2018年多种网络环境下应急响应的探索.pdf

1、多种网络环境下应急响应的探索目录concents012018年应急响应事件盘点02应急响应中典型场景以及案例03不同场景下应急响应的探索04企业如何提升应急响应的能力2018年应急响应事件盘点012018年应急响应事件盘点2018年上半年，360安服团队共为全国各地政企机构提供250次应急响应服务，保障其网络安全。360安服团队共为政府部门提供41次应急响应，累计704小时，平均每次应急响应时间为15小时。2018年应急响应事件盘点在2018年上半年，360安服团队现场处置的250次网络安全事件中，共有88次安全事件属于比较单纯的木马攻击事件。其中，勒索软件占比最高，为56.8%；其次是挖矿木

2、马，占比为23.9%；网站木马占比为15.9%24.4%的网络安全事件背后有明显的黑产活动的影子；其次，22.0%的安全事件属于敲诈勒索事件，包括勒索软件、DDoS勒索，以及其他各种形式的勒索。特别的，还有3起事件（占比1.2%）属于APT事件，1起事件（占比0.4%）带有明显的政治目的。2018年应急响应事件盘点2018年上半年参与处置的250起网络安全事件中，11.2%的事件与相关设备或系统使用弱口令有关，7.6%的事件与网站存在已知（业界已知，但相关机构可能不知道）但未及时修复的安全漏洞有关。弱口令和网站漏洞导致的部分关键行业网路安全事件的分布情况。应急响应中典型场景以及案例02典型客户

3、典型典型客户客户金融行业医疗机构运营商航空行业政府行业典型场景-政府行业网络特点网络结构复杂，如分为政务外网、政务内网、互联网及办公网等，部分行业还自建了覆盖全国的专网，各个网络之间既有相互隔离的环境也有相互连接的地方。ACL复杂，往往连管理员都很难分清楚不同区域之间的访问策略，一旦有安全事件的发生，很难进行事态控制以及溯源。高频安全事件应急响应难点网站被入侵传后门、勒索软件、APT攻击大部分没有审计设备、内部资产混乱、溯源难度大。典型案例-政府行业A区暴力破解xxxxx：xx文件传输服务器192.168.xx.xxWeb管理服务器192.168.xx.xx：xx文件传输服务器暴力破解暴力破解

4、192.168.xx.xx：3389VPN暴力破解总部某政府客户大范围被植入勒索软件典型案例-政府行业某政府客户大范围被植入勒索软件，只依赖WINDOWS 系统日志进行了攻击溯源。典型场景-运营商行业网络特点网络结构复杂，分为IP承载网、传送网、固定通信网、接入网、同步网、信令网、支撑网等，从用途上又分生产网、网管网、办公网等，部分安全域划分不明确，各个网络之间既有相互隔离的环境，也有相互连接的地方。总体网络结构复杂，有的系统平台部署在简单的网络结构上，有的系统部署在私有云上平台上。高频安全事件应急响应难点链路劫持、中间件漏洞、敏感数据泄露、DDOS攻击网络结构大、资产数量多，系统多，开发厂家

5、多，部分资产归属不清，有的平台没有审计设备，没有安全设备，溯源困难。典型案例-运营商行业2018年3月份某省手机4G用户投诉在使用“某APP”过程中，会出现广告及跳转游戏下载界面的现象，使用联通和电信网络都不会出现此问题。IOS系统打开页面除出现广告外，还会自动跳转到APPSTORE某游戏下载界面。某省运营商链路劫持事件典型案例-运营商行业某省运营商链路劫持事件某广告推广公司流量劫持软件开发人员Agent开发人员C&C服务端开发人员Agent植入者Agent服务端平台运营人员1.将Agent植入到运营商Cache服务器2.紧急情况下下线删除Agent（最新版本支持远程卸载）并且抹掉系统相关日志

6、1.APP安装量推广2.精准广告推广1.Agent版本多达18个，版本越来越趋于自动化，支持直接远程控制Cache服务器进行规则修改，程序更新等功能2.支持劫持exe、apk、js等后缀的URL1.维护劫持规则以及策略典型场景-医疗行业网络特点网络结构相对简单，分为医疗办公网、医疗业务网两个大网，医疗办公网络内分WEB综合平台、OA、办公终端，办公网络互通，很多WEB服务器使用外联网络，医疗业务网络业务复杂，内部连接和外联网络共存。ACL策略相对简单，办公网和业务网可以直连，并都有外联网络。高频安全事件应急响应难点勒索软件、蠕虫终端大面积蓝屏（MS170