红蓝对抗之常见网络安全事件研判、了解网络安全设备、Webshell入侵检测

文章目录
  • ​​研判(入侵检测)​​
  • ​​设备​​
  • ​​经典网络​​
  • ​​云网络​​
  • ​​异常HTTP请求​​
  • ​​Webshell分析​​
  • ​​Webshell 的分类​​
  • ​​Webshell 的检测​​
  • ​​主机层面​​
  • ​​流量层面​​
  • ​​附录​​
  • ​​常见端口漏洞​​
  • ​​参考文章:​​

研判(入侵检测)

研判我理解为人工层面对入侵检测事件进行再分析,即借助已有的设备告警根据经验判断是否为真实攻击

研判工作要充分利用已有安全设备(需要提前了解客户的网络拓扑以及部署设备情况),分析其近期的设备告警,将全部流量日志(日志条件:源地址,目的地址,端口,事件名称,时间,规则ID,发生 次数等)根据研判标准进行筛选(像挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量),一般情况下,真实攻击不可能只持续一次,它一定是长时间、周期性、多IP的进行攻击

对于告警结合威胁情报库如:​ ​微步​​​、​ ​奇安信威胁情报中心​等对于流量日志的原 IP 地址进行分析,判断其是否为恶意攻击,推荐使用微步的插件,如果确认为攻击行为或者不能确认是否为攻击行为,进行下一步操作,在之前准备好的表格中查找 IP 是否为客户内网部署的设备,如果不是,继续进行下一步,在事件上报平台查看是否有其他人提交过,如果没有,则上报

红蓝对抗之常见网络安全事件研判、了解网络安全设备、Webshell入侵检测_web安全_03

然后根据流量日志,对请求数据包和返回数据包分析判断其是否为误报,需要留意 X-Forwarded-For(简称XFF)和x-real-ip 可以了解些 webshell 工具的流量特征,尤其是免杀 webshell,有可能不会被设备识别

最后上报事件时,尽可能提供完整的截图,包括源 ip、目的ip,请求包请求体,响应包响应体等重要信息,以方便后续人员研判溯源

注:不要任意忽略内网告警,适当情况下可以往前推排查时间

设备

根据网络情况可以分为三种:经典网络、私有云、公有云

经典网络

红蓝对抗之常见网络安全事件研判、了解网络安全设备、Webshell入侵检测_web安全_04

注:图片来源于深信服官网

即客户拥有物理的基础设施(自建机房、自购设备、网络)

  • NGAF/NGFW:下一代 Web 应用防火墙(Next Generation Application Firewall,​),聚合了以下功能
  • IDS
  • HIDS:基于主机的入侵检测系统
  • NIDS:基于网络的入侵检测系统
  • HIDS+NIDS:基于混合数据源的入侵检测系统
  • IPS:入侵防御系统
  • AV:反病毒系统
  • EDR:主机安全管理\终端检测和响应
    EDR 实时监测终端上发生的各类行为,采集终端运行状态,在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术,提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能,可第一时间检测并发现恶意活动,包括已知和未知威胁,并快速智能地做出响应,全面赋予终端主动、积极的安全防御能力
    简单来说就是给内网环境中所有主机安装管理软件终端,可以在管理平台集中管理和数据分析过滤,基本所有安全厂商都有自己的 EDR 产品
  • 运维审计和管理平台(堡垒机)
  • DAS:数据库安全审计平台
  • LAS:日志审计安全平台
  • AC:上网行为管理系统
  • 伪装欺骗系统(蜜罐、蜜网)
  • SIP:安全态势感知平台
    这个算是让整套系统性能得到提升的灵魂了,定位为客户的安全大脑,是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心,支持主流的安全设备、网络设备、操作系统等多源数据接入,利用大数据、关联分析、告警降噪等技术,实现海量数据的统一挖掘分析
云网络

云网络包括私有云和公有云

  • 云主机安全
  • 云防火墙
  • 云堡垒机
  • 云蜜罐
  • 云 DDOS 防护
  • 等等

异常HTTP请求

列举下在分析 HTTP 请求中可能出现的异常点,好做判断

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值