2023 年网络安全 HW 行动蓝队面试常见问题与解答
1. 设备误报如何处理?
安全设备产生的误报是日常运维中常见的问题,处理流程通常分为外网和内网两种场景:
- 外网误报:如果流量来自互联网且确认为误报,说明安全设备的策略规则可能过于敏感。此时不需要进行紧急处置阻断,但应记录该特征,并联系安全厂商或管理员对策略进行升级优化,调整阈值或更新特征库,以减少后续误报。
- 内网误报:如果是内部网络产生的误报,可能是业务系统行为触发了防御规则。需要与安全负责人协商,确认业务逻辑的合法性。如果确认为正常业务,可添加白名单;如果存在配置不当,则需修复业务配置以符合安全基线。
2. 如何区分扫描流量和手工流量?
在日志分析中,区分自动化扫描与人工操作至关重要:
- 扫描流量特征:数据量巨大,请求频率高,具有明显的规律性。例如,漏洞扫描工具(如 AWVS、AppScan)在请求的 URL、Headers、Body 三项中通常会包含代表自身工具的特征字符串(User-Agent 或特定的参数名)。
- 手工流量特征:请求数量少,时间间隔不规则,人类操作习惯导致的行为更加随机。通常不会携带自动化工具的指纹信息。
3. 网站被上传 Webshell 如何处理?
发现 Webshell 后应立即启动应急响应流程:
- 隔离与关闭:首先暂时关闭网站服务或切断网络连接,防止攻击者进一步控制服务器或窃取数据。
- 查杀与清理:使用专业查杀工具(如 D 盾、河马等)对网站目录进行全盘扫描,定位并删除恶意文件。同时检查数据库是否被篡改。
- 修补漏洞:及时安装服务器操作系统补丁及中间件补丁,修复导致 Webshell 上传的漏洞(如文件上传漏洞、SQL 注入等),防止二次入侵。
- 溯源分析:保留现场日志,分析攻击入口和时间点,评估损失范围。
4. 给你一个比较大的日志,应该如何分析?
面对海量日志,直接人工阅读效率极低,应采用以下方法:
- 使用日志分析工具:利用 ELK Stack(Elasticsearch, Logstash, Kibana)、Splunk 或云原生日志服务进行集中采集和分析。
- 建立白名单模式:为正常的业务请求建立白名单基线,排除常规流量干扰,聚焦异常行为。
- 统计与聚合:通过统计请求出现次数、IP 分布、状态码分布等指标,快速识别高频访问源或异常峰值。
- 关联分析:将不同来源的日志(如 WAF、主机、应用日志)进行关联,还原攻击链路。
5. 了解安全设备吗?
入侵防御系统 (IPS)
IPS 是对防病毒软件和防火墙的补充。它能够监视网络或网络设备的网络数据传输行为,能够即时中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为,属于主动防御设施。
入侵检测系统 (IDS)
IDS 是一种积极主动的防护措施。它按照一定的安全策略,通过软件或硬件对网络、系统的运行进行实时监控,尽可能地发现网络攻击行为。IDS 主要侧重于告警,通常不直接阻断流量。
防火墙
防火墙位于两个或多个网络之间,实行网络间访问控制的一组组件集合(硬件或软件)。它隔离网络,制定不同区域之间的访问控制策略,控制不同信任程度区域间传送的数据流。
数据库审计系统
该系统是对数据库访问行为进行监管的系统。通过镜像或探针方式采集所有数据库的访问流量,基于 SQL 语法、语义解析技术,记录对数据库的所有访问和操作行为(如用户 IP、账号、时间、操作内容等),满足合规要求。
日志审计系统
日志审计系统通过主被动结合手段,实时不间断地采集用户网络中不同厂商的安全设备、网络设备、主机、操作系统及应用系统产生的海量日志。汇集到审计中心进行集中存储、备份、查询、审计、告警,并出具报表报告,获悉全网整体安全态势,满足等保关于安全管理中心日志保存时间大于 6 个月的要求。
