隨著《網(wǎng)絡(luò)安全法》正式成為法律法規(guī)，等級(jí)保護(hù)系列政策更新，“安全”
對(duì)于大部分企業(yè)來(lái)說(shuō)已成為“強(qiáng)制項(xiàng)”。然而，網(wǎng)絡(luò)空間安全形勢(shì)日趨復(fù)雜和嚴(yán)峻。賬號(hào)安全，也在不斷的威脅著企業(yè)核心數(shù)據(jù)安全。

根據(jù)最新的 IBM 全球威脅調(diào)查報(bào)告《X-Force威脅情報(bào)指數(shù)2020》，受攻擊網(wǎng)絡(luò)中 60％
的初始訪問(wèn)都是利用以前竊取的憑據(jù)或已知的軟件漏洞，從而使攻擊者更少依賴(lài)欺騙來(lái)獲取訪問(wèn)權(quán)限。

概述

以操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備運(yùn)維視角設(shè)定賬號(hào)，這類(lèi)賬號(hào)一旦設(shè)定，不能隨時(shí)刪除，因此，在員工離職、調(diào)崗等異動(dòng)時(shí)不能通過(guò)刪除賬號(hào)來(lái)實(shí)現(xiàn)賬號(hào)權(quán)限回收。

特權(quán)賬號(hào)保管不善，導(dǎo)致登錄憑證泄露、丟失，被惡意攻擊者、別有用心者獲取，然后被攻擊者利用該登錄憑證非授權(quán)訪問(wèn)業(yè)務(wù)系統(tǒng)，進(jìn)而可能導(dǎo)致系統(tǒng)數(shù)據(jù)被刪除、惡意增加管理員權(quán)限、非法下載大量數(shù)據(jù)等。特權(quán)賬戶從創(chuàng)建、使用、保存、注銷(xiāo)等全過(guò)程更是面臨較大泄露風(fēng)險(xiǎn)，比如有些特權(quán)賬戶需要進(jìn)行多次流轉(zhuǎn)（從超級(jí)管理員到普通管理員傳遞），目前普遍采用郵件、微信的方式的進(jìn)行傳遞，有些安全意識(shí)較高的可能還進(jìn)行加密處理，有些安全意識(shí)差的或者應(yīng)急場(chǎng)景，密碼明文傳輸更是比比皆是。攻擊者若獲取部分的賬戶、密碼可能會(huì)對(duì)企業(yè)進(jìn)行大范圍的橫向擴(kuò)展攻擊，導(dǎo)致系統(tǒng)遭受大面積入侵。

基于異常賬號(hào)（黑名單賬號(hào)，失效賬號(hào)）和賬號(hào)異常行為（繞行登錄，單賬號(hào)多IP登錄，非上班時(shí)間登錄，高危操作和敏感文件訪問(wèn)）維度分析，能及時(shí)發(fā)現(xiàn)某賬號(hào)的操作行為時(shí)間軸軌跡，形成立體畫(huà)像，及時(shí)檢測(cè)威脅，避免安全威脅進(jìn)一步擴(kuò)大化，有效降低安全損失。

二、賬號(hào)安全威脅檢測(cè)措施

1.黑名單賬號(hào)登錄

告警發(fā)生場(chǎng)景 ：源用戶賬號(hào)不在用戶指定的白名單賬號(hào)列表中，并且曾經(jīng)產(chǎn)生過(guò)一些攻擊、違規(guī)等行為的賬號(hào)可以列為黑名單賬號(hào)重點(diǎn)關(guān)注。

攻擊方式 ：以黑名單賬號(hào)登錄系統(tǒng)，產(chǎn)生攻擊、違規(guī)等風(fēng)險(xiǎn)行為。

檢測(cè)思路
：通過(guò)登錄日志查看賬號(hào)信息是否不在用戶自定義的白名單賬號(hào)列表中，將產(chǎn)生異常行為（繞行登錄，單賬號(hào)多IP登錄，非上班時(shí)間登錄，高危操作和敏感文件訪問(wèn)）的賬號(hào)設(shè)置為黑名單賬號(hào)列表，賬號(hào)不在白名單且在黑名單列表中的觸發(fā)告警。如白名單賬號(hào)產(chǎn)生異常行為后，將轉(zhuǎn)成黑名單賬號(hào)。

日志來(lái)源 ：以 linux 系統(tǒng)登錄日志為例

Sep 2 15:47:10 localhost sshd[21996]: Accepted password for blackhat from 192.168.1.41 port 60982 ssh2

