總結(jié)一些安服遇到的問(wèn)題及思考

創(chuàng)新互聯(lián)專(zhuān)注于網(wǎng)站建設(shè)|網(wǎng)站維護(hù)|優(yōu)化|托管以及網(wǎng)絡(luò)推廣，積累了大量的網(wǎng)站設(shè)計(jì)與制作經(jīng)驗(yàn)，為許多企業(yè)提供了網(wǎng)站定制設(shè)計(jì)服務(wù)，案例作品覆蓋紗窗等行業(yè)。能根據(jù)企業(yè)所處的行業(yè)與銷(xiāo)售的產(chǎn)品，結(jié)合品牌形象的塑造，量身定制品質(zhì)網(wǎng)站。

（一）安全服務(wù)小組的主要工作

（1）應(yīng)急響應(yīng)和取證溯源。
（2）對(duì)客戶中出現(xiàn)的網(wǎng)絡(luò)威脅進(jìn)行分析和處置。
（3）配合公司自有產(chǎn)品發(fā)現(xiàn)威脅和解決網(wǎng)絡(luò)安全問(wèn)題。
（4）關(guān)注重大威脅事件，跟蹤并能及時(shí)將解決方案同步到客戶側(cè)。

（二）安全服務(wù)小組在現(xiàn)實(shí)中的任務(wù)

1）網(wǎng)絡(luò)安保 ：在國(guó)家重大活動(dòng)中提供的安保服務(wù)，分兩種；
由公安部牽頭，支撐單位配合的無(wú)償安保任務(wù)。在活動(dòng)期間派駐一名工程師7*24小時(shí)駐守，不需要主動(dòng)接管安保單位的網(wǎng)絡(luò)安全。發(fā)生安全事件，而安保單位自己的安全團(tuán)隊(duì)不能解決時(shí)，我方需介入并上報(bào)CNCERT；
另一種為甲方購(gòu)買(mǎi)了重大活動(dòng)安保服務(wù)。我方將按合同派1到2名工程師到現(xiàn)場(chǎng)值守，需要主動(dòng)利用網(wǎng)絡(luò)安全設(shè)備來(lái)發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。

2）會(huì)議交流：為宣傳文化或由主管部門(mén)組織的行業(yè)專(zhuān)題交流。

3）應(yīng)急響應(yīng)：客戶網(wǎng)絡(luò)遭受***，派工程師前往阻止網(wǎng)絡(luò)***，恢復(fù)系統(tǒng)正常運(yùn)行，完成后期加固溯源。

4）項(xiàng)目支撐：支持其他部門(mén)項(xiàng)目，主要為銷(xiāo)售、售前、售后、研發(fā)。

5）威脅分析：樣本、流量，安全日志等分析工作。

6）產(chǎn)品巡檢：按合同，依據(jù)公司產(chǎn)品提供安全檢查服務(wù)，完成巡檢報(bào)告，配合客戶處理威脅。

7）培訓(xùn)項(xiàng)目：主要為惡意代碼分析方向、安全意識(shí)、***、加固等培訓(xùn)。

8）技術(shù)研究：個(gè)人技術(shù)提升或項(xiàng)目技術(shù)研究。

9）研發(fā)項(xiàng)目：平臺(tái)搭建，工具編寫(xiě)等研發(fā)。

10）其他項(xiàng)目： 不在以上9類(lèi)的。

（三）按照任務(wù)和規(guī)劃要求小組具備以下能力

（1）樣本分析能力，主要是快速鑒別的能力。
（2）網(wǎng)絡(luò)流量分析能力
（3）綜合***場(chǎng)景認(rèn)知能力
（4）網(wǎng)絡(luò)安全設(shè)備日志分析能力
（5）客戶有效溝通能力。
（6）重大項(xiàng)目交付能力
（7）態(tài)勢(shì)感知平臺(tái)化服務(wù)能力

---

以下是面對(duì)各任務(wù)下的思考

（一）應(yīng)急響應(yīng)思考（描述問(wèn)題比解決問(wèn)題重要）

1、負(fù)責(zé)人接聽(tīng)客戶應(yīng)急電話，詢問(wèn)情況，初步判定事態(tài)，組建應(yīng)急團(tuán)隊(duì)。
      詢問(wèn)的問(wèn)題包括：
      發(fā)現(xiàn)問(wèn)題的現(xiàn)象是什么樣的？
      出現(xiàn)問(wèn)題的時(shí)間？
      做了什么處理？
      是否影響業(yè)務(wù)、能否斷網(wǎng)？
      問(wèn)題機(jī)器是什么系統(tǒng)？
      能否遠(yuǎn)程？
 遠(yuǎn)程指導(dǎo)客戶意見(jiàn)：不影響業(yè)務(wù)的情況下斷網(wǎng)，啟用備份；不影響業(yè)務(wù)情況下，安裝殺毒軟件全盤(pán)查殺；保留現(xiàn)場(chǎng)，等待工程師取證。

