iT邦幫忙

2024 iThome 鐵人賽

DAY 8
0
自我挑戰組

藍隊守護系列 第 8

Day 8 :「追蹤攻擊者的足跡」:一次成功追蹤的真實經歷

  • 分享至 

  • xImage
  •  

這個故事發生在一個假日,當時正享受著休閒的假期,突然,系統偵測到網路攻擊行為並發出了警告。這些流量表面看似正常,但實際上隱藏了不易察覺的攻擊行為。

1.異常活動的發現
公司部署的系統突然響起了警報。經過快速檢查,發現有幾個來自外部的IP地址正在進行掃描和RDP測試,試圖找到網路中的漏洞。

這些頻繁的嘗試讓我感到不安,決定展開深入調查。我首先將這些不明IP封鎖,但很快發現,攻擊者不斷更換IP,並持續進行特殊埠的攻擊。這種行為被系統記錄下來,而我選擇觀察,靜靜地看著一個小時內,攻擊者更換了數個IP,不斷進行測試。這些IP看起來就像是一次次地在牆上碰壁,也顯示出有許多主機可能正被攻擊者利用來發動攻擊。然而,所有攻擊已被徹底封鎖。

2.深入追蹤
接下來,我展開了更深入的調查,利用NDR(網路偵測與回應)平台來進行網路的全面可視化分析。很快發現,這些不明IP針對公司內部的網段發動特殊埠攻擊和RDP測試。令人慶幸的是,這些行為都在我的掌控之中,並已經成功封鎖。

3.追蹤攻擊者的過程
追蹤這個攻擊者並不容易,由於攻擊源頭來自多個不同的IP,無法確定具體的操作者,這使得我只能向相關單位報告。雖然無法直接介入追蹤真正的攻擊來源端,但我可以確保網路隔離措施到位,降低了潛在的橫向攻擊風險。

4.結局與反思
回顧這次事件,我反思了成功的關鍵,發現正是當時的細心觀察和即時反應,讓公司避免了更大的損失。如果當時沒有及時發現這些看似無害的異常行為,企業的關鍵系統很可能會成為攻擊者的下一個目標,造成不可挽回的損害。


上一篇
Day 7 :「資料洩漏的多重面貌」:從事件發現到全面修復的故事
下一篇
Day 9 :「跨部門合作的安全挑戰」:如何處理合作中的安全問題
系列文
藍隊守護30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言