【每日一记11】AF日常安全运维——常见安全问题分析

每天坚持打卡学习签到！！

这里分享一点复习SCSP时的一些个人笔记，也便于个人工作时对AF的安全运维以及问题处理

内容偏复习重点哈

=============

安全运营中心

1.安全运营中心自动每小时就会进行对客户网络状况的评估：
共分为
风险评估——动态保护——监测与分析——待办事件



2.安全运营中心主要关注“待办事件”即可
“待办事件”包括业务和用户策略防护风险，威胁情报预警与处置等
有如下常见风险事件
  2.1业务入侵风险——紧急事件！
        解决方法：①、举证——查看源代码，清除被篡改内容；检查后门防止入侵
                         ②、检测是否配置安全策略，确保有效防护

  2.2业务和用户策略防护风险——安全策略未配置正确，存在防护缺失

====================

业务安全

分为四个状态：已被入侵、曾被攻击、曾被收集信息、存在漏洞



已被入侵属于紧急重点关注的事件：
1、黑链 2、webshell后台 3、webshell文件访问等事件

        解决方案：根据事件中的举证日志进行处理
        
        黑链事件：
        方法1：确认举证内容，查看源代码，清除被篡改内容；检查后门防止入侵
        方法2：检查后门防止入侵
        
        webshell文件访问：
        方法1：查看服务器日志，查找webshell上传记录以修补漏洞
        方法2：删除木马文件
        方法3：确保服务器在防火墙上，已启用web应用防护功能
        
        webshell后门：
        方法1：根据webshell后门路径删除后门
        方法2：封堵后门访问者的IP
        方法3：确保服务器在防火墙上，已启用web应用防护功能
        
曾被攻击——次紧急事件
说明有被持续攻击的事件，但没被入侵成功
        
        解决方案：
        方法1：查看攻击源IP发起时间和频率，判断此IP有威胁，封堵后门访问者的IP
        方法2：查看攻击源IP的地域归属，不需要这个地域访问就通过地域访问控制阻断
        
曾被收集信息
说明有被持续扫描的事件，还没被入侵成功，【且无后续攻击事件】
属于非紧急事件，有潜在威胁

        解决方案：
        方法1：封堵IP
        方法2：地域封堵
        方法3：配置防扫描
        
存在漏洞
无外部攻击，但是被AF检查出来了，非紧急事件

        解决方法：
        方法1：与业务维护部门确认是否存在漏洞，点击指南按方案升级打补丁
        方法2：漏洞防护策略是否正确配置，模板配置“业务保护场景”，动作拒绝
        

===========

用户安全

分为四个状态：已确定、高可疑、中可疑、低可疑

已确定——紧急事件，建议立即处理；用户与已知的恶意软件关联的URL、域名、IP
通信的日志被举证或其他行为
高可疑——次紧急事件，建议立即处理，确认威胁；用户有高危行为，外发dos攻击、访问DGA
动态生成的域名
中可疑——非紧急事件，视情况处理；主机会主动下载一些危险或者恶意文件，但主机
未感染
低可疑——检测到主机会用恶意软件常用协议或未知协议，有异常流量跑在非标准端口
非紧急事件，无需立即处理，观察即可。

        解决方法：
        方法1：下载“僵尸网络查杀软件“，在受病毒感染的计算机上安装”反僵尸网络“
        软件，运行“病毒扫描”功能清除僵尸主机病毒
        方法2：建议清除病毒首周继续观察，是否仍被检测为僵尸主机
        方法3：确认僵尸网络是否开启，动作为拒绝，默认是允许