2018年多種網絡環境下應急響應的探索.pdf

1、多種網絡環境下應急響應的探索目錄concents012018年應急響應事件盤點02應急響應中典型場景以及案例03不同場景下應急響應的探索04企業如何提升應急響應的能力2018年應急響應事件盤點012018年應急響應事件盤點2018年上半年，360安服團隊共為全國各地政企機構提供250次應急響應服務，保障其網絡安全。360安服團隊共為政府部門提供41次應急響應，累計704小時，平均每次應急響應時間為15小時。2018年應急響應事件盤點在2018年上半年，360安服團隊現場處置的250次網絡安全事件中，共有88次安全事件屬于比較單純的木馬攻擊事件。其中，勒索軟件占比最高，為56.8%；其次是挖礦木

2、馬，占比為23.9%；網站木馬占比為15.9%24.4%的網絡安全事件背后有明顯的黑產活動的影子；其次，22.0%的安全事件屬于敲詐勒索事件，包括勒索軟件、DDoS勒索，以及其他各種形式的勒索。特別的，還有3起事件（占比1.2%）屬于APT事件，1起事件（占比0.4%）帶有明顯的政治目的。2018年應急響應事件盤點2018年上半年參與處置的250起網絡安全事件中，11.2%的事件與相關設備或系統使用弱口令有關，7.6%的事件與網站存在已知（業界已知，但相關機構可能不知道）但未及時修復的安全漏洞有關。弱口令和網站漏洞導致的部分關鍵行業網路安全事件的分布情況。應急響應中典型場景以及案例02典型客戶

3、典型典型客戶客戶金融行業醫療機構運營商航空行業政府行業典型場景-政府行業網絡特點網絡結構復雜，如分為政務外網、政務內網、互聯網及辦公網等，部分行業還自建了覆蓋全國的專網，各個網絡之間既有相互隔離的環境也有相互連接的地方。ACL復雜，往往連管理員都很難分清楚不同區域之間的訪問策略，一旦有安全事件的發生，很難進行事態控制以及溯源。高頻安全事件應急響應難點網站被入侵傳后門、勒索軟件、APT攻擊大部分沒有審計設備、內部資產混亂、溯源難度大。典型案例-政府行業A區暴力破解xxxxx：xx文件傳輸服務器192.168.xx.xxWeb管理服務器192.168.xx.xx：xx文件傳輸服務器暴力破解暴力破解

4、192.168.xx.xx：3389VPN暴力破解總部某政府客戶大范圍被植入勒索軟件典型案例-政府行業某政府客戶大范圍被植入勒索軟件，只依賴WINDOWS 系統日志進行了攻擊溯源。典型場景-運營商行業網絡特點網絡結構復雜，分為IP承載網、傳送網、固定通信網、接入網、同步網、信令網、支撐網等，從用途上又分生產網、網管網、辦公網等，部分安全域劃分不明確，各個網絡之間既有相互隔離的環境，也有相互連接的地方?？傮w網絡結構復雜，有的系統平臺部署在簡單的網絡結構上，有的系統部署在私有云上平臺上。高頻安全事件應急響應難點鏈路劫持、中間件漏洞、敏感數據泄露、DDOS攻擊網絡結構大、資產數量多，系統多，開發廠家

5、多，部分資產歸屬不清，有的平臺沒有審計設備，沒有安全設備，溯源困難。典型案例-運營商行業2018年3月份某省手機4G用戶投訴在使用“某APP”過程中，會出現廣告及跳轉游戲下載界面的現象，使用聯通和電信網絡都不會出現此問題。IOS系統打開頁面除出現廣告外，還會自動跳轉到APPSTORE某游戲下載界面。某省運營商鏈路劫持事件典型案例-運營商行業某省運營商鏈路劫持事件某廣告推廣公司流量劫持軟件開發人員Agent開發人員C&C服務端開發人員Agent植入者Agent服務端平臺運營人員1.將Agent植入到運營商Cache服務器2.緊急情況下下線刪除Agent（最新版本支持遠程卸載）并且抹掉系統相關日志

6、1.APP安裝量推廣2.精準廣告推廣1.Agent版本多達18個，版本越來越趨于自動化，支持直接遠程控制Cache服務器進行規則修改，程序更新等功能2.支持劫持exe、apk、js等后綴的URL1.維護劫持規則以及策略典型場景-醫療行業網絡特點網絡結構相對簡單，分為醫療辦公網、醫療業務網兩個大網，醫療辦公網絡內分WEB綜合平臺、OA、辦公終端，辦公網絡互通，很多WEB服務器使用外聯網絡，醫療業務網絡業務復雜，內部連接和外聯網絡共存。ACL策略相對簡單，辦公網和業務網可以直連，并都有外聯網絡。高頻安全事件應急響應難點勒索軟件、蠕蟲終端大面積藍屏（MS17010）大部分沒有審計設備、基礎安全水平薄