2 、現(xiàn)場(chǎng)
要求管理員陪同全程參與、以將業(yè)務(wù)恢復(fù)正常為主要目的、充分了解網(wǎng)絡(luò)架構(gòu)完 成溯源和加固。

目前在實(shí)施過(guò)程中較為突出的問(wèn)題有：安服人員對(duì)linux服務(wù)器應(yīng)急經(jīng)驗(yàn)薄弱、網(wǎng)絡(luò)設(shè)備日志沒(méi)有重點(diǎn)。

（二）樣本分析思考
1、查看md5值，將ms5值或文件名在威脅情報(bào)平臺(tái)檢索或google。
2、動(dòng)態(tài)監(jiān)控，查看文件行為，網(wǎng)絡(luò)行為。將監(jiān)控到的文件路徑、注冊(cè)表、網(wǎng)絡(luò)地址等在威脅平臺(tái)關(guān)聯(lián)。
3、脫殼后，靜態(tài)查看字符串，在威脅平臺(tái)關(guān)聯(lián)字符串。
4、調(diào)試分析。
注意關(guān)鍵點(diǎn)的截圖。

目前問(wèn)題：漏洞利用類(lèi)樣本分析難度較大，感染式病毒修復(fù)、批量樣本分析，勒索解密。

（三）基于公司安全產(chǎn)品的巡檢工作思考

了解客戶的關(guān)注點(diǎn)，有些客戶關(guān)注威脅，有些希望大事化小。

客戶關(guān)注重點(diǎn)及有價(jià)值的威脅：

（1）監(jiān)管部門(mén)事件通報(bào)。
（2）網(wǎng)頁(yè)篡改
（3）服務(wù)器故障
（4）數(shù)據(jù)泄露

甲方可能面臨的高級(jí)威脅場(chǎng)景：
（1）個(gè)人U盤(pán)帶到內(nèi)網(wǎng)的高級(jí)***。
（2）以員工個(gè)人PC作為跳板的橫向***。
（3）員工點(diǎn)擊網(wǎng)絡(luò)鏈接，利用瀏覽器0day的***。
（4）員工郵件附件文檔或可執(zhí)行程序的***。
（5）員工賬號(hào)信息獲取轉(zhuǎn)入下一環(huán)節(jié)的***。
（6）服務(wù)器弱口令用戶賬戶爆破***。
（7）服務(wù)器組件0day漏洞利用***。

某些高級(jí)威脅場(chǎng)景現(xiàn)象：

（1）深夜時(shí)段連接通信。
（2）服務(wù)器主動(dòng)外聯(lián)IP。
（3）文件傳輸量大，數(shù)據(jù)包大，引發(fā)的威脅場(chǎng)景。
（4）ddos拒絕服務(wù)***。
（5）主動(dòng)防御攔截的威脅
（6）沙箱前置檢出的未知威脅的威脅場(chǎng)景。

（四）小組其它規(guī)劃

（1）在遇到疑難安全事件，無(wú)法判定時(shí)，組織其它安全小組一起參與威脅研判，這一環(huán)節(jié)可以理解為：專(zhuān)家會(huì)診  
（2）召開(kāi)安全例會(huì)，每周一次，或每日早晨開(kāi)始，對(duì)工作進(jìn)行安排，對(duì)自己處置的威脅在會(huì)議中通報(bào)審核。
（3）案例分享，面對(duì)較為重要的事件，比如新出現(xiàn)的一些***手法，做報(bào)告分享。

（五）企業(yè)應(yīng)該做的

  （1）做好郵件防護(hù)
    （2）做好U盤(pán)防護(hù)
（3）安裝最新漏洞補(bǔ)丁
    （4）終端殺毒，主動(dòng)防御

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前題目：安全服務(wù)的一些思考-創(chuàng)新互聯(lián)
網(wǎng)站網(wǎng)址：http://jinyejixie.com/article12/ejodc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、定制網(wǎng)站、云服務(wù)器、企業(yè)網(wǎng)站制作、全網(wǎng)營(yíng)銷(xiāo)推廣、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)