HW流程以及岗位职责

护网分析研判思路

• 1、护网组织架构和责任划分
• 1.1、安全监控
• 1.2、分析研判
• 1.3、应急处置
• 2、分析研判
• 2.1、判断告警真实性
• 2.2、判断影响范围
• 2.3、判断是否与HW相关
• 3、告警流量分析
• 3.1、信息泄露
• 3.2、SQL注入
• 3.3、文件上传
• 3.4、XSS（跨站脚本）
• 3.5、代码执行

1、护网组织架构和责任划分

护网防守队伍整体会分为「监控」、「研判」、「处置」三个部分，不同客户的叫法可能不一样，但职责是相同的。

分组灵活性非常高，有些单位买的人少，不分组，一专多能，就是啥都干；有些单位买的人多，分成十几个组，什么指挥部、后勤部、机动组、应急组、加固组等等，本质上都是监控研判处置这三类细分出来的。

面试护网的时候，会按照初中高级分类，这个不能全信。面试初级，干高级的活，很常见，不要怕干不了，反正出事了挨骂的是项目经理。

1.1、安全监控

第一次护网基本都是做安全监控，通常叫「监控组」，去到以后给你几个流量监测设备的登录账号，就坐着看设备上有没有告警。

有告警了就简单分析下是不是「误报」，不是误报就把ip报给处置组「封禁」。 拿不准的就给研判组「分析」。不分析直接让封IP也行，毕竟有没有分析过，只有你自己知道。 监控的原则是 “宁可错杀一千，也不放过一个” 。封错了大不了用户反馈业务被拦了，处置组给解封就行；但如果打进来了，平台有告警但你没上报，那就是你的问题了。

往年成绩好的单位给护网的优先级通常比较高，比如我在某银行的一次护网，要求零失分，但给我们每个人停掉任何系统一小时的权限；但有的单位就比较重视业务，核心业务被打了也不会轻易下线。

1.2、分析研判

通常叫「分析组」或者「研判组」，判断告警是不是「误报」、是不是「攻击队」打的。

具体操作方式我会在下面的分析研判部分详细讲解。

1.3、应急处置

通常会分成「应急组」和「处置组」。

处置组就是「封IP的」，去到以后给你个防火墙的登录账号，里面有提前建好的HW封IP的策略，有人让你封IP了，就往策略组里加IP。客户通常会提前准备一个白名单，封之前搜一下白名单，别封错了。

应急组就要有一点点技术了，一般会要求有几次护网经验。被打的时候上机排查，没事的时候就坐着。

2、分析研判

正常情况下，这是HW中级工程师的活，初级只做监控，但很多时候监控组也是要研判的。

为什么这么说？因为我就是那个负责分析研判的监控组！

当然，我也不是最惨的，听说今年有个客户，防守队就买了一个人，被人家拿了好几个服务器在内网疯狂扫。客户生气把项目经理喊过去，经理过去人傻了，单听过一专多能，也没见过千手观音啊。

2.1、判断告警真实性

HW发现攻击，主要依赖安全设备的告警，监控组会初步筛掉误报，只有真实攻击才需要处置或应急。但我们前面也说了，监控组为了客（gui）户（bi）安（ze）全（ren），会尽可能的将所有告警都上报，所以判断告警真实性的任务就落到了研判组这里。

（有些客户只分监控、处置、应急，没有单独的研判组，这种情况就得监控组来研判了）

根据「请求」和「返回」的内容来判断，分析请求体里面有没有对应payload，返回的状态码是200还是404，响应的内容跟攻击的内容是否有关联性。

比如一个status2漏洞，请求里有payload，说明是真实攻击；但响应状态码404，说明攻击失败了，封IP就行。 比如一个SQL注入，请求里有完整的SQL语句，说明是真实攻击；响应状态码200、响应SQL语句对应的执行结果，说明攻击成功了，要走应急处置了。 只要确定是「真实」的攻击，就直接「封禁IP」。

