安全服務的一些思考

總結一些安服遇到的問題及思考

（一）安全服務小組的主要工作

（1）應急響應和取證溯源。
（2）對客戶中出現的網絡威脅進行分析和處置。
（3）配合公司自有產品發現威脅和解決網絡安全問題。
（4）關注重大威脅事件，跟蹤并能及時將解決方案同步到客戶側。

（二）安全服務小組在現實中的任務

1）網絡安保 ：在國家重大活動中提供的安保服務，分兩種；
由公安部牽頭，支撐單位配合的無償安保任務。在活動期間派駐一名工程師7*24小時駐守，不需要主動接管安保單位的網絡安全。發生安全事件，而安保單位自己的安全團隊不能解決時，我方需介入并上報CNCERT；
另一種為甲方購買了重大活動安保服務。我方將按合同派1到2名工程師到現場值守，需要主動利用網絡安全設備來發現問題，解決問題。

2）會議交流：為宣傳文化或由主管部門組織的行業專題交流。

3）應急響應：客戶網絡遭受***，派工程師前往阻止網絡***，恢復系統正常運行，完成后期加固溯源。

4）項目支撐：支持其他部門項目，主要為銷售、售前、售后、研發。

5）威脅分析：樣本、流量，安全日志等分析工作。

6）產品巡檢：按合同，依據公司產品提供安全檢查服務，完成巡檢報告，配合客戶處理威脅。

7）培訓項目：主要為惡意代碼分析方向、安全意識、***、加固等培訓。

8）技術研究：個人技術提升或項目技術研究。

9）研發項目：平臺搭建，工具編寫等研發。

10）其他項目： 不在以上9類的。

（三）按照任務和規劃要求小組具備以下能力

（1）樣本分析能力，主要是快速鑒別的能力。
（2）網絡流量分析能力
（3）綜合***場景認知能力
（4）網絡安全設備日志分析能力
（5）客戶有效溝通能力。
（6）重大項目交付能力
（7）態勢感知平臺化服務能力

以下是面對各任務下的思考

（一）應急響應思考（描述問題比解決問題重要）

1、負責人接聽客戶應急電話，詢問情況，初步判定事態，組建應急團隊。
      詢問的問題包括：
      發現問題的現象是什么樣的？
      出現問題的時間？
      做了什么處理？
      是否影響業務、能否斷網？
      問題機器是什么系統？
      能否遠程？
 遠程指導客戶意見：不影響業務的情況下斷網，啟用備份；不影響業務情況下，安裝殺毒軟件全盤查殺；保留現場，等待工程師取證。

2 、現場
要求管理員陪同全程參與、以將業務恢復正常為主要目的、充分了解網絡架構完 成溯源和加固。

目前在實施過程中較為突出的問題有：安服人員對linux服務器應急經驗薄弱、網絡設備日志沒有重點。

（二）樣本分析思考
1、查看md5值，將ms5值或文件名在威脅情報平臺檢索或google。
2、動態監控，查看文件行為，網絡行為。將監控到的文件路徑、注冊表、網絡地址等在威脅平臺關聯。
3、脫殼后，靜態查看字符串，在威脅平臺關聯字符串。
4、調試分析。
注意關鍵點的截圖。

目前問題：漏洞利用類樣本分析難度較大，感染式病毒修復、批量樣本分析，勒索解密。

（三）基于公司安全產品的巡檢工作思考

了解客戶的關注點，有些客戶關注威脅，有些希望大事化小。

客戶關注重點及有價值的威脅：

（1）監管部門事件通報。
（2）網頁篡改
（3）服務器故障
（4）數據泄露

甲方可能面臨的高級威脅場景：
（1）個人U盤帶到內網的高級***。
（2）以員工個人PC作為跳板的橫向***。
（3）員工點擊網絡鏈接，利用瀏覽器0day的***。
（4）員工郵件附件文檔或可執行程序的***。
（5）員工賬號信息獲取轉入下一環節的***。
（6）服務器弱口令用戶賬戶爆破***。
（7）服務器組件0day漏洞利用***。

某些高級威脅場景現象：

（1）深夜時段連接通信。
（2）服務器主動外聯IP。
（3）文件傳輸量大，數據包大，引發的威脅場景。
（4）ddos拒絕服務***。
（5）主動防御攔截的威脅
（6）沙箱前置檢出的未知威脅的威脅場景。

（四）小組其它規劃

（1）在遇到疑難安全事件，無法判定時，組織其它安全小組一起參與威脅研判，這一環節可以理解為：專家會診  
（2）召開安全例會，每周一次，或每日早晨開始，對工作進行安排，對自己處置的威脅在會議中通報審核。
（3）案例分享，面對較為重要的事件，比如新出現的一些***手法，做報告分享。

（五）企業應該做的

  （1）做好郵件防護
    （2）做好U盤防護
（3）安裝最新漏洞補丁
    （4）終端殺毒，主動防御