奇安信：2019年网络安全应急响应分析报告（25页）.pdf

编号：46358

PDF 25页 1.78MB 下载积分：VIP专享

下载报告请您先登录！

奇安信：2019年网络安全应急响应分析报告（25页）.pdf

1、2019 年 4 月，安服应急响应团队接到客户应急请求，医疗行业某单位网内约 1000多台终端和服务器存在大量病毒，客户机不定时重启、蓝屏，严重影响业务系统的正常运行。应急人员通过对相关进程、文件、服务进行排查分析后，判断客户内网失陷是由于感染“永恒之蓝下载器”木马，导致病毒泛滥。通过检查客户现场内网失陷主机，发现现场主机系统均未安装杀毒防护软件，C:Windows 目录下存在大量以随机字符命名的.exe 文件，并在系统服务中发现大量该 exe 对应的服务。在分析天眼设备抓取流量时，发现内网共存在 11 种病毒，包括蠕虫病毒、挖矿病毒、勒索病毒、远控木马、僵尸网络等多种病毒，且发现主机高危端口

2、如 135、137、138、445 端口均为开启状态并存在传播病毒的行为。除此之外，应急人员在检查过程中发现客户 sqlserver 数据库管理员账户密码与网内所有服务器均使用同一种密码，且该数据库服务器未安装任何安全防护设备，使得木马快速在内网扩散，并存在大量外连行为，导致大量机器沦陷。1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现； 2) 有效加强访问控制 ACL 策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必

3、要端口，其他端口一律禁止访问，仅管理员 IP 可对管理端口进行访问，如 FTP、数据库服务、远程桌面等管理端口； 3) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据； 4) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵；5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患； ;6) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安

4、全策略落实情况进行检查，常态化信息安全工作。应急响应工具箱在产品设计阶段就引入了大量的应急响应专家，也经历了安服团队多年来的实战使用和不断改进，在应急响应服务、攻防演习服务、重要时期安全保障服务等业务中都有充分应用。依托奇安信行业领先的攻防研究能力，内置了威胁情报、专家知识库、分析模型和众多检测工具（日志关联分析工具、APT 检查工具、恶意代码检查工具、Webshell 后门检查工具、漏洞检查工具、暗链检查工具等），保障了检测、分析效率和准确度。奇安信将应急响应工具的自动化分析能力，提升到一个新的高度，能够进行多维度的线索关联分析、基于情报的事件溯源、多场景的线索分析。应急响应工具箱最大程度上实现了自动化的威胁检测和关联分析，并经过了奇安信安全服务多年来的实战检验，能够降低应急响应的技术难度，赋能用户。同时，具有高集成化的特点，覆盖了应急响应全过程所需要的各类支撑功能并简化了操作，也内置了应急流程，并配套相关模版，将应急响应工作实现规范化。

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（奇安信：2019年网络安全应急响应分析报告（25页）.pdf）为本站（elLLL）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。