点
6)根据数据回包或状态码包可得知攻击行为是否成功
7)分析当前密码强度,并建议升级的密码强度



“Second:应急响应


      应急响应是安全运营服务体系的一个重要组成部分,是指为了应对突发及重大信息安全事件的发生所做的准备以及在事件发生所采取的措施。安全运营团队将协助系统运维人员共同构建安全响应机制,尽可能减少和控制安全事件带来的损失。
       安全运营团队对用户业务环境中的安全事件进行响应,对用户的主机安全数据进行分析、全方位监测发现的威胁和异常进行快速响应和处置,并针对安全事件进行深入地溯源和取证;同时输出应急响应报告,帮助用户正确应对攻击入侵事件,降低安全事件带来的损失。