人工分析
：用戶在日常運(yùn)維中可以建立資產(chǎn)賬號(hào)的黑白名單庫(kù)，白名單賬號(hào)為合法賬號(hào)，黑名單賬號(hào)為產(chǎn)生異常行為（繞行登錄，單賬號(hào)多IP登錄，非上班時(shí)間登錄，高危操作和敏感文件訪問(wèn)）的賬號(hào)。通過(guò)查看登錄日志篩選出所有登錄賬號(hào)，比對(duì)是否不在白名單賬號(hào)中并屬于黑名單賬號(hào)。

工具分析 ：集中采集 linux
系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類(lèi)型為登錄，結(jié)果是否登錄成功，登錄賬號(hào)信息，通過(guò)自定義黑白名單賬號(hào)字典，賬號(hào)信息命中不在白名單賬號(hào)且在黑名單賬號(hào)即刻觸發(fā)告警，能大幅提升黑名單賬號(hào)風(fēng)險(xiǎn)識(shí)別效率。

2. 失效賬號(hào)登錄

告警發(fā)生場(chǎng)景 ：源用戶賬號(hào)為失效賬號(hào)，失效賬號(hào)可能為離職員工賬號(hào)、已經(jīng)禁用/刪除或過(guò)期的賬號(hào)，正常不會(huì)用失效賬號(hào)登錄。

攻擊方式 ：以失效賬號(hào)登錄系統(tǒng)，產(chǎn)生攻擊、違規(guī)等風(fēng)險(xiǎn)行為。

檢測(cè)思路 ：通過(guò)登錄日志查看賬號(hào)信息是否為失效賬號(hào)。

日志來(lái)源 ：以linux系統(tǒng)登錄日志為例

Sep 10 15:40:10 localhost sshd[21996]: Accepted password for invalid from 192.168.1.41 port 60982 ssh2

人工分析 ：查看登錄日志篩選出所有登錄賬號(hào)，比對(duì)是否屬于失效賬號(hào)。

工具分析
：集中采集linux系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類(lèi)型為登錄，結(jié)果是否登錄成功，登錄賬號(hào)信息，通過(guò)自定義失效賬號(hào)字典，賬號(hào)信息命中失效賬號(hào)字典即刻觸發(fā)告警，能大幅提升失效賬號(hào)風(fēng)險(xiǎn)識(shí)別效率。

3.多賬號(hào)登錄同一重要資產(chǎn)失敗

告警發(fā)生場(chǎng)景 ：多個(gè)不同的賬號(hào)登錄同一個(gè)目標(biāo)資產(chǎn)失敗，可能存在有意的批量賬號(hào)猜測(cè)攻擊。

攻擊方式 ：以多個(gè)不同的賬號(hào)登錄同一個(gè)目標(biāo)資產(chǎn)嘗試進(jìn)行密碼猜測(cè)暴力破解。

檢測(cè)思路 ：超過(guò)3個(gè)以上不同賬號(hào)登錄同一個(gè)目標(biāo)主機(jī)失敗。

日志來(lái)源 ：以linux系統(tǒng)登錄日志為例

Sep 10 15:40:10 localhost sshd[21996]: Failed password for userA from 192.168.1.41 port 60982 ssh2Sep 10 15:42:12 localhost sshd[6116]: Failed password for userB from 192.168.1.39 port 60982 ssh2Sep 10 15:43:15 localhost sshd[1828]: Failed password for userC from 192.168.1.21 port 60982 ssh2

人工分析 ：需要查看同一臺(tái)目標(biāo)主機(jī)的登錄失敗日志，是否在短時(shí)間內(nèi)有多個(gè)不同的源IP、不同賬號(hào)登錄失敗。

工具分析 ：集中采集 linux 系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類(lèi)型為登錄，結(jié)果是登錄失敗，針對(duì)同一個(gè)目標(biāo)系統(tǒng)，在一段時(shí)間內(nèi)失敗超過(guò) 3
次即刻觸發(fā)告警，能大幅提升賬號(hào)風(fēng)險(xiǎn)行為識(shí)別效率。

4.單賬號(hào)多 IP 登錄

告警發(fā)生場(chǎng)景 ：某賬號(hào)已登錄，在未退出的情況下從另一源 IP 地址成功登錄，可能密碼外泄或被破解。

攻擊方式 ：攻擊者獲取賬戶信息后從多個(gè) IP 地址成功登錄，通過(guò)多 IP 干擾溯源取證。

檢測(cè)思路 ：通過(guò)多條日志關(guān)聯(lián)分析，登錄結(jié)果成功的賬戶為同一個(gè)賬戶，但是源IP不同，即可判定屬于單賬號(hào)多IP登錄事件，觸發(fā)告警。

日志來(lái)源 ：系統(tǒng)登錄日志

1） Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure 中，以 CentOS 7 為例，查看 secure.log，看到登錄日志樣例如下：

