“黑了xx服务器的人,就是你吧”
六月一个周末的早晨,我们收到来自某企业的一个应急响应求助。于是赶紧到达现场,上机查看详细威胁情况,我们发现告警是一条IP为*****99.49的攻击成功。
微步威胁感知平台TDP智能聚合功能示例
-
这个IP的攻击者都是白天访问为主,晚上进行攻击。 -
这个IP虽然攻击了很多次很多站点,但第一次访问的就是这个xx系统。 -
这个IP从情报上显示,是一个VPS主机。 -
这个IP不仅攻击成功了,还下载了75个文件。 -
这个IP是独立攻击者,没有团伙。 -
从攻击选择工具和手法来看,并不像是个高手,更像是一个初学者。
盯着智能聚合的页面,几个问题很自然地浮现在我们脑海中:
1、为什么白天不攻击,而只在晚上才发起攻击?
2、愿意花钱购买VPS做攻击的人有什么共同之处?
3、什么样的人会对那个系统的那些文件感兴趣?
4、面对这个企业,都是黑产为主,为什么对方没有团伙?
5、初学者?
基于设备展示的攻击过程,以及多方信息的研判,我们锁定了攻击者的真实身份为该企业内部人员,并找到了正坐在工位上的某员工。
而从接到告警到最终确认攻击者身份的整个过程,我们的实际使用的时间只有4个小时。之所以能快速拼出攻击者身份信息,最关键的其实在于我们以攻击者视角、快速还原了攻击情况。
你可能不信,但微步TDP智能聚合真能帮你
微步TDP智能聚合功能,从攻击者视角出发,为企业安全分析师提供了一个更快、更全面、更准确的威胁分析手段:
告警不应该成为威胁发现的唯一指标,更关键的还有事件。针对攻击者在达到攻击目的前,尝试的不同攻击点,不同攻击手段,传统检测设备一般以单条、独立告警事件进行展示,威胁分析效率较低。TDP以事件为展现单位,从攻击者视角出发,能够对攻击者发起不同攻击,以时间为坐标轴进行关联、归纳与汇总,并及时给出告警。所以分析师看到的,是攻击者在何时,以何种方攻击方式,对内网哪些资产进行了攻击,造成了哪些破坏,从而进行快速排查。
微步威胁感知平台TDP智能聚合攻击功能示例
↓↓↓
哦原文始发于微信公众号(微步在线):“顺着一个攻击IP,4小时后我们站在了攻击者的工位前”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论