为什么？因为他都打你了。直接在源头解决问题，万一他下次就攻击成功了呢。

2.2、判断影响范围

影响评估可以粗暴的分为两种：直接「获取权限」的漏洞和其他漏洞。

护网淘汰的依据不是你挨了多少打，而是你的最高权限有没有被拿到，当服务器权限被三个攻击队拿到时，参与单位会被直接「淘汰」，这也是用户最关注的地方。

webshell、RCE、SQL注入这种能直接获取权限的，肯定严肃处理，重点关注受害地址为攻击源IP的流量告警，判断有没有反连的情况，被拿了权限以后及时发现的话，会加分。

XSS、文件读取这种不能直接获取权限的，关注度就没这么高了，该封的就封，主打一个快速处置。

2.3、判断是否与HW相关

「攻击队」的IP会在墙上单独开一条策略组，临时封，HW结束后统一解封。

但非攻击队要放到平时的策略组里，永久封。所以我们必须区分攻击是不是「攻击队」的。

下面简单介绍几个判断攻击队的方法：

1）国外IP

攻击队为了隐匿自己的攻击痕迹，往往会使用国外的IP，防止被溯源。

2）新IP

攻击队只有在活动期间，拿到授权以后才能渗透。

因此，活动期间才出现的新IP，大概率是攻击队。

3）恶意攻击类型

勒索、挖矿、蠕虫、僵尸网络等破坏性的攻击行为，是活动期间明令禁止的，这类攻击可以排除攻击队的嫌疑。

相反，CS远控、异常域名请求、框架和组件漏洞利用的这种获取权限攻击行为，则要重点关注。

4）攻击时间

晚上的防守力量远低于白天，攻击队通常会在后半夜重点攻击。

5）地址段

同一地址段，短期内对单位中多个资源发起攻击，基本可以确定是红队。

6）第三方情报

厂商每天都会根据威胁情报提供疑似的攻击队IP，比如奇谋信的白泽，HW期间可以跟厂商要来IP表，在墙上统一封禁；有天眼的话可以把IP导入攻击源，分析攻击路径，检查哪些主机被打了，要不要处置。

3、告警流量分析

监控、研判组可以根据以下思路分析告警流量，确认是不是误报。

3.1、信息泄露

访问路径中有特殊文件或路径，并且不是业务触发的，可以判定为真实攻击。比如：

• 访问备份文件.zip

• 访问默认文件

• 访问特殊类型的文件

（客户授权后）访问该路径，如果返回结果包含对应的敏感信息，就判定为攻击成功。

• 3.2、SQL注入 请求参数、请求头或请求体里有完整SQL的，可以判定是真实攻击（前端拼接SQL再传到后端执行等类似业务除外）。

多次请求，SQL不完整只有关键字的，可能是测试攻击。

• GET请求中包含SQL语句（联合查询注入）

• 请求头中包含SQL语句：

• POST请求体中包含SQL语句：

有时会改变SQL关键字的大小写或编码，用来绕过，可以用流量监测工具自带的工具解码。

• 大小写绕过：

• 编码绕过：

（客户授权后）可以复现payload，如果响应了SQL执行结果，就判定为攻击成功。

• 3.3、文件上传 请求体包含代码内容，可以判定为攻击成功。比如：

响应体有 success 等上传成功的字样，或者有该文件的访问记录，就判定为webshell上传成功。

• 3.4、XSS（跨站脚本）

请求参数或请求体包含完整的JavaScript代码，可以判定为真实攻击。比如：

将响应体的数据复制到本地文件中执行，如果弹窗，就判定攻击成功。

多次请求，不包含完整JavaScript代码，但携带不同关键字的，可能是测试攻击。 Ctrl+F 搜常见标签：

• 3.5、代码执行 请求参数、请求头、请求体中包含完整代码，可以判定为真实攻击。比如：

请求体中包含PHP代码

• Dedecms V5.7后台任意代码执行

• Fastjson反序列化漏洞攻击

• ThinkPHP 5.0.x—5.1 远程代码执行

如果响应中包含代码的执行结果，就判定为攻击成功。

HW持续招人

https://wj.qq.com/s2/18171749/8b35/

移动端投递

HW吹水群聊