1、多種網絡環境下應急響應最佳實踐技術創新，變革未來目錄 concents應急響應事件盤點應急響應中典型場景以及案例不同場景下應急響應的探索01020304企業如何提升應急響應的能力應急響應中典型場景以及案例典型客戶典型 客戶金融 行業醫療 機構運營 商航空 行業政府 行業典型場景-政府行業網絡特點網絡結構復雜，如分為政務外網、 政務內網、互聯網及辦公網等，部 分行業還自建了覆蓋全國的專網， 各個網絡之間既有相互隔離的環境 也有相互連接的地方。ACL復雜，往往連管理員都很 難分清楚不同區域之間的訪問策略， 一旦有安全事件的發生，很難進行事態控制以及溯源。高頻安全事件網站被入侵傳后門、勒索軟件、AP

2、T攻擊應急響應難點大部分沒有審計設備、內部資產混亂、 溯源難度大。典型案例-政府行業暴 力 破 解xxxxx：xx文件傳輸服務器192.168.xx.xx Web管理服務器192.168.xx.xx：xx文件傳輸服務器暴 力 破 解暴 力 破 解VPN暴力破解192.168.xx.xx：3389總部某政府客戶大范圍被植入勒索軟件A區典型案例-政府行業某政府客戶大范圍被植入勒索軟件，只依賴WINDOWS 系統日志進行了攻擊溯源。典型場景-運營商行業網絡特點網絡結構復雜，分為IP承載網、傳 送網、固定通信網、接入網、同步 網、信令網、支撐網等，從用途上又 分生產網、網管網、辦公網等， 部 分安全域

3、劃分不明確，各個網絡 之 間既有相互隔離的環境，也有相互 連接的地方。總體網絡結構復雜，有 的系統平臺部署在簡單的網絡結 構 上，有的系統部署在私有云上平臺 上。高頻安全事件鏈路劫持、中間件漏洞、 敏感數據泄露、DDOS攻擊應急響應難點網絡結構大、資產數量多，系統多，開 發廠家多，部分資產歸屬不清，有的平 臺沒有審計設備，沒有安全設備，溯源 困難。典型案例-運營商行業3月份某省手 機4G用戶投訴在使用“某 APP”過程中，會出現廣 告及跳轉游戲下載界面的 現象，使用聯通和電信網 絡都不會出現此問題。IOS系統打開頁面除 出現廣告外，還會自動跳 轉到APPSTORE某游戲下 載界面。某省運營商鏈

4、路劫持事件典型案例-運營商行業某省運營商鏈路劫持事件某廣告推廣 公司流量劫持軟件開發人員Agent開發人 員C&C服務端開發人員Agent植入者Agent服務端 平臺運營人 員將Agent植入到運營商Cache服務器緊急情況下下線刪除Agent（最新版本支持遠程卸載）并且抹掉系統相關日志APP安裝量推廣精準廣告推廣Agent版本多達18個，版本越來越趨于自 動化，支持直接遠程控制Cache服務器進行 規則修改，程序更新等功能支持劫持exe、apk、js等后綴的URL1.維護劫持規則以及策略典型場景-醫療行業網絡特點網絡結構相對簡單，分為醫療辦公 網、醫療業務網兩個大網，醫療辦 公網絡內分WEB

5、綜合平臺、OA、辦公終端，辦公網絡互通， 很多WEB服務器使用外聯網絡，醫 療業務網絡業務復雜，內部連接 和外聯網絡共存。ACL策略相對簡 單，辦公網和業務網可以直連，并 都有外聯網絡。高頻安全事件勒索軟件、蠕蟲終端大面積藍屏（MS17010）應急響應難點大部分沒有審計設備、基礎安全水平薄弱 ，內部資產混亂、溯源難度大。典型案例-醫療行業黑客對服務器掃描，并通黑客在服務器建立賬并攻擊者通過該服務器開始對其勒索攻擊完成，退 過rdp服務端口進行爆破加入管理員組他內網系統進行進一步的滲透出手工關閉殺軟黑客通過賬號克隆賬戶攻擊者獲取一定數量服務抓取本地HASH登錄機器確認機器狀況器后，開始執行勒索程