人工分析 ：目標(biāo)主機(jī) 192.168.1.161 在 2020-5-24 17: 13 登錄成功的源IP 有兩個(gè)：192.168.1.162 和
192.168.1.3，賬戶均為 root，在 192.168.1.162 登錄成功未退出的情況下，源用戶 root 又在 192.168.1.3
成功登錄，屬于單賬號(hào)多 IP 登錄，存在賬號(hào)密碼外泄的風(fēng)險(xiǎn)。

2）Windows 環(huán)境登錄日志查看

例如，查看 Windows server 2012
服務(wù)器的登錄日志，通過(guò)菜單“工具”-“事件管理器”-“Windows日志”-“安全”可以發(fā)現(xiàn)登錄日志，原始登錄日志樣例如下：

可以看到事件 ID 為 4624，結(jié)果為審核成功，代表登錄成功。

點(diǎn)擊“詳細(xì)信息”，選擇“XML”視圖，可以看到詳細(xì)的 Windows server 登錄日志關(guān)鍵信息，包括登錄類(lèi)型為
10，表示此次登錄是遠(yuǎn)程桌面登錄，非本地登錄或文件共享登錄。

源 IP 為 192.168.1.162。除了 Windows server 2012 本地 IP 192.168.1.127 通過(guò)
Administrator 賬號(hào)登錄以外，同時(shí)還有通過(guò)源 IP 192.168.1.162 也是 Adminstrator 賬號(hào)的登錄成功記錄。

人工分析 ：目標(biāo)主機(jī) 192.168.1.127 在 2020-5-20 17: 39 登錄成功的源 IP 有兩個(gè)：192.168.1.127 和
192.168.1.162，賬戶均為 Administrator，屬于單賬號(hào)多 IP 登錄，存在賬號(hào)密碼外泄的風(fēng)險(xiǎn)。

工具分析
：通過(guò)日志分析工具統(tǒng)一采集系統(tǒng)登錄日志，解析關(guān)鍵字段：事件類(lèi)型為登錄，結(jié)果是否登錄成功，設(shè)置多維度關(guān)聯(lián)告警規(guī)則觸發(fā)單賬號(hào)多IP登錄告警，即在登錄成功的前提下，多條日志中源用戶字段相同，源IP不同，表示通過(guò)同一賬號(hào)不同的源IP登錄系統(tǒng)成功。

5.非上班時(shí)間登錄

告警發(fā)生場(chǎng)景 ：?jiǎn)T工在非上班時(shí)間登錄系統(tǒng)，比如在下班時(shí)間 22:00-4:00 登錄系統(tǒng)，這種情況比較危險(xiǎn)，極有可能存在不法意圖。

攻擊方式 ：惡意員工或者黑客獲取員工賬號(hào)后，在非上班時(shí)間登錄系統(tǒng)。 檢測(cè)思路
：可以通過(guò)人工查看原始日志分析，或者通過(guò)日志審計(jì)工具解析原始日志，獲取用戶登錄時(shí)間字段，命中非上班時(shí)間，并且能成功登錄系統(tǒng)就觸發(fā)非上班時(shí)間登錄告警。

日志來(lái)源 ：系統(tǒng)登錄日志

1）Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure 中，以 CentOS 7 為例，查看 secure.log，看到登錄日志樣例如下：

May  8 23:47:09 localhost sshd[1657]: Accepted password for root from 192.168.114.1 port 57115 ssh2May  8 13:14:49 localhost sshd[51628]: Failed password for root from 192.168.114.1 port 49237 ssh2

人工分析
：根據(jù)關(guān)鍵字“Accepted”判斷登錄成功，關(guān)鍵字“Failed”判斷登錄失敗。根據(jù)日志信息里的時(shí)間判定是否在非上班時(shí)間，如果在非上班時(shí)間，且登錄成功，則命中檢測(cè)規(guī)則，需要進(jìn)行告警提示用戶當(dāng)前存在該風(fēng)險(xiǎn)。如果在非上班時(shí)間，但登錄失敗的，則沒(méi)有命中檢測(cè)規(guī)則，不需要進(jìn)行告警。

2）Windows 環(huán)境登錄日志查看

以 Windows10 為例，在“事件查看器-安全”中查看 Windows10
登錄日志，通過(guò)篩選關(guān)鍵字“審核成功”可查看登錄成功的日志，篩選關(guān)鍵字“審核失敗”可查看登錄失敗的日志。根據(jù)系統(tǒng)記錄時(shí)間判定是否在非上班時(shí)間內(nèi)。

