作为一名安全运维,整理当天日报是正常的工作。
整理数据时,通过soc平台发现某内网ip存在不正常流量,对某内网ip进行多手段攻击,涉及7种攻击手段,单日总事件量达到3000余次,基本判断ip存在异常,因为不太清楚具体设备,只能及时上报。
攻击手段多样化,不存在中木马中病毒情况,更像是人已控制源ip对目的ip进行攻击,试探性进行漏洞挖掘。
源ip是某一家安全厂商的VPN,soc平台无法解析日志,需要厂商配合分析问题。厂商没有来之前,走了很多弯路,很尴尬。
初步分析两种可能,一:VPN账号被盗,黑客使用VPN拨号进入内网进行攻击,二:自身底层数据加固,为护网行动做基础。vpn厂商登陆VPN设备直接对安全事件发生时间段的系统日志进行分析,发现其中某一账号登录时间符合情况,该VPN账号是另一家安全厂商在使用,联系账号使用者确认是为了即将进行的护网行动在做漏洞验证,只是我作为安全管理员,不清楚情况而已。
很尴尬,感觉自己误报了。又学到了很多知识,一定要和其他安全厂家及时沟通,要不然很尴尬的。
本文发布于:2024-01-28 08:01:22,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/17064000865967.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
