护网中的分析研判岗工作内容
护网中分析研判是属于高级工程师的工作,是攻防演练能否获胜的核心
响应作为遏制攻击、缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步。但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”,攻击研判相当于整个事件响应流程的“军师”,承担分析判断安全事件和决定处置方式的任务。
攻击研判的定义及重要性
网络安全中的攻击研判,可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警,通过结合已有的经验和相关工具,来判断其是否为真实存在的攻击,并根据判断结果做出响应的响应、给出处置建议。
一般来说,对攻击事件的分析研判通常从以下 4 个维度进行:
- 对已发现攻击的来源进行研判;
- 综合分析攻击技术、工具和路径,判断其威胁性大小;
- 攻击意图研判;
- 处置方式判断。
攻击研判可以看作安全防护流程最为关键的一环。它上承安全告警的分析,下接安全处置的实施,是安全防护过程中技术含量最高的一步。
一个企业组织,拥有攻击研判能力是至关重要的。这样在发生告警的时候,它可以做出正确的判断,进而实施有效的措施,使情况恢复控制。攻击研判,同时也是事件响应过程中最具挑战性的环节:确定是否发生了事件,事件影响面有多大,后续如何遏制或根除异常、可疑活动。
攻击研判中的团队角色分类
为了有效地处理网络安全事件,企业组织需要一个专门从事攻击研判的团队。这个团队的任务是当安全告警发出时,按照既定计划对事件及时进行分析和判断。
以下是一个组织内进行全面、协调的攻击研判所需的角色列表。用户可以根据企业组织的规模、结构以及监管和行业要求来定制此列表。例如,一个人可以担任几个角色,或者几个人可以协调分担一个角色的责任
攻击研判团队由专业安全人员组成,每个人在处理事件时都发挥着重要作用。
安全运营中心。
对每个安全警报进行分类、收集证据并确定适当的行动。轮班工作的分析师必须对网络安全威胁有广泛的了解,他们能够访问各种安全平台和工具,例如SIEM 和 EDR 解决方案。这些工具会生大量的警报,安全分析师需要能够理解和解释这些数据。如果事件为高优先级或超出技能范围,则需上报事件管理团队。
研判管理团队。
管理团队向相关人员提供证据、建议和意见,并确定事件的节奏,确定需要完成哪些任务、谁来完成,以及应该在什么时候完成。所有事件流转和通信也都由管理团队完成。
安全专家团队。
他们只参与重要或高优先级的事件。与运营中心的分析师拥有广泛的技能组合不同,专家团队由具有专业技能的个人组成,例如恶意软件分析师和数字取证专家。该团队提供专家技术建议和分析,并由管理团队分配任务。
威胁狩猎团队。
尝试确定事件的根本原因并还原攻击路径,为后续响应工作提供信息。确定对手能够在环境中访问和操作的条件。这些条件将为事件分类和事件后续活动提供信息,以调整网络和系统,使其实现更好的安全防护功能
分析研判的 6 个步骤
攻击研判属于安全事件响应的一部分,为了更好地了解攻击研判在整个事件响应过程中的作用,我们可以把列出包括攻击研判在内的事件响应全流程,其中蓝色部分属于攻击研判的流程部分。
在攻防实战中,根据告警发生后防守方的响应流程,我们可以把攻击研判服务,划分为以下6 个步骤:
攻击告警真实性研判
在接到告警研判服务请求后,安全专家通过内置的研判溯源模型并结合实际环境,快速分析告警主机的进程和操作审计事件,确认告警的真假以及攻击者还做了其他哪些操作,明确告警主机是不是已被入侵,安全专家进行系统性的梳理并给出详细的研判分析报告
对在系统发出警报后好做出响应的处置以前,需要对警报进行确认,是误报,还是真的有告警事件发生?如果告警是真实的,那么攻击者是正在试图入侵的过程中,还是已经成功入侵?只有确认告警事件为攻击者已经成功入侵后,才会启动响应处置。
告警研判的结果和对应措施也可以用下表直观地展示出来:对在系统发出警报后好做出响应的处置以前,需要对警报进行确认,是误报,还是真的有告警事件发生?如果告警是真实的,那么攻击者是正在试图入侵的过程中,还是已经成功入侵?只有确认告警事件为攻击者已经成功入侵后,才会启动响应处置。
攻击事件调查
一旦确定了告警的真实性,安全专家要通过主机、流量侧的日志以及系统告警等信息,对攻击事件进行调查。并根据攻击行为特征建立一套通用的方法论,生成《XXX 事件调查报告》。用户可以根据这套方法论在自己的安全设备中添加检测规则,以便在下次面对相同攻击的时候快速做出响应。
在这个过程中,请参阅以下关键问题以全面了解攻击事件:
- 最初的攻击媒介是什么?(即,攻击方如何获得对网络的初始访问权限?)
- 攻击方如何访问环境? 攻击方是否利用漏洞来获得访问权或特权?
- 攻击方如何维持指挥和控制? 攻击方在网络或设备上是否有持久性?
- 持久性的方法是什么(例如,恶意软件后门、webshell、合法凭证、远程工具等)
- 哪些账户已被盗用,这些账户是什么权限级别(例如,域管理员、本地管理员、用户账户等)?
- 使用什么方法进行侦察?
- 是否发生横向移动?如何进行横向移动(例如,RDP、网络共享、恶意软件等)?
