HVV防御演练：从监控告警到反制溯源的实战指南

监控告警环节：
- 保证监控设备的可用性和有效性；
- 做简单识别，并进行上报；
- 除了单纯的设备告警，进行大数据数据分析、聚合统计也是很有用的

- 事件分析环节：
- 识别真实攻击，剔除噪音和干扰；
- 分析攻击手法、入侵手段、提权C2等。

- 事件处置环节：
- 及时隔离止损，防止攻击扩散；
- 根据分析结果，排查影响范围，识别同类攻击。

- 反制溯源环节：溯源攻击者虚拟身份、真实身份加分；反控攻击方主机，加分

知道攻击来源之后，我们依据设备的告警信息结合具体情况来分析攻击行为的类型，比如说告警SQL注入攻击，那我们就去查看一下请求数据包里面是否有单引号，（version、database、information、updataxml）等敏感字符，返回数据包里面是否有SQL语法报错等信息，有的话就可以初步判断该攻击行为是SQL注入攻击（其他漏洞告警就根据其他漏洞告警的特征去分析）

确定这个攻击有深入下去的价值，我们还可以根据攻击特征来分析攻击行为使用了什么技术或者说工具，比如说攻击的频率，数据包的信息等等。比如说在使用AWVS或者APPSCAN、SQLMAP等工具在扫描的时候，很有可能在请求数据包的user-agent里面就有相关的信息。同样结合告警信息和具体情况来判断攻击行为的危害程度，比如说检测到多条攻击成功告警和内对内及内对外攻击告警，这个时候就需要尽快的交给应急组了

根据我们掌握的信息采取相应的处置方式，比如说告警信息是误报，说明设备需要策略优化，不需要处置。告警信息是尝试攻击，暂时对资产没有影响，就需要后续持续关注，攻击成功时能够做到及时上报。如果告警确认不是误报，并且攻击成功时，我们就需要迅速上报及时采取应急响应。

**祖传通用框架**
收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
抑制范围：隔离使受害⾯不继续扩⼤
深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
产出报告：整理并输出完整的安全事件报告