2021-2022