人工分析
：過(guò)濾出審核成功的登錄日志，根據(jù)日志信息里的時(shí)間判定是否在非上班時(shí)間，如果在非上班時(shí)間登錄成功，則命中檢測(cè)規(guī)則，需要進(jìn)行告警提示用戶當(dāng)前存在該風(fēng)險(xiǎn)。通過(guò)人工分析日志，需要運(yùn)維人員逐一登錄目標(biāo)資產(chǎn)收集原始日志，在海量日志場(chǎng)景中效率比較低，而且容易遺漏數(shù)據(jù)或者延誤，無(wú)法在第一時(shí)間發(fā)現(xiàn)系統(tǒng)安全威脅，有巨大的安全隱患。檢測(cè)思路可以復(fù)用到日志分析工具中作為告警規(guī)則，通過(guò)日志分析工具能夠在海量日志場(chǎng)景中基于告警規(guī)則即刻識(shí)別安全威脅，
解決人工分析痛點(diǎn)。

工具分析 ：日志分析工具基于日志采集-日志解析-告警觸發(fā)-報(bào)表展示的標(biāo)準(zhǔn)化流程，采集原始的 linux 和 Windows
登錄日志，根據(jù)日志樣例分別建立 linux 和 Windows 登錄日志解析規(guī)則，將非結(jié)構(gòu)化的日志信息中有價(jià)值的信息解析成關(guān)鍵字段，例如將事件類(lèi)型解析為
login，登錄結(jié)果解析為成功或失敗，事件發(fā)生時(shí)間原樣記錄，定義非上班時(shí)間的時(shí)間范圍，如果發(fā)生時(shí)間命中非上班時(shí)間范圍，且登錄結(jié)果成功，則實(shí)時(shí)觸發(fā)告警展示，通過(guò)短信、微信、郵件等方式轉(zhuǎn)給運(yùn)維人員及時(shí)處理。

6. 堡壘機(jī)登錄

告警發(fā)生場(chǎng)景
：目前最主要的威脅來(lái)自內(nèi)部人員，防火墻等安全設(shè)備只能防御來(lái)自外部的攻擊，內(nèi)部人員安全管理必須通過(guò)堡壘機(jī)實(shí)現(xiàn)，堡壘機(jī)用于運(yùn)維安全審計(jì)，解決多點(diǎn)登錄、分散管理、賬號(hào)共享難以定位責(zé)任人、人為操作風(fēng)險(xiǎn)不可控等問(wèn)題，一旦出現(xiàn)繞堡壘機(jī)登錄行為，攻擊者非法登錄繞過(guò)了堡壘機(jī)的審計(jì)，存在嚴(yán)重的安全威脅。

攻擊方式 ：攻擊者用非堡壘機(jī)IP登錄系統(tǒng)，繞過(guò)堡壘機(jī)審計(jì)。

檢測(cè)思路
：可以通過(guò)人工查看原始日志分析，或者通過(guò)日志審計(jì)工具解析原始日志，獲取用戶登錄的源IP，登錄結(jié)果是否成功，如果登錄成功，且源IP不在堡壘機(jī)IP列表中，則觸發(fā)繞堡壘機(jī)登錄告警。
日志來(lái)源：系統(tǒng)登錄日志 1）Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure 中，查看 secure.log，看到登錄日志樣例如下：

May  8 09:47:09 localhost sshd[1657]: Accepted password for root from 192.168.114.1 port 57115 ssh2May  8 13:14:49 localhost sshd[51628]: Failed password for root from 192.168.114.1 port 49237 ssh2

人工分析 ：Accepted 代表登錄成功，源 IP 192.168.114.1 不在堡壘機(jī) IP
列表中，則屬于繞堡壘機(jī)登錄行為，觸發(fā)告警。Failed 代表登錄失敗，可以忽略此條登錄日志，不符合告警觸發(fā)條件。

2）Windows 環(huán)境登錄日志查看

例如，查看 Windows server 2012 服務(wù)器的登錄日志，通過(guò)菜單“工具”-“事件管理器”-“Windows
日志”-“安全”可以發(fā)現(xiàn)登錄日志，原始登錄日志樣例如下：

可以看到事件 ID 為 4624，結(jié)果為審核成功，代表登錄成功。

點(diǎn)擊“詳細(xì)信息”，選擇“XML”視圖，可以看到詳細(xì)的 Windows server
登錄日志關(guān)鍵信息，包括登錄類(lèi)型為10，表示此次登錄是遠(yuǎn)程桌面登錄，非本地登錄或文件共享登錄。源IP為 192.168.1.162。

人工分析 ：Windows server 登錄日志審核成功的代表登錄成功，通過(guò)過(guò)濾事件 ID 4624的登錄日志，查看詳細(xì)信息中找到源IP
192.168.1.162，發(fā)現(xiàn)該 IP 不在堡壘機(jī) IP 列表中，則屬于繞堡壘機(jī)登錄行為，觸發(fā)告警。

