这份“常见网络攻击类型事件响应速查表”凝聚了笔者多年的安全运维实战经验,旨在为安全团队提供快速识别和有效处置各类网络攻击的实用指南。在当今瞬息万变的网络安全环境中,快速响应和精准处置对减少损失至关重要。这份表格提供了一个标准化的事件响应框架,帮助安全团队有效应对各种攻击。它如同作战地图,清晰地展现了每种攻击类型的特征、处置流程和关键步骤,使安全团队能够迅速进入“战斗”状态。
表格内容涵盖了常见的网络攻击类型,例如暴力破解、僵尸网络、勒索软件、数据窃取、帐户入侵、拒绝服务攻击以及高级持续性威胁 (APT) 等。对于每种攻击类型,表格都详细列出了其定义、特征和相应的威胁指标。这些指标如同攻击者的“指纹”,可以帮助安全团队快速识别攻击类型,例如短时间内的大量登录失败、异常的网络流量、可疑的 IP 地址等。
除了识别攻击,表格还提供了清晰的调查方向,指导安全团队快速定位攻击源头和受影响范围。例如,通过检查 Active Directory 日志、应用程序日志、操作系统日志等,可以追踪暴力破解攻击的痕迹;通过分析网络流量、代理日志等,可以发现数据窃取的蛛丝马迹。更重要的是,表格针对每种攻击类型,都提供了具体的应对措施和处置建议。这些措施涵盖了从初步响应到后续调查的各个环节,例如隔离受感染系统、删除恶意进程、修复漏洞、进行取证分析等,为安全团队提供了清晰的行动指南。
攻击名称 |
攻击描述 |
威胁指标 |
调查方向 |
可能的处置措施 |
暴力破解 |
攻击者尝试猜测密码,使用多个不同的密码反复尝试登录。 |
短时间内多次登录失败 |
AD日志、应用程序日志、操作系统日志、联系用户 |
如果攻击未成功,则禁用/阻止该帐户并进行调查;如果攻击成功,则隔离服务器,删除恶意进程,并修复被利用的漏洞。 |
|
攻击者使用受感染的服务器对目标服务器发动 DDoS 攻击或执行其他恶意活动。 |
连接到可疑 IP、异常的网络流量 |
网络流量、操作系统日志(新进程)、联系服务器所有者/运维团队、联系技术支持团队 |
如果确认,隔离服务器,删除恶意进程,修复漏洞;如果攻击成功,隔离服务器,删除恶意进程,修补利用的漏洞。 |
勒索软件 |
一种恶意软件,它会加密文件,并要求用户支付赎金以解密文件。 |
用户日志中大量的文件操作、杀毒软件警报、连接到可疑 IP |
杀毒软件日志、帐户日志、网络流量 |
请求杀毒软件检查、隔离机器 |
数据窃取 |
攻击者(或恶意内部人员)将数据泄露到外部资源。 |
连接到可疑 IP、异常的云存储服务流量 (例如 Dropbox 云端硬盘) |
网络流量、代理日志 |
如果是恶意内部人员:联系管理者,进行全面的取证调查;如果是外部威胁:将受感染机器与网络隔离。 |
账户入侵 |
攻击者通过社工或其他方法获取帐户访问权限。 |
非工作时间帐户登录、帐户组变更、异常的网络流量 |
AD日志、操作系统日志、网络流量、联系用户以进行解释 |
|
拒绝服务 |
攻击者通过利用漏洞或生成大量流量,导致系统无法正常提供服务。 |
公网服务器的异常高网络流量 |
网络流量、防火墙日志、操作系统日志 |
如果是由于漏洞导致的 DoS:联系补丁团队进行修复;如果是由于网络流量导致的 DoS:联系网络支持或 ISP。 |
APTs |
攻击者获取对系统的访问权限,并创建后门以供进一步利用,通常难以检测。 |
连接到可疑 IP、异常的网络流量、非工作时间访问、操作系统日志(新进程、新连接、异常用户)、新的管理员帐户创建 |
网络流量、访问日志、操作系统日志(新进程、新用户、新连接、异常用户)、联系服务器所有者/技术支持团队 |
如果确认:隔离机器,启动正式的取证流程,启动升级/沟通计划。 |
如果您觉得文章对您有所帮助,还请您关注我!
原文始发于微信公众号(再说安全):七种政企常见攻击类型的事件响应策略(2024)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论