背景信息
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。所以当安全产品检测到一条威胁事件时,我们除了要分析威胁事件本身,还要分析威胁事件影响的资产情况,为处置决策提供全面准确的依据。
威胁聚合分析
我们分析一下“ssh暴力破解”这个事件,在威胁聚合页面,我们用 “事件名称” 作为聚合条件进行检索,查找到一条数据,显示威胁事件“ssh暴力破解”中受影响资产数有3个,下钻继续分析,查看到具体这3个资产IP,继续下钻分析,查看其中一个资产的详情和存在漏洞情况,查看详情可查找到漏洞解决方案。
通过聚合分析我们找到了该威胁事件受影响的所有资产,下面截图中可以看到3个资产IP 。
通过下钻查找资产IP开放的服务,用户自行比对是否是预期开放的服务,通过资产归属信息,可以立即找到该资产的负责人,为后续处置提供依据。
同时我们也可以查找到资产存在哪些漏洞,通过查看详情,用户可以快速找到漏洞修复的解决方案,为后续处置提供依据。
处置建议
基于聚合分析提供的数据,有以下处置建议:
1)受攻击资产IP立即修改密码;
2)受攻击资产IP关闭非预期开放的端口;
3)受攻击资产IP基于漏洞修复方案完成全部漏洞修复;
4)使用态势感知弱口令检测功能排查网内资产存在的弱口令风险;