安全服务的一些思考

总结一些安服遇到的问题及思考

（一）安全服务小组的主要工作

（1）应急响应和取证溯源。
（2）对客户中出现的网络威胁进行分析和处置。
（3）配合公司自有产品发现威胁和解决网络安全问题。
（4）关注重大威胁事件，跟踪并能及时将解决方案同步到客户侧。

（二）安全服务小组在现实中的任务

1）网络安保 ：在国家重大活动中提供的安保服务，分两种；
由公安部牵头，支撑单位配合的无偿安保任务。在活动期间派驻一名工程师7*24小时驻守，不需要主动接管安保单位的网络安全。发生安全事件，而安保单位自己的安全团队不能解决时，我方需介入并上报CNCERT；
另一种为甲方购买了重大活动安保服务。我方将按合同派1到2名工程师到现场值守，需要主动利用网络安全设备来发现问题，解决问题。

2）会议交流：为宣传文化或由主管部门组织的行业专题交流。

3）应急响应：客户网络遭受***，派工程师前往阻止网络***，恢复系统正常运行，完成后期加固溯源。

4）项目支撑：支持其他部门项目，主要为销售、售前、售后、研发。

5）威胁分析：样本、流量，安全日志等分析工作。

6）产品巡检：按合同，依据公司产品提供安全检查服务，完成巡检报告，配合客户处理威胁。

7）培训项目：主要为恶意代码分析方向、安全意识、***、加固等培训。

8）技术研究：个人技术提升或项目技术研究。

9）研发项目：平台搭建，工具编写等研发。

10）其他项目： 不在以上9类的。

（三）按照任务和规划要求小组具备以下能力

（1）样本分析能力，主要是快速鉴别的能力。
（2）网络流量分析能力
（3）综合***场景认知能力
（4）网络安全设备日志分析能力
（5）客户有效沟通能力。
（6）重大项目交付能力
（7）态势感知平台化服务能力

以下是面对各任务下的思考

（一）应急响应思考（描述问题比解决问题重要）

1、负责人接听客户应急电话，询问情况，初步判定事态，组建应急团队。      询问的问题包括：      发现问题的现象是什么样的？      出现问题的时间？      做了什么处理？      是否影响业务、能否断网？      问题机器是什么系统？      能否远程？ 远程指导客户意见：不影响业务的情况下断网，启用备份；不影响业务情况下，安装杀毒软件全盘查杀；保留现场，等待工程师取证。

2 、现场
要求管理员陪同全程参与、以将业务恢复正常为主要目的、充分了解网络架构完 成溯源和加固。

目前在实施过程中较为突出的问题有：安服人员对linux服务器应急经验薄弱、网络设备日志没有重点。

（二）样本分析思考
1、查看md5值，将ms5值或文件名在威胁情报平台检索或google。
2、动态监控，查看文件行为，网络行为。将监控到的文件路径、注册表、网络地址等在威胁平台关联。
3、脱壳后，静态查看字符串，在威胁平台关联字符串。
4、调试分析。
注意关键点的截图。

目前问题：漏洞利用类样本分析难度较大，感染式病毒修复、批量样本分析，勒索解密。

（三）基于公司安全产品的巡检工作思考

了解客户的关注点，有些客户关注威胁，有些希望大事化小。

客户关注重点及有价值的威胁：

（1）监管部门事件通报。
（2）网页篡改
（3）服务器故障
（4）数据泄露

甲方可能面临的高级威胁场景：
（1）个人U盘带到内网的高级***。
（2）以员工个人PC作为跳板的横向***。
（3）员工点击网络链接，利用浏览器0day的***。
（4）员工邮件附件文档或可执行程序的***。
（5）员工账号信息获取转入下一环节的***。
（6）服务器弱口令用户账户爆破***。
（7）服务器组件0day漏洞利用***。

某些高级威胁场景现象：

（1）深夜时段连接通信。
（2）服务器主动外联IP。
（3）文件传输量大，数据包大，引发的威胁场景。
（4）ddos拒绝服务***。
（5）主动防御拦截的威胁
（6）沙箱前置检出的未知威胁的威胁场景。

（四）小组其它规划

（1）在遇到疑难安全事件，无法判定时，组织其它安全小组一起参与威胁研判，这一环节可以理解为：专家会诊  （2）召开安全例会，每周一次，或每日早晨开始，对工作进行安排，对自己处置的威胁在会议中通报审核。（3）案例分享，面对较为重要的事件，比如新出现的一些***手法，做报告分享。（五）企业应该做的  （1）做好邮件防护    （2）做好U盘防护（3）安装最新漏洞补丁    （4）终端杀毒，主动防御