2017年6月正值《中华人民共和国网络安全法》正式开始实施时期,在某单位部署的启明星辰泰合安全管理平台(TSOC-USM)上出现大量针对某WEB网站的网攻击事件,泰合北斗服务团队及时协助用户运维人员对攻击事件进行了响应,并对被攻击的网站及其他业务系统进行了全面的安全检测,及时消除安全隐患,为用户信息系统的持续稳定安全运行保驾护航。
背景简介
泰合安全管理平台的核心功能是收集用户网络环境中不同厂商和不同品牌的设备(资产)上产生的日志,对日志进行范式化处理,并对范式化后的事件进行自动化、智能化的事件关联分析,帮助用户发现真正的安全事件,协助运维人员对安全事件进行处置。
在该单位部署的泰合安全管理平台上,收集了用户网络环境中重要WEB服务器、核心网络设备、安全设备等800多台设备的日志。
基于安全管理平台的安全事件监测和处理过程如下:
事件精细化解析
进行全量日志采集,然后采用泰合安全管理平台专有的数据ETL处理技术,进行原始日志的提取、清洗、标准化和标签化处理。
关联分析场景建模
在安全管理平台的运维阶段,泰合北斗服务人员根据用户业务环境,部署了攻击检测、违规行为、操作系统、用户定义(网站)等方面的30多个安全威胁分析检测场景。
生成告警与追溯
范式化后的事件流在安全管理平台中进行实时分析,事件条件匹配规则条件,就会触发对应的告警。告警包括告警名称、告警等级及告警的详细描述等关键信息。
告警事件发现
2017年6月22日下午,该单位现场运维人员在对安全管理平台进行日常巡检过程中发现,安全管理平台上有大量告警,其中有10多条“L2_ADS_综合网络攻击”,攻击的目标是某个重要的WEB网站,告警信息如下图所示:
泰合北斗服务团队接到用户的应急响应请求后,立即安排服务人员在第一时间对安全管理平台上对告警进行了分析和处理,“L2_ADS_综合网络攻击”告警主要是攻击者针对某WEB网站进行的多方面的攻击引发的,攻击手段包括HTTP_SQL注入攻击,HTTP_Struts2相关远程命令执行攻击和HTTP_XSS脚本注入攻击等。
告警事件的真实性验证
根据安全管理平台上告警信息,及追溯后的攻击事件,暂不能确认攻击能否成功,需要人工对攻击事件进行验证。泰合北斗服务人员在征得用户安全管理员许可后,对WEB网站和服务器进行全面的安全检测,并对检测出来的漏洞是否存在被攻击者利用的可能性进行了验证。
针对WEB网站跨站脚本漏洞进行验证,验证过程如下:在密码找回的页面输入跨站测试代码,并提交。测试代码为e'"()&%
提交后根据浏览器反馈信息,确认该处存在跨站脚本漏洞。
针对WEB网站的SQL注入漏洞进行验证,利用Sqlmap工具进行测试,确认利用该sql注入漏洞可以获取到数据库的全部数据。
■经过检测该网站未采用Apache_Struts2的开发架构,针对WEB网站的struts2远程命令执行漏洞利用均不能成功。
■ 针对主机进行全面的安全扫描,未发现病毒、木马后门及相关恶意软件。
通过上述验证过程,泰合北斗服务人员确认了安全管理平台上告警的真实可靠性,攻击者完全有可能利用XSS脚本注入漏洞和SQL注入漏洞获取学生相关信息。
告警的响应与处置
安全管理平台上产生的告警,可通过工单模块将告警的等级和告警描述中受影响资产信息等信息生成工单,指派给对应的资产负责人进行处理。
完成派单后,系统会给工单处理人发送邮件和短信提醒。工单处理人根据工单信息进行安全事件的处置。
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号