HVV防御演练：从监控告警到反制溯源的实战指南

我们知道hvv面试招聘的岗位有监控岗、研判岗、应急和溯源岗位等，它们也分为初级、中级、高级岗位。一般根据客户的需求，分为3组监测组、处置组、应急保障和溯源反制组。

0****1

监测组

监测组，也就是我们说的初级，主要监测设备，监控判断不出来告警，交给研判，若确认未成功的真实攻击，提交ip和告警截图给处置组封禁ip，若需要应急，需提交给处置单（具体是看驻点的安排）给应急人员；

0****2

处置组

处置组，也就是我们说的中级，处理监测猴子处理不了的告警，高级大佬不在的时候干大佬的活，包括但不限于封禁IP，攻击画像还原，上机排查，应急响应和溯源反制

0****3

 应急保障和溯源反制组

应急保障和溯源反制组，仰望高级大佬（我也要成为黑客高手），应急拿到处置单，先和处置组建群沟通，根据处置单，提出处置建议，让处置组操作或者客户授权后操作；溯源根据提供的攻击ip和钓鱼邮件或者恶意文件样本进行溯源和反制
![](img/Pasted%20image%2

04

防御思路梳理

    整个HW中，大家的处理流程应该都差不多吧，给第一次参与大型攻防演练的师傅，简单梳理一下思路备忘：监控告警----->事件分析----->事件处置------>溯源反制

监控告警环节：
    - 保证监控设备的可用性和有效性；
    - 做简单识别，并进行上报；
    - 除了单纯的设备告警，进行大数据数据分析、聚合统计也是很有用的

- 事件分析环节：
    - 识别真实攻击，剔除噪音和干扰；
    - 分析攻击手法、入侵手段、提权C2等。

- 事件处置环节：
    - 及时隔离止损，防止攻击扩散；
    - 根据分析结果，排查影响范围，识别同类攻击。

- 反制溯源环节：溯源攻击者虚拟身份、真实身份加分；反控攻击方主机，加分

05

事件分析思路

    事件分析就是要弄清楚：谁做了什么事？这个事是正常行为还是攻击行为？攻击是否成功？首先对攻击的来源进行判断，是内对内，外对内还是内对外的情况，从我们拿到的四元组（ 源IP地址、目的IP地址、源端口、目的端口）去分析。从主机层、网络层信息定位到相关人员信息。内网的攻击IP，直接找对应用户或者对应的业务负责人；外网的攻击IP，要确认是否业务关联IP、合作方IP、公司出口IP等。
    
        

知道攻击来源之后，我们依据设备的告警信息结合具体情况来分析攻击行为的类型，比如说告警SQL注入攻击，那我们就去查看一下请求数据包里面是否有单引号，（version、database、information、updataxml）等敏感字符，返回数据包里面是否有SQL语法报错等信息，有的话就可以初步判断该攻击行为是SQL注入攻击（其他漏洞告警就根据其他漏洞告警的特征去分析）
    
    确定这个攻击有深入下去的价值，我们还可以根据攻击特征来分析攻击行为使用了什么技术或者说工具，比如说攻击的频率，数据包的信息等等。比如说在使用AWVS或者APPSCAN、SQLMAP等工具在扫描的时候，很有可能在请求数据包的user-agent里面就有相关的信息。同样结合告警信息和具体情况来判断攻击行为的危害程度，比如说检测到多条攻击成功告警和内对内及内对外攻击告警，这个时候就需要尽快的交给应急组了
    
    根据我们掌握的信息采取相应的处置方式，比如说告警信息是误报，说明设备需要策略优化，不需要处置。告警信息是尝试攻击，暂时对资产没有影响，就需要后续持续关注，攻击成功时能够做到及时上报。如果告警确认不是误报，并且攻击成功时，我们就需要迅速上报及时采取应急响应。

06

处置（应急响应）的思路

    攻击为真实攻击，但未成功，且外对内，封IP！如果IP有溯源价值的，那就是别的步骤了。攻击成功了，但没有进入到主机层，还在web，漏洞复测，讨论处置方案，比如说系统联动阻断（上WAF），系统下线，防止危害扩大。还有一个我们在做应急处置的时候，要注重一个时效性，比如说一些病毒木马清除，有企业版自动化软件最好，无的话，客户允许的情况下，使用确保干净无毒的工具进行清除（别把鬼子带进村了）等等，思路还有很多篇幅有限

**祖传通用框架**
收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
抑制范围：隔离使受害⾯不继续扩⼤
深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
产出报告：整理并输出完整的安全事件报告

注：本文内容均来源于网络，如有侵权请联系删除

END