6、序種植遠控木馬內網爆破某醫院GLOBEIMPOSTER勒索事件特殊點： 抓明文密碼、使用遠程控制軟件、使用專門結束殺軟的工具自動化隨機選 取目標有針對性，具 備一定的安全 能力典型場景-金融行業網絡特點銀行的網絡分成辦公網、生產網和 互聯網，一般來說，辦公網和生產 網之間是邏輯隔離，但是互聯網與其他兩個網絡可能物理隔離，也可能是邏輯隔離。銀行的辦公網和生產網之間ACL訪 問控制嚴格，并且有嚴格的配置變 更管理（CMDB）。安全數據采集比較全面，并且建設 有完善的SIEM平臺。高頻安全事件勒索軟件、挖礦、SQL注入、APT攻擊應急響應難點內部資產相對清晰、但是因為內部做了 大量的NAT策略和服務

7、器的負載均衡， 導致溯源也存在一定的難度。典型場景-航空行業網絡特點歷史包袱重，網絡結構復雜， 重建 輕管，邊界不清晰。網絡區域大致分為DMZ區，內部服務器區，INSIDE（OA、運維等） 訪問控制不夠嚴格，內部互通。 缺乏總體拓撲圖，資產管理混亂，出現問題難以定位到設備和責任人。高頻安全事件網站入侵、數據泄露、 服務器挖礦、退票詐騙應急響應難點缺乏審計類系統、資產不清、通用密碼排查范圍大。典型案例-航空行業某航空公司被黑客入侵（長期控制）內網機器被映射到黑客公網VPS，導致客戶信息泄露03不同場景下應急響應的探索應急響應典型行業應急事件總結事件 類型勒索挖礦網站被黑APT攻擊鏈路劫持數據泄露

8、DDOS攻擊自動化、人工、有針對性自動化、隨機自動化、人工、有針對性定向攻擊、難度高人工、有針對性、難度高人工、涉及面很廣自動化、成本低應急響應中典型行業存在的問題政府行業運營商行業醫療行業金融行業航空行業資產混亂通用密碼（弱）網絡架構混亂無安全審計設備無日志集中收集安全能力缺失供應鏈問題應急響應中具備的能力應急響應典型行業能力評估政府行業運營商行業醫療行業金融行業航空行業數據采集、存儲、檢索能力*事件發現能力*事件分析能力*事件研判能力*事件處置能力*攻擊溯源能力*注：整體能力5顆星應急響應中的基礎能力專業安 全團隊基礎安 全數據基礎安 全能力甲方自己的安全團隊外界的專業安全團隊基礎安全數據

9、是指在應急響應過程中對事件進行分析溯 源的不可或缺的數據應急響應中的基礎安全數據數據系統原 始日志主流應 用安全 日志SIEM數據第三方 數據流量數 據終端數據DNS、HTTP/WEBMAIL、FTP SMTP/POP3/IMAP、SMB、LDAP/SSL ORACLE/MYSQL/SQLSERVER進程日志、殺毒日志等Windows/Linux主機日志等系統安裝主流軟件的日志、 例如中間件默 認 、 Linux(/var/log 下 面)audit日志威脅情報數據網絡設備日志、主機 日志、WEB應用日志企業如何提升應急響應的能力04從安全體系的改進建議ARCHITECTURE架構安全PASSIVE DEFENSE被動防御ACTIVEDEFENSE積極防御INTELLIGENCE威脅情報OFFENSE進攻反制1、需做好網間安全隔離建設；2、需加強安全設備安 全策略統一監管；3、需加強人員駐場運維；4、需加強人員基礎安 全意識培訓。5、需提升互聯網資產發現能力。1、需對服務器、終端 進行有效的安全加固； 2、需加強全局監測預 警能力；3、需加強應急處理能