通過(guò)人工分析日志，需要運(yùn)維人員逐一登錄目標(biāo)資產(chǎn)收集原始日志，尤其是 linux 和Windows 跨平臺(tái)的日志無(wú)法統(tǒng)一處理，尤其比如 Windows
server
登錄日志想要看到源IP，還需要進(jìn)一步點(diǎn)擊詳情，在海量日志場(chǎng)景中效率非常低。檢測(cè)思路可以復(fù)用到日志分析工具中作為告警規(guī)則，通過(guò)日志分析工具能夠在海量日志場(chǎng)景中基于告警規(guī)則即刻識(shí)別安全威脅，解決人工分析痛點(diǎn)。

工具分析
：通過(guò)日志分析工具統(tǒng)一采集各種類(lèi)型資產(chǎn)的登錄日志，快速解析出關(guān)鍵信息：登錄結(jié)果以及源IP，檢測(cè)思路為登錄成功，且源IP不在堡壘機(jī)IP列表中，命中規(guī)則即刻觸發(fā)告警?；诟婢梢陨蓤?bào)表展示，方便運(yùn)維人員及領(lǐng)導(dǎo)實(shí)時(shí)查看繞行風(fēng)險(xiǎn)趨勢(shì)，及時(shí)處置，避免風(fēng)險(xiǎn)擴(kuò)大化。樣例如下：

2020-05-20T17:39:25.486713+08:00 WIN-5GR4VO5INR0 Microsoft-Windows-Security-Auditing 492 - [seci-win-2008 Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="1" Task="12544" OpcodeValue="0" RecordNumber="540" ThreadID="1472" Channel="Security" Category="登錄" Opcode="信息" SubjectUserSid="S-1-5-18" SubjectUserName="WIN-5GR4VO5INR0$" SubjectDomainName="WORKGROUP" SubjectLogonId="0x3e7" TargetUserSid="S-1-5-21-1283914313-648295371-1762289952-500" TargetUserName="Administrator" TargetDomainName="WIN-5GR4VO5INR0" TargetLogonId="0x521844" LogonType="10" LogonProcessName="User " AuthenticationPackageName="Negotiate" WorkstationName="WIN-5GR4VO5INR0" LogonGuid="{00000000-0000-0000-0000-000000000000}" TransmittedServices="-" LmPackageName="-" KeyLength="0" ProcessName="C:\\Windows\\System32\\winlogon.exe" IpAddress="192.168.1.162" IpPort="0" ImpersonationLevel="%%1833" EventReceivedTime="2020-05-20 17:39:26" SourceModuleName="eventlog" SourceModuleType="im_msvistalog"] 事件發(fā)生時(shí)間=2020-05-20 17:39:25

7、密碼猜測(cè)

告警發(fā)生場(chǎng)景 ：攻擊者多次登錄服務(wù)器，通過(guò)暴力破解密碼、社工獲取密碼線索等方式猜測(cè)密碼，登錄失敗多次后登錄成功。 攻擊方式
：攻擊者通過(guò)暴力破解密碼、社工獲取密碼線索等方式猜測(cè)密碼多次。 檢測(cè)思路
：查看某段時(shí)間的登錄日志，多次連續(xù)登錄失敗，然后成功登錄系統(tǒng)，表示密碼猜測(cè)成功，觸發(fā)密碼猜測(cè)告警。日志來(lái)源：系統(tǒng)登錄日志

1）Linux 環(huán)境登錄日志查看

Linux 用戶登錄日志存放在 /var/log/secure中，以 CentOS 7 為例，查看 secure.log，看到登錄日志樣例如下：

人工分析 ：發(fā)現(xiàn)在 2020-5-20 18:37，有連續(xù)登錄失敗日志，密碼錯(cuò)誤鑒權(quán)失敗，在18:38 成功登錄，密碼猜測(cè)成功。

2）Windows 環(huán)境登錄日志查看

以 Windows server 2012 為例，查看 Windows server 2012
服務(wù)器的登錄日志，通過(guò)菜單“工具”-“事件管理器”-“Windows日志”-“安全”可以發(fā)現(xiàn)登錄日志，原始登錄日志樣例如下：

