HW2021攻防演练经历碎碎念-见解

HW2021攻防演练经历碎碎念

防御思路梳理

整个HW中，大家的处理流程应该都差不多吧，第一次参与大型攻防演练，简单梳理一下思路备忘：

监控告警-----事件分析-----事件处置------溯源反制

监控告警环节：1、保证监控设备的可用性和有效性；2、做简单识别，并进行上报；3、除了单纯的设备告警，进行大数据数据分析、聚合统计也是很有用的

事件分析环节：1、识别真实攻击，剔除噪音和干扰；2、分析攻击手法、入侵手段、提权C2等。

事件处置环节：1、及时隔离止损，防止攻击扩散；2、根据分析结果，排查影响范围，识别同类攻击。

反制溯源环节：1、打击黑产菠菜等，得分为主；2、溯源攻击者，防守得分。

1、事件分析思路

事件分析就是要弄清楚：谁做了什么事？这个事是正常行为还是攻击行为？攻击是否成功？

1、基本信息：一般事件最先拿到的就是四元组（ 源IP地址、目的IP地址、源端口、目的端口）或其中部分信息。即使是其他类型的事件或告警，一般也需要拿到相应信息。

2、分清敌我：从主机层、网络层信息定位到相关人员信息。内网的攻击IP，直接找对应用户或者对应的业务负责人；外网的攻击IP，要确认是否业务关联IP、合作方IP、公司出口IP等。

3、理清事件：如果源头IP能联系到对应人员，直接进行沟通询问，是快速理清事件的方式。如果联系不到人，又是我方可控资产，直接进行快速隔离，上机排查处置。

3、攻击确认：在确认是外部攻击行为后，需要确定攻击是否有效。如果是大量扫描等行为，封禁即可；如果尝试高危漏洞利用，在需要确定对应业务系统是否存在相应漏洞，判断漏洞是否攻击成功。

4、移交处置：确认是有效攻击后，需要对相关来源设备（来自内部的攻击需要，比如中毒机器）或目标设备执行上机应急处置流程。杀毒、网络隔离、日志分析、网络流量分析等等。

2、入侵处置思路

当怀疑某个主机被入侵了，从哪些方面进行排查呢？我想是：【文件--->进程--->内存---流量】的核心思路，前两者都可能被攻击者