1、多种网络环境下应急响应的探索目录concents012018年应急响应事件盘点02应急响应中典型场景以及案例03不同场景下应急响应的探索04企业如何提升应急响应的能力2018年应急响应事件盘点012018年应急响应事件盘点2018年上半年，360安服团队共为全国各地政企机构提供250次应急响应服务，保障其网络安全。360安服团队共为政府部门提供41次应急响应，累计704小时，平均每次应急响应时间为15小时。2018年应急响应事件盘点在2018年上半年，360安服团队现场处置的250次网络安全事件中，共有88次安全事件属于比较单纯的木马攻击事件。其中，勒索软件占比最高，为56.8%；其次是挖矿木

2、马，占比为23.9%；网站木马占比为15.9%24.4%的网络安全事件背后有明显的黑产活动的影子；其次，22.0%的安全事件属于敲诈勒索事件，包括勒索软件、DDoS勒索，以及其他各种形式的勒索。特别的，还有3起事件（占比1.2%）属于APT事件，1起事件（占比0.4%）带有明显的政治目的。2018年应急响应事件盘点2018年上半年参与处置的250起网络安全事件中，11.2%的事件与相关设备或系统使用弱口令有关，7.6%的事件与网站存在已知（业界已知，但相关机构可能不知道）但未及时修复的安全漏洞有关。弱口令和网站漏洞导致的部分关键行业网路安全事件的分布情况。应急响应中典型场景以及案例02典型客户

3、典型典型客户客户金融行业医疗机构运营商航空行业政府行业典型场景-政府行业网络特点网络结构复杂，如分为政务外网、政务内网、互联网及办公网等，部分行业还自建了覆盖全国的专网，各个网络之间既有相互隔离的环境也有相互连接的地方。ACL复杂，往往连管理员都很难分清楚不同区域之间的访问策略，一旦有安全事件的发生，很难进行事态控制以及溯源。高频安全事件应急响应难点网站被入侵传后门、勒索软件、APT攻击大部分没有审计设备、内部资产混乱、溯源难度大。典型案例-政府行业A区暴力破解xxxxx：xx文件传输服务器192.168.xx.xxWeb管理服务器192.168.xx.xx：xx文件传输服务器暴力破解暴力破解

4、192.168.xx.xx：3389VPN暴力破解总部某政府客户大范围被植入勒索软件典型案例-政府行业某政府客户大范围被植入勒索软件，只依赖WINDOWS 系统日志进行了攻击溯源。典型场景-运营商行业网络特点网络结构复杂，分为IP承载网、传送网、固定通信网、接入网、同步网、信令网、支撑网等，从用途上又分生产网、网管网、办公网等，部分安全域划分不明确，各个网络之间既有相互隔离的环境，也有相互连接的地方。总体网络结构复杂，有的系统平台部署在简单的网络结构上，有的系统部署在私有云上平台上。高频安全事件应急响应难点链路劫持、中间件漏洞、敏感数据泄露、DDOS攻击网络结构大、资产数量多，系统多，开发厂家

5、多，部分资产归属不清，有的平台没有审计设备，没有安全设备，溯源困难。典型案例-运营商行业2018年3月份某省手机4G用户投诉在使用“某APP”过程中，会出现广告及跳转游戏下载界面的现象，使用联通和电信网络都不会出现此问题。IOS系统打开页面除出现广告外，还会自动跳转到APPSTORE某游戏下载界面。某省运营商链路劫持事件典型案例-运营商行业某省运营商链路劫持事件某广告推广公司流量劫持软件开发人员Agent开发人员C&C服务端开发人员Agent植入者Agent服务端平台运营人员1.将Agent植入到运营商Cache服务器2.紧急情况下下线删除Agent（最新版本支持远程卸载）并且抹掉系统相关日志

6、1.APP安装量推广2.精准广告推广1.Agent版本多达18个，版本越来越趋于自动化，支持直接远程控制Cache服务器进行规则修改，程序更新等功能2.支持劫持exe、apk、js等后缀的URL1.维护劫持规则以及策略典型场景-医疗行业网络特点网络结构相对简单，分为医疗办公网、医疗业务网两个大网，医疗办公网络内分WEB综合平台、OA、办公终端，办公网络互通，很多WEB服务器使用外联网络，医疗业务网络业务复杂，内部连接和外联网络共存。ACL策略相对简单，办公网和业务网可以直连，并都有外联网络。高频安全事件应急响应难点勒索软件、蠕虫终端大面积蓝屏（MS17010）大部分没有审计设备、基础安全水平薄