- 数据是否被泄露,如果有,是什么类型的,通过什么机制?
失陷范围排查
安全事件发生时,对于横向移动主机,安全专家首先会根据现有信息找出一台确认失陷的主机,然后以这台失陷主机的数据以及它的互联关系为线索,在用户系统中展开内网溯源,确认是否存在被横向渗透的主机,并循环此过程逐步找出所有失陷主机,确认攻击影响面及具体的失陷范围。
攻击过程还原
攻击溯源是事件响应的关键,也是安全能力提升的关键。通过对被攻击资产的分析与溯源,还原攻击路径与攻击手法,用户不仅能够有效提升攻防演练效果,还可增强常态化安全防御能力,将攻击事件转换为防御势能,避免二次攻击事件的发生
防守方成果报告整理
在攻防演练中,防守方在完成攻击确认到调查、还原的整个流程之后,需要整理出一份防守报告,阐述攻击的真实性、攻击的覆盖范围、攻击者的攻击路径及行为。并将报告提交给组织方,即可得分。
攻击清除处置建议
最后,根据对攻击者所用技术和攻击路径的反向梳理结果,安全团队要综合分析对方的攻击动机和意图,以及用户自身的防护水平及目的,给出合理的处置建议
护网中的分析研判岗工作内容相关推荐
- 护网中的分析研判岗有多重要
护网中分析研判是属于高级工程师的工作,是攻防演练能否获胜的核心 响应作为遏制攻击.缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步.但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过 ...
- 切片分析报告格式_疫情舆情分析研判报告怎么撰写?2020舆情报告格式
疫情舆情分析研判报告撰写不像疫情舆情信息监测与搜集工作那么容易,它需要从数据出发,以内容为支撑,要先对疫情舆情信息进行整理汇总,再处理.分析和研判.因此,报告撰写难度大,毕竟它是整个舆情分析研判最终 ...
- 2020年下半年教育热点事件舆情分析研判报告整合
回顾2020年下半年教育舆情网络热点话题及事件,可以发现其中在网上引发舆论争议性的事件没少发生.那么到底2020年下半年都有哪些教育舆情网络热点话题及事件呢? 2020年下半年教育热点事件舆情分析研 ...
- 网络舆情监测与分析研判工作如何高效做好的解决方案
面对互联网上易发高发的舆情突发事件,处理不及时,就会形成社会舆论热点.问题是网络信息又是实时无休止的传播扩散,若无法做到及时监测,尽早分析研判舆情,就谈不上及时主动处理.因此,做好网上舆情监测研判工作 ...
- 网络舆情怎么分析研判的方案
面对互联网上易发高发的舆情突发事件,处理不及时,就会形成社会舆论热点.问题是网络信息又是7*24小时无休止的传播扩散,若无法做到及时监测,尽早分析研判舆情,就谈不上及时主动处理.因此,做好网上舆情监测 ...
- Goby在护网中的应用
1.Goby介绍 一个资产测绘工具,帮助企业解决资产测绘问题. 2.使用目的 2.1 提升攻击面检测效率 首先工具的目的一定是降本增效,那么Goby图形化比命令行会有不少的效率提升,因为减少了记忆命令 ...
- 中国人民银行支行招聘计算机,2020年中国人民银行石家庄分行招聘计算机岗工作内容是什么...
2020年中国人民银行石家庄分行招聘计算机岗工作内容是什么,更多关于2020,人行,计算机,石家庄分行,金融招聘银行答疑的内容,请关注河北金融招聘考试网/河北人事考试网! 2020年河北河北银行/农信 ...
- 聊聊护网中常见钓鱼攻击思路
每日一句:HW中,红队.蓝队都会很累.没有说哪个会更强一些,毕竟道高一尺魔高一丈. 一.网络钓鱼 01.一些简介~钓鱼属于社会工程学~在18年的红蓝对抗还不怎么常见,~在19年的时候就比较泛滥了02. ...
- 初入门径 --- 护网钓鱼样本分析
最近半个月都在学<恶意代码分析实战>,想拿真实的恶意软件进行分析一下.正好朋友发了一个过来.(应该是护网的钓鱼文件) 0x01 文件分析 总共包括三个文件:2021年机关员工(子女)名单. ...
最新文章
- git ,报403错误,完美解决方案
- GDCM:gdcm::ImageChangePlanarConfiguration的测试程序
- 现代偏微分方程第1章预备知识复习题
- (四)怎么优化 where 子句
- window10进入“服务”的三种方式
- linux系统ip6tables怎么配置,ip6tables 基本配置
- google gflags 库完全使用
- 2020阿里巴巴实习笔试题一
- PyTorch 音频处理教程
- Pytorch 深度学习入门与实践 第二章 pytorch快速入门 (1)
- agx上搭建ros2
- 私域运营第五讲:实体店私域流量拉新实体餐饮店如何通过搭建私域流量实现营收增长
- 嵌入式系统测试平台——ETest
- SonarQube安装以及结合idea使用详细步骤
- 浅析供应链金融业务发展态势及提升路径
- Android elevation设置大揭秘
- matlab 生成网格,matlab生成网格
- 固定td宽度令其不随内容改变以及固定tr的高度
- 库卡工业机器人负载曲线图_KUKA/库卡工业机器人 KR6 R700 负载6KG 机械臂 臂展7.067M...
- bolt数据库简单使用教程