必须要知道的9大网络安全常识!【微步课堂】
时间:2023-05-15 06:27:02 | 来源:网站运营
时间:2023-05-15 06:27:02 来源:网站运营
必须要知道的9大网络安全常识!【微步课堂】:
1.问:内存马怎么检测、清除?答:常规的内存马,如冰蝎,可以使用河马WebShell查杀工具;Java内存马检测serlet,可以专门针对内存来检测。
2.问:Linux网络链接隐藏和进程隐藏有没有什么好的排查和清除方法?Linux下如果实现进程和网络隐藏的话主要是利用Rootkit,这种目前在业内也是一个挑战,同时很多的黑灰产都在将Rootkit在实战中使用,针对Rootkit的话,通过IOC能关联到家族或使用的具体Rootkit再去针对性的排查效果好一些。不过,目前来看,Rootkit检测这一块还是个挑战。
3.问:横移的流量怎么能更好地检测出来?答:必须具备基础的流量检测手段(如流量镜像、EDR、蜜罐等);主要还是针对其行为来检测的,通过端、流量、情报等方面。
4.问:企业内部的东西向流量很难被完全检测,在关注东西向流量的时候,怎么设置这个镜像点的?还是只关注出口的南北向流量?答:东西向流量一方面可以通过部署流量镜像产品来检测,但是可能无法做到全面;同时也可在服务器或主机上部署EDR(可了解微步OneEDR)来进行攻击的检测,同时,蜜罐这种也得到越来越多用户的认可与部署。
5.问:我们在流量侧看到服务器有很多的请求解析恶意域名的记录,但是去到服务器底层查看却没找到任何异常,这个可以怎么排查?答:一方面可能和情报的质量有一定的关系,另一方面可能相关主机只是被感染了一个Downloader或存在漏洞,其要下载恶意文件落地才有后续的行为,这个时候我们看到的只是DNS请求,需要定位发起这个DNS请求的具体进程和文件,然后再来分析。
6.问:发现攻击队打进来了,有没有快速筛选出当前内网有哪些失陷主机的方法?答:主机被攻击者攻入以后,可以基于流量(攻击的payload)、终端(有无恶意的文件、扫描行为、横向行为)以及情报来综合研判。
7.问:黑客攻击的跳板主机相关日志被删除后,溯源一般依托什么手段来做呢?态势感知?答:日志被清除再去溯源的话,如果有网络检测类产品可以利用其来检测,如无的话可以关联用户服务器的开放端口、指纹来关联漏洞,同时可以利用渗透的方式来分析攻击者的入侵方式。
8.问:态势感知平台经常会报挖矿的告警信息,但去服务器查看却只是一些病毒告警,怎么样能判别是否是真实的挖矿呢?答:挖矿这个主要是服务器连接矿池,前期可能就是一个下载器的DNS通信,还有可能就是服务器存在漏洞被攻击者利用来进行挖矿行为,所以定位具体的进程和方式是前提。
9.问:zip后缀的文件打开也有可能被上线吗?溯源报告一定要找到攻击人身份才算得分吗?答:很多解压器是存在漏洞的,如CVE-2018-20250,可以被利用来上线。按照前期的溯源评判标准来看是需要关联到攻击队,并且攻击队真实有攻击行为才算得分的。
关于网络安全常识,你还想了解哪些?欢迎评论区进行留言交流,微步在线定会知无不言言无不尽!
在线咨询
