新常态下政企安全体系建设的思考.pdf

1、2017年发生了哪些大事件？4月14日影子经纪人放出包括“永恒之蓝”在内的网络军火。5月12日“永恒之蓝”漏洞加上WannaCry勒索软件，在国内造成了巨大的影响。5月13日一带一路峰会召开，6月2日业界披露影响全球超过2.5亿人的“火球”后门6月27日乌克兰和若干其他欧洲国家爆发Petya破坏事件，后查清是由于乌克兰税务软件 M.E.Doc 被黑导致。6月1日网络安全法正式开始实施。6月9日业界披露暗云III恶意软件，导致多家部委的被通报。8月4日业界被广泛使用的SSH远程管理工具Xshell被爆多个版本被植入后门，且具有Xshell官方签名。8月3日业界披露Kuzzle恶意软件，此恶意软件

2、盗用了国内某终端管理软件的的数字签名。从“永恒之蓝”勒索蠕虫事件说起1.传统认为相对安全的隔离内网受较大影响2.加油站、政务办公停业，对生活、生产的直接影响3.蠕虫传播+勒索变现，开启“潘多拉”魔盒360专项态势感知永恒之蓝传播态势：中国近3万家机构超过30万台电脑终端和服务器覆盖全国几乎所有地区再想想我们信任的软件们网络安全法实施新型的网络攻击一带一路重保A.新型网络攻击的思考B.应急响应处置的思考C.安全体系建设的思考“永恒之蓝”军火级攻击武器泄露黑客组织：影子经纪人Equation Group美国NSA：方程式组织黑吃黑网络攻击武器库网络地下黑市公开叫卖免费下载4月14日17款攻击武器之

3、一“永恒之蓝”假如这些“军火”换一种用法影子经纪人：从6月份起，每月都将向付费会员公布新的攻击武器和机密数据；包括Windows10、浏览器、路由器和手机的0Day漏洞及相应的攻击工具。层出不穷的软件供应链攻击从“黑天鹅”到“灰犀牛”每一个“黑天鹅”事件背后，都隐藏着巨大的“灰犀牛”式危机 系统都有漏洞 网络都能被攻陷 军火民用化 攻击组织化例：某省政府单位被远程控制的网站发现一台服务器被攻陷，攻击者利用网站编辑器漏洞攻陷服务器，上传至少3个后门文件，仍处于存活状态，并且攻击者IP属于中国。例：最近半年的软件供应链攻击影响事件名称影响范围涉及软件1hao123下载器从http:/ Build

4、1322版本所有使用者编程开发免费政企机构中，安全软件的覆盖率最高，达95.2%；其次是休闲娱乐软件，占比为45.2%；搜索下载软件排名第三，占比为37.7%。政企机构中，免费软件的安装量高达60.2%，付费软件的安装量则为39.8%；免费软件的覆盖率为79.5%，付费软件覆盖率高达95.2%。例：最近半年的软件供应链攻击影响（“覆盖率”，某类软件中安装量最高的软件的安装率）网络安全法实施勒索蠕虫攻击一带一路重保A.新型网络攻击的思考B.应急响应处置的思考C.安全体系建设的思考“一带一路”重保预案发挥作用工作工作内容内容工作工作支撑支撑工作工作重点重点工作工作过程过程重保重保方案方案五个阶段四

5、个重点四个支撑七项内容监测预警综合研判通告协调防护响应应急处置追踪溯源技术支撑人员支撑组织支撑制度支撑筹备阶段检查阶段演习阶段保障阶段总结阶段人员地点要物预测分析事件1.做规划2.清资产3.上监测4.理流程5.建通信6.搞演习事前6部曲有备方可无患“一带一路”重保预案发挥作用107个防护方案CII资产清查态势感知监测平台事件通报处置流程蓝信应急指挥平台护网实战演习72小时应急响应中人的因素 1500+安全应急响应人员 安全工程师上门紧急响应 1700+客户机构的现场支持 监管机构、部委、金融机构、大型央企 2000+客户机构的电话支持 5000+工具U盘或光盘 9个版本安全预警通告 7个安全修

6、复指南文档 操作指南、事件百问、开机手册等 6个安全软件修补工具 补丁、扫描、修复、解密多类别工具 人均睡眠时间4小时主动发现，协同联动，快速响应监管机构政企单位安全公司“黑天鹅”事件 安全法制化 重保常态化 应急小时化政策机制平台产品技术服务合规流程人员网络安全法实施勒索蠕虫攻击一带一路重保A.勒索蠕虫攻击的思考B.应急响应处置的思考C.安全体系建设的思考永恒之蓝勒索蠕虫事件回放2017.3.142017.4.142017.5.12微软发布安全补丁MS17-010NSA“永恒之蓝”攻击工具泄漏勒索蠕虫病毒爆发59