人工分析 ：發(fā)現(xiàn)在2020-5-20
18:48出現(xiàn)連續(xù)4次登錄失?。ㄊ录蘒D為4625）,然后第5次登錄成功（事件ID為4624）,證明密碼猜測(cè)成功。 工具分析
：通過(guò)日志分析工具統(tǒng)一采集各種類(lèi)型資產(chǎn)的登錄日志，解析出關(guān)鍵信息：事件類(lèi)型是登錄，結(jié)果。告警規(guī)則設(shè)定為多數(shù)據(jù)源時(shí)序關(guān)聯(lián)告警，在一定時(shí)間內(nèi)登錄失敗次數(shù)超過(guò)指定閾值后觸發(fā)子告警，基于該子告警以及后面登錄成功的日志作為多數(shù)據(jù)源時(shí)序關(guān)聯(lián)告警的數(shù)據(jù)源，通過(guò)源IP作為關(guān)聯(lián)字段，滿足子告警中的源IP=登錄成功日志中的源IP，即可觸發(fā)密碼猜測(cè)告警。

8.高危命令操作

告警發(fā)生場(chǎng)景
：高危命令操作一般是比較危險(xiǎn)的操作，如果攻擊者經(jīng)攻擊成功，進(jìn)入了系統(tǒng)，在這種情況下一般要做的事情是清理現(xiàn)場(chǎng)，刪除日志增加一些配置等行為。如Linux高危命令rm-
rf，一條命令就可以刪除一個(gè)目錄下所有文件，以及整個(gè)目錄，這種操作是比較危險(xiǎn)的操作。自定義高危命令，記錄用戶操作行為，當(dāng)用戶有相關(guān)定義高危命令操作時(shí)，就是一條違規(guī)操作。黑客或內(nèi)部惡意人員通過(guò)高危命令?lèi)阂獯鄹幕騽h除文件或者數(shù)據(jù)庫(kù)表核心數(shù)據(jù)，造成數(shù)據(jù)被破壞，直接導(dǎo)致業(yè)務(wù)異常或癱瘓。

攻擊方式
：攻擊者通過(guò)針對(duì)文件或者數(shù)據(jù)庫(kù)的高危命令操作完成攻擊，例如常用的rm、init、reboot、umount、kill、cp、mv、reset、DELETE、DROP_TABLE、INSERT、UPDATE等命令。

檢測(cè)思路 ：通過(guò)查看主機(jī)或者數(shù)據(jù)庫(kù)日志，發(fā)現(xiàn)用戶操作執(zhí)行的命令，匹配預(yù)定義的高危命令集，如命中則屬于高危命令操作事件。

日志來(lái)源 ：主機(jī)日志或數(shù)據(jù)庫(kù)日志

以 Oracle 數(shù)據(jù)庫(kù)日志為例，查看 Oracle 數(shù)據(jù)庫(kù)日志，樣例如下：

人工分析：
通過(guò)Oracle原始日志發(fā)現(xiàn)，COMMAND=DELETE以及COMMAND=INSERT代表如上兩條Oracle操作日志分別對(duì)應(yīng)DELETE和INSERT操作，屬于高危操作命令，極有可能威脅數(shù)據(jù)安全，需要及時(shí)預(yù)警處置。

工具分析：
通過(guò)日志分析工具預(yù)定義高危操作命令集，通過(guò)原始日志解析出事件類(lèi)型，如果是SELECT操作，屬于正常操作，如果符合DELETE、DROP_TABLE、INSERT、UPDATE等高危命令集，則觸發(fā)高危命令操作告警。

9. 敏感文件訪問(wèn)

告警發(fā)生場(chǎng)景
：黑客或內(nèi)部惡意人員通過(guò)訪問(wèn)數(shù)據(jù)庫(kù)或者系統(tǒng)敏感文件，造成數(shù)據(jù)泄露。網(wǎng)站管理后臺(tái)，數(shù)據(jù)庫(kù)文件，備份文件等都是一些敏感文件，一般不允許對(duì)其進(jìn)行操作。如Linux敏感文件
/etc/passwd
文件，記錄所有用戶的密碼文件，一般是不允許對(duì)該文件做修改的。自定義敏感文件，記錄用戶操作行為，當(dāng)用戶有相關(guān)定義敏感文件操作時(shí)，就是一條違規(guī)操作。根據(jù)操作的文件是否是敏感文件，提取用戶對(duì)文件的操作，若含有訪問(wèn)、修改權(quán)限、刪除、轉(zhuǎn)移、重命名等操作，則告警，敏感文件如.conf/.ini/.sys/.dll/
數(shù)據(jù)庫(kù)敏感表等。

攻擊方式 ：攻擊者通過(guò)提權(quán)訪問(wèn)敏感文件或數(shù)據(jù)庫(kù)中敏感的表，對(duì)敏感文件或敏感表進(jìn)行刪除、修改或轉(zhuǎn)移等攻擊。