7、弱，内部资产混乱、溯源难度大。典型案例-医疗行业黑客对服务器扫描，并通过rdp服务端口进行爆破手工关闭杀软抓取本地HASH种植远控木马内网爆破黑客在服务器建立账并加入管理员组黑客通过账号克隆账户登录机器确认机器状况攻击者通过该服务器开始对其他内网系统进行进一步的渗透攻击者获取一定数量服务器后，开始执行勒索程序勒索攻击完成，退出某医院GLOBEIMPOSTER勒索事件特殊点：抓明文密码、使用远程控制软件、使用专门结束杀软的工具自动化随机选取目标有针对性，具备一定的安全能力典型场景-金融行业网络特点银行的网络分成办公网、生产网和互联网，一般来说，办公网和生产网之间是逻辑隔离，但是互联网与其他两个网

8、络可能物理隔离，也可能是逻辑隔离。银行的办公网和生产网之间ACL访问控制严格，并且有严格的配置变更管理（CMDB）。安全数据采集比较全面，并且建设有完善的SIEM平台。高频安全事件应急响应难点勒索软件、挖矿、SQL注入、APT攻击内部资产相对清晰、但是因为内部做了大量的NAT策略和服务器的负载均衡，导致溯源也存在一定的难度。典型场景-航空行业网络特点历史包袱重，网络结构复杂，重建轻管，边界不清晰。网络区域大致分为DMZ区，内部服务器区，INSIDE（OA、运维等）访问控制不够严格，内部互通。缺乏总体拓扑图，资产管理混乱，出现问题难以定位到设备和责任人。高频安全事件应急响应难点网站入侵、数据泄露

9、、服务器挖矿、退票诈骗缺乏审计类系统、资产不清、通用密码排查范围大。典型案例-航空行业某航空公司被黑客入侵（长期控制）内网机器被映射到黑客公网VPS，导致客户信息泄露不同场景下应急响应的探索03应急响应典型行业应急事件总结事件类型勒索挖矿网站被黑APT攻击链路劫持数据泄露DDOS攻击自动化、人工、有针对性自动化、随机自动化、人工、有针对性定向攻击、难度高人工、有针对性、难度高人工、涉及面很广自动化、成本低应急响应中典型行业存在的问题政府行业政府行业运营商行业运营商行业医疗行业医疗行业金融行业金融行业航空行业航空行业资产混乱通用密码（弱）网络架构混乱无安全审计设备无日志集中收集安全能力缺失供应链

10、问题应急响应中具备的能力应急响应典型行业能力评估政府行业政府行业运营商行业运营商行业医疗行业医疗行业金融行业金融行业航空行业航空行业数据采集、存储、检索能力*事件发现能力*事件分析能力*事件研判能力*事件处置能力*攻击溯源能力*注：整体能力5颗星应急响应中的基础能力专业安全团队基础安全数据基础安全能力甲方自己的安全团队外界的专业安全团队基础安全数据是指在应急响应过程中对事件进行分析溯源的不可或缺的数据应急响应中的基础安全数据数据系统原始日志主流应用安全日志SIEM数据第三方数据流量数据终端数据DNS、HTTP/WEBMAIL、FTPSMTP/POP3/IMAP、SMB、LDAP/SSLORAC

11、LE/MYSQL/SQLSERVER进程日志、杀毒日志等Windows/Linux主机日志等系统安装主流软件的日志、例如中间件默 认、Linux(/var/log 下面)audit日志威胁情报数据网络设备日志、主机日志、WEB应用日志企业如何提升应急响应的能力04从安全体系的改进建议ARCHITECTUREARCHITECTURE架构安全PASSIVE DEFENSEPASSIVE DEFENSE被动防御ACTIVEDEFENSEACTIVEDEFENSE积极防御INTELLIGENCEINTELLIGENCE威胁情报OFFENSEOFFENSE进攻反制1、需做好网间安全隔离建设；2、需加强安全设备安全策略统一监管；3、需加强人员驻场运维；4、需加强人员基础安全意识培训。5、需提升互联网资产发现能力。1、需对服务器、终端进行有效的安全加固；2、需加强全局监测预警能力；3、需加强应急处理能力。4、需增加全网动态监控能力；1、需增加全流量采集能力。2、需增加全流量风险分析能力。3、需加强人员安全技能培训。4、需加强实战型攻防演习。1、需增加威胁情报协同联动能力；2、需建立安全事件的协同通报机制。通过前面4个阶段，对攻击者进行预判，提前采取有效安全防卫行为。谢 谢！