7、弱，內部資產混亂、溯源難度大。典型案例-醫療行業黑客對服務器掃描，并通過rdp服務端口進行爆破手工關閉殺軟抓取本地HASH種植遠控木馬內網爆破黑客在服務器建立賬并加入管理員組黑客通過賬號克隆賬戶登錄機器確認機器狀況攻擊者通過該服務器開始對其他內網系統進行進一步的滲透攻擊者獲取一定數量服務器后，開始執行勒索程序勒索攻擊完成，退出某醫院GLOBEIMPOSTER勒索事件特殊點：抓明文密碼、使用遠程控制軟件、使用專門結束殺軟的工具自動化隨機選取目標有針對性，具備一定的安全能力典型場景-金融行業網絡特點銀行的網絡分成辦公網、生產網和互聯網，一般來說，辦公網和生產網之間是邏輯隔離，但是互聯網與其他兩個網

8、絡可能物理隔離，也可能是邏輯隔離。銀行的辦公網和生產網之間ACL訪問控制嚴格，并且有嚴格的配置變更管理（CMDB）。安全數據采集比較全面，并且建設有完善的SIEM平臺。高頻安全事件應急響應難點勒索軟件、挖礦、SQL注入、APT攻擊內部資產相對清晰、但是因為內部做了大量的NAT策略和服務器的負載均衡，導致溯源也存在一定的難度。典型場景-航空行業網絡特點歷史包袱重，網絡結構復雜，重建輕管，邊界不清晰。網絡區域大致分為DMZ區，內部服務器區，INSIDE（OA、運維等）訪問控制不夠嚴格，內部互通。缺乏總體拓撲圖，資產管理混亂，出現問題難以定位到設備和責任人。高頻安全事件應急響應難點網站入侵、數據泄露

9、、服務器挖礦、退票詐騙缺乏審計類系統、資產不清、通用密碼排查范圍大。典型案例-航空行業某航空公司被黑客入侵（長期控制）內網機器被映射到黑客公網VPS，導致客戶信息泄露不同場景下應急響應的探索03應急響應典型行業應急事件總結事件類型勒索挖礦網站被黑APT攻擊鏈路劫持數據泄露DDOS攻擊自動化、人工、有針對性自動化、隨機自動化、人工、有針對性定向攻擊、難度高人工、有針對性、難度高人工、涉及面很廣自動化、成本低應急響應中典型行業存在的問題政府行業政府行業運營商行業運營商行業醫療行業醫療行業金融行業金融行業航空行業航空行業資產混亂通用密碼（弱）網絡架構混亂無安全審計設備無日志集中收集安全能力缺失供應鏈

10、問題應急響應中具備的能力應急響應典型行業能力評估政府行業政府行業運營商行業運營商行業醫療行業醫療行業金融行業金融行業航空行業航空行業數據采集、存儲、檢索能力*事件發現能力*事件分析能力*事件研判能力*事件處置能力*攻擊溯源能力*注：整體能力5顆星應急響應中的基礎能力專業安全團隊基礎安全數據基礎安全能力甲方自己的安全團隊外界的專業安全團隊基礎安全數據是指在應急響應過程中對事件進行分析溯源的不可或缺的數據應急響應中的基礎安全數據數據系統原始日志主流應用安全日志SIEM數據第三方數據流量數據終端數據DNS、HTTP/WEBMAIL、FTPSMTP/POP3/IMAP、SMB、LDAP/SSLORAC

11、LE/MYSQL/SQLSERVER進程日志、殺毒日志等Windows/Linux主機日志等系統安裝主流軟件的日志、例如中間件默 認、Linux(/var/log 下面)audit日志威脅情報數據網絡設備日志、主機日志、WEB應用日志企業如何提升應急響應的能力04從安全體系的改進建議ARCHITECTUREARCHITECTURE架構安全PASSIVE DEFENSEPASSIVE DEFENSE被動防御ACTIVEDEFENSEACTIVEDEFENSE積極防御INTELLIGENCEINTELLIGENCE威脅情報OFFENSEOFFENSE進攻反制1、需做好網間安全隔離建設；2、需加強安全設備安全策略統一監管；3、需加強人員駐場運維；4、需加強人員基礎安全意識培訓。5、需提升互聯網資產發現能力。1、需對服務器、終端進行有效的安全加固；2、需加強全局監測預警能力；3、需加強應急處理能力。4、需增加全網動態監控能力；1、需增加全流量采集能力。2、需增加全流量風險分析能力。3、需加強人員安全技能培訓。4、需加強實戰型攻防演習。1、需增加威脅情報協同聯動能力；2、需建立安全事件的協同通報機制。通過前面4個階段，對攻擊者進行預判，提前采取有效安全防衛行為。謝 謝！