1、2019 年 4 月,安服应急响应团队接到客户应急请求,医疗行业某单位网内约 1000多台终端和服务器存在大量病毒,客户机不定时重启、蓝屏,严重影响业务系统的正常运行。应急人员通过对相关进程、文件、服务进行排查分析后,判断客户内网失陷是由于感染“永恒之蓝下载器”木马,导致病毒泛滥。通过检查客户现场内网失陷主机,发现现场主机系统均未安装杀毒防护软件,C:Windows 目录下存在大量以随机字符命名的.exe 文件,并在系统服务中发现大量该 exe 对应的服务。在分析天眼设备抓取流量时,发现内网共存在 11 种病毒,包括蠕虫病毒、挖矿病毒、勒索病毒、远控木马、僵尸网络等多种病毒,且发现主机高危端口
2、如 135、137、138、445 端口均为开启状态并存在传播病毒的行为。除此之外,应急人员在检查过程中发现客户 sqlserver 数据库管理员账户密码与网内所有服务器均使用同一种密码,且该数据库服务器未安装任何安全防护设备,使得木马快速在内网扩散,并存在大量外连行为,导致大量机器沦陷。1) 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现; 2) 有效加强访问控制 ACL 策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必
3、要端口,其他端口一律禁止访问,仅管理员 IP 可对管理端口进行访问,如 FTP、数据库服务、远程桌面等管理端口; 3) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据; 4) 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患; 6) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安
4、全策略落实情况进行检查,常态化信息安全工作。应急响应工具箱在产品设计阶段就引入了大量的应急响应专家,也经历了安服团队多年来的实战使用和不断改进,在应急响应服务、攻防演习服务、重要时期安全保障服务等业务中都有充分应用。依托奇安信行业领先的攻防研究能力,内置了威胁情报、专家知识库、分析模型和众多检测工具(日志关联分析工具、APT 检查工具、恶意代码检查工具、Webshell 后门检查工具、漏洞检查工具、暗链检查工具等),保障了检测、分析效率和准确度。奇安信将应急响应工具的自动化分析能力,提升到一个新的高度,能够进行多维度的线索关联分析、基于情报的事件溯源、多场景的线索分析。应急响应工具箱最大程度上实现了自动化的威胁检测和关联分析,并经过了奇安信安全服务多年来的实战检验,能够降低应急响应的技术难度,赋能用户。同时,具有高集成化的特点,覆盖了应急响应全过程所需要的各类支撑功能并简化了操作,也内置了应急流程,并配套相关模版,将应急响应工作实现规范化。
1、下载报告失败解决办法 2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。 3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。 4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
奇安信:2021网络安全应急响应分析报告(31页).pdf
奇安信:2020年网络安全应急响应分析报告(17页).pdf
奇安信:95015网络安全应急响应分析报告(2022)(29页).pdf
奇安信:95015网络安全应急响应分析报告(2023)(26页).pdf
奇安信:95015网络安全应急响应分析报告(2023上半年)(22页).pdf
奇安信:2022年上半年网络安全应急响应分析报告(20页).pdf
360安全:2018年网络安全应急响应分析报告(28页).pdf
奇安信安服团队:网络安全应急响应典型案例集(2021)(45页).pdf
奇安信:2019网络安全人才市场状况研究报告(46页).pdf
2021年网络安全行业供需现状及奇安信公司竞争力分析报告.pdf
三个皮匠报告专业的行业报告下载站,每日更新,欢迎大家关注!
copyright@2008-2013 长沙景略智创信息技术有限公司版权所有 网站备案/许可证号:湘B2-20190120
专属顾问
机构入驻、侵权投诉、商务合作
三个皮匠报告官方公众号
验证即登录,未注册将自动创建三个皮匠报告账号
使用 微信 扫一扫登陆