檢測(cè)思路 ：根據(jù)操作的文件是否是敏感文件或者操作的數(shù)據(jù)庫(kù)表是否為敏感表名進(jìn)行檢測(cè)。

日志來(lái)源 ：主機(jī)日志或數(shù)據(jù)庫(kù)日志

以 Oracle 數(shù)據(jù)庫(kù)日志為例，查看 Oracle 數(shù)據(jù)庫(kù)日志，樣例如下：

人工分析 ：通過(guò) Oracle 原始日志發(fā)現(xiàn)，DATABASE_NAME=CRM主機(jī)1，TABLE_NAME=BS_INFO_TYPE_T 以及
TABLE_NAME=BT_ACT_SUBPROC，COMMAND=SELECT以及COMMAND=UPDATE 代表如上兩條 Oracle
操作日志分別訪問(wèn)以及更新了數(shù)據(jù)庫(kù)CRM主機(jī)1中的兩張敏感表BS_INFO_TYPE_T及BT_ACT_SUBPROC，極有可能導(dǎo)致敏感數(shù)據(jù)外泄或篡改，需要及時(shí)預(yù)警處置。

工具分析
：通過(guò)日志分析工具預(yù)定義敏感數(shù)據(jù)庫(kù)及敏感表，通過(guò)原始日志解析出數(shù)據(jù)庫(kù)名及數(shù)據(jù)庫(kù)表名，同時(shí)對(duì)操作類(lèi)型甄別（INSERT，UPDATE，DELETE，DROP_TABLE的操作作為重點(diǎn)專(zhuān)注對(duì)象），如果數(shù)據(jù)庫(kù)名及數(shù)據(jù)庫(kù)表名屬于預(yù)定義的敏感數(shù)據(jù)庫(kù)及敏感表集，則觸發(fā)敏感文件訪問(wèn)告警。

三、總結(jié)

以上介紹了目前常用的賬號(hào)安全威脅檢測(cè)手段，包括：基于異常賬號(hào)（黑名單賬號(hào)，失效賬號(hào)）的檢測(cè)，基于賬號(hào)異常行為（繞行登錄，單賬號(hào)多IP登錄，非上班時(shí)間登錄，高危操作和敏感文件訪問(wèn)）的檢測(cè)等。

通過(guò)這些檢測(cè)手段，再輔以工具，能及時(shí)發(fā)現(xiàn)賬號(hào)的異常操作行為，從而避免安全威脅進(jìn)一步擴(kuò)大化，有效降低安全損失。

據(jù)庫(kù)名及數(shù)據(jù)庫(kù)表名，同時(shí)對(duì)操作類(lèi)型甄別（INSERT，UPDATE，DELETE，DROP_TABLE的操作作為重點(diǎn)專(zhuān)注對(duì)象），如果數(shù)據(jù)庫(kù)名及數(shù)據(jù)庫(kù)表名屬于預(yù)定義的敏感數(shù)據(jù)庫(kù)及敏感表集，則觸發(fā)敏感文件訪問(wèn)告警。

三、總結(jié)

以上介紹了目前常用的賬號(hào)安全威脅檢測(cè)手段，包括：基于異常賬號(hào)（黑名單賬號(hào)，失效賬號(hào)）的檢測(cè)，基于賬號(hào)異常行為（繞行登錄，單賬號(hào)多IP登錄，非上班時(shí)間登錄，高危操作和敏感文件訪問(wèn)）的檢測(cè)等。

通過(guò)這些檢測(cè)手段，再輔以工具，能及時(shí)發(fā)現(xiàn)賬號(hào)的異常操作行為，從而避免安全威脅進(jìn)一步擴(kuò)大化，有效降低安全損失。

接下來(lái)我將給各位同學(xué)劃分一張學(xué)習(xí)計(jì)劃表！

學(xué)習(xí)計(jì)劃

那么問(wèn)題又來(lái)了，作為萌新小白，我應(yīng)該先學(xué)什么，再學(xué)什么？
既然你都問(wèn)的這么直白了，我就告訴你，零基礎(chǔ)應(yīng)該從什么開(kāi)始學(xué)起：

階段一：初級(jí)網(wǎng)絡(luò)安全工程師

接下來(lái)我將給大家安排一個(gè)為期1個(gè)月的網(wǎng)絡(luò)安全初級(jí)計(jì)劃，當(dāng)你學(xué)完后，你基本可以從事一份網(wǎng)絡(luò)安全相關(guān)的工作，比如滲透測(cè)試、Web滲透、安全服務(wù)、安全分析等崗位；其中，如果你等保模塊學(xué)的好，還可以從事等保工程師。

