2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

  • A+
所属分类:安全闲碎

2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

4月9日,天气:多云

正是护网第二天,经历了第一天多条0day漏洞被曝出和某单位被打穿了两台服务器后,我所在入场的甲方赶紧打补丁、加固,所以一切都安好。


给这两天一个总结就是:系统误报太多,交流消耗太大


护网前准备充分的各种工具&技能、应急响应勒索病毒、排查挖矿木马、webshell、网页篡改、数据泄露、流量劫持、Linux排查、Windows排查,结果基本都没有用到,精力时间基本都花在了处理系统误报和内部交流上。


2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

一、系统误报太多

整理一下两天的处置单,一共是68个,其中确定误报的为58个,确定为攻击的为6个,还在继续排查的4个。

先说这58个误报的情况,大致分为4类,

1、业务系统之间的调用请求,设备报警,内网渗透向;

2、业务公司人员上生产系统上的poc测试(直接执行注入和远程读取命令),被系统误报成渗透攻击(这一条应该不算是误报,毕竟有攻击行为,只不过是自己人干的);

3、centos系统自动更新系统文件,设备报警,未经授权的访问外网;

4、业务人员配置中间件,设备报警;


二、交流消耗太大

我所在的现场,根据甲方需求,分为4组:监测组、防守应急组、处置组、溯源反制组

流程如下:

1、监测组监测设备,整理报警信息,提交交处置单给防守应急组 ;

2、防守应急拿到处置单,进行排查,该组没有看机器的权限,只能和处置组建群沟通,根据处置单(期间要不停的去检测组设备上看详细信息),提出处置建议,让处置组来 操作;

3、处置组,主要是甲方的业务人员,因为很多对应急的操作不是很熟悉,而且有些系统他们还需要找系统服务商进行操作,这就增加了沟通的成本;

4、溯源反制组,根据确定的攻击进行溯源和反制,前两天真实攻击较少,这组的兄弟这两天很哈皮,基本没啥事,静等盒饭了


所以一个处置单 ,基本消耗在不停的找人的路上,一个处置单最初只有建群的时候只有3个人,中间遇到不停的问题不停的加人入群,有负责VPN的、系统业务开发公司的、甲方维护的、系统管理的。。。。就这样不停的加,直接一个处置单群,加了20多个人,这个问题最终才解决,最终发现居然是误报,自己人操作、系统的业务正常调用等等


建议:

1、随着护网的进行,要不停的修改报警规则,从源头上减少误报

2、从VPN上排查谁登陆了报警IP是一个高效的方法

3、增加扁平化的沟通交流方式


两天干的有点累,其他的建议欢迎大家补充了


2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

扫描关注“Hacking黑白红

2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题


本文始发于微信公众号(Hacking黑白红):2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: