1、惡意外聯,ip封禁及溯源
準備工作:對惡意ip資訊收集,如fofa、鍾馗之眼、資產繪測等等;
受害者資訊收集,如:開放埠,判斷入侵點;
2、現場調研
網際網路結構,資料流向,核心互動機(是否有伺服器);
日誌審計:windows系統日誌中,wife連線日誌可以確認安全事件發生時間;
是否有態勢感知平臺,判斷外聯時間;再去鎖定作業系統日誌;是否有橫向移動排查;
3、登入路由器
封禁ip策略;或者是防火牆上,雙向上/下行策略;
4、驗證策略
ping惡意ip;
5、溯源事件原因
首先是安全裝置日誌(安全日誌審計)查詢定位到終端發起連線,登入該主機檢視日誌分析;
是否安裝殺軟;
6、應急處置/最佳化加固
封禁ip、惡意域名加入黑名單;
上網行為審計功能;
管理許可權:SSH、snmp、遠端登入關閉;
7、總結建議
- 提升安全意思,弱口令
- 排查所有資產,全盤查殺
- 網路層加強安全防護,如防火牆,開啟防病毒等
- 規範u盤等使用,插入時進行查殺
- 加強安全監測能力,定期安全監測並記錄;