2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

admin 2021年4月9日12:07:38评论134 views字数 1034阅读3分26秒阅读模式

2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

4月9日,天气:多云

正是护网第二天,经历了第一天多条0day漏洞被曝出和某单位被打穿了两台服务器后,我所在入场的甲方赶紧打补丁、加固,所以一切都安好。


给这两天一个总结就是:系统误报太多,交流消耗太大


护网前准备充分的各种工具&技能、应急响应勒索病毒、排查挖矿木马、webshell、网页篡改、数据泄露、流量劫持、Linux排查、Windows排查,结果基本都没有用到,精力时间基本都花在了处理系统误报和内部交流上。


2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

一、系统误报太多

整理一下两天的处置单,一共是68个,其中确定误报的为58个,确定为攻击的为6个,还在继续排查的4个。

先说这58个误报的情况,大致分为4类,

1、业务系统之间的调用请求,设备报警,内网渗透向;

2、业务公司人员上生产系统上的poc测试(直接执行注入和远程读取命令),被系统误报成渗透攻击(这一条应该不算是误报,毕竟有攻击行为,只不过是自己人干的);

3、centos系统自动更新系统文件,设备报警,未经授权的访问外网;

4、业务人员配置中间件,设备报警;


二、交流消耗太大

我所在的现场,根据甲方需求,分为4组:监测组、防守应急组、处置组、溯源反制组

流程如下:

1、监测组监测设备,整理报警信息,提交交处置单给防守应急组 ;

2、防守应急拿到处置单,进行排查,该组没有看机器的权限,只能和处置组建群沟通,根据处置单(期间要不停的去检测组设备上看详细信息),提出处置建议,让处置组来 操作;

3、处置组,主要是甲方的业务人员,因为很多对应急的操作不是很熟悉,而且有些系统他们还需要找系统服务商进行操作,这就增加了沟通的成本;

4、溯源反制组,根据确定的攻击进行溯源和反制,前两天真实攻击较少,这组的兄弟这两天很哈皮,基本没啥事,静等盒饭了


所以一个处置单 ,基本消耗在不停的找人的路上,一个处置单最初只有建群的时候只有3个人,中间遇到不停的问题不停的加人入群,有负责VPN的、系统业务开发公司的、甲方维护的、系统管理的。。。。就这样不停的加,直接一个处置单群,加了20多个人,这个问题最终才解决,最终发现居然是误报,自己人操作、系统的业务正常调用等等


建议:

1、随着护网的进行,要不停的修改报警规则,从源头上减少误报

2、从VPN上排查谁登陆了报警IP是一个高效的方法

3、增加扁平化的沟通交流方式


两天干的有点累,其他的建议欢迎大家补充了


2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

扫描关注“Hacking黑白红

2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题


本文始发于微信公众号(Hacking黑白红):2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月9日12:07:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题https://cn-sec.com/archives/338233.html

发表评论

匿名网友 填写信息