綜合薪資區(qū)間6k~15k

1、網(wǎng)絡(luò)安全理論知識(shí)（2天）
①了解行業(yè)相關(guān)背景，前景，確定發(fā)展方向。
②學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)。
③網(wǎng)絡(luò)安全運(yùn)營(yíng)的概念。
④等保簡(jiǎn)介、等保規(guī)定、流程和規(guī)范。（非常重要）

2、滲透測(cè)試基礎(chǔ)（1周）
①滲透測(cè)試的流程、分類(lèi)、標(biāo)準(zhǔn)
②信息收集技術(shù)：主動(dòng)/被動(dòng)信息搜集、Nmap工具、Google Hacking
③漏洞掃描、漏洞利用、原理，利用方法、工具（MSF）、繞過(guò)IDS和反病毒偵察
④主機(jī)攻防演練：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系統(tǒng)基礎(chǔ)（1周）
①Windows系統(tǒng)常見(jiàn)功能和命令
②Kali Linux系統(tǒng)常見(jiàn)功能和命令
③操作系統(tǒng)安全（系統(tǒng)入侵排查/系統(tǒng)加固基礎(chǔ)）

4、計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)（1周）
①計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、協(xié)議和架構(gòu)
②網(wǎng)絡(luò)通信原理、OSI模型、數(shù)據(jù)轉(zhuǎn)發(fā)流程
③常見(jiàn)協(xié)議解析（HTTP、TCP/IP、ARP等）
④網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全防御技術(shù)
⑤Web漏洞原理與防御：主動(dòng)/被動(dòng)攻擊、DDOS攻擊、CVE漏洞復(fù)現(xiàn)

5、數(shù)據(jù)庫(kù)基礎(chǔ)操作（2天）
①數(shù)據(jù)庫(kù)基礎(chǔ)
②SQL語(yǔ)言基礎(chǔ)
③數(shù)據(jù)庫(kù)安全加固

6、Web滲透（1周）
①HTML、CSS和JavaScript簡(jiǎn)介
②OWASP Top10
③Web漏洞掃描工具
④Web滲透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏掃等）

那么，到此為止，已經(jīng)耗時(shí)1個(gè)月左右。你已經(jīng)成功成為了一名“腳本小子”。那么你還想接著往下探索嗎？

階段二：中級(jí)or高級(jí)網(wǎng)絡(luò)安全工程師（看自己能力）

綜合薪資區(qū)間15k~30k

7、腳本編程學(xué)習(xí)（4周）
在網(wǎng)絡(luò)安全領(lǐng)域。是否具備編程能力是“腳本小子”和真正網(wǎng)絡(luò)安全工程師的本質(zhì)區(qū)別。在實(shí)際的滲透測(cè)試過(guò)程中，面對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，當(dāng)常用工具不能滿足實(shí)際需求的時(shí)候，往往需要對(duì)現(xiàn)有工具進(jìn)行擴(kuò)展，或者編寫(xiě)符合我們要求的工具、自動(dòng)化腳本，這個(gè)時(shí)候就需要具備一定的編程能力。在分秒必爭(zhēng)的CTF競(jìng)賽中，想要高效地使用自制的腳本工具來(lái)實(shí)現(xiàn)各種目的，更是需要擁有編程能力。

零基礎(chǔ)入門(mén)的同學(xué)，我建議選擇腳本語(yǔ)言Python/PHP/Go/Java中的一種，對(duì)常用庫(kù)進(jìn)行編程學(xué)習(xí)
搭建開(kāi)發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime；

Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語(yǔ)法、正則、文件、 網(wǎng)絡(luò)、多線程等常用庫(kù)，推薦《Python核心編程》，沒(méi)必要看完

用Python編寫(xiě)漏洞的exp,然后寫(xiě)一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)爬蟲(chóng)

PHP基本語(yǔ)法學(xué)習(xí)并書(shū)寫(xiě)一個(gè)簡(jiǎn)單的博客系統(tǒng)

熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架 (可選)

了解Bootstrap的布局或者CSS。

階段三：頂級(jí)網(wǎng)絡(luò)安全工程師

如果你對(duì)網(wǎng)絡(luò)安全入門(mén)感興趣，那么你需要的話可以點(diǎn)擊這里??網(wǎng)絡(luò)安全重磅福利：入門(mén)&進(jìn)階全套282G學(xué)習(xí)資源包免費(fèi)分享！

學(xué)習(xí)資料分享

當(dāng)然，只給予計(jì)劃不給予學(xué)習(xí)資料的行為無(wú)異于耍流氓，這里給大家整理了一份【282G】的網(wǎng)絡(luò)安全工程師從入門(mén)到精通的學(xué)習(xí)資料包，可點(diǎn)擊下方二維碼鏈接領(lǐng)取哦。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-811461.html

到了這里，關(guān)于賬號(hào)安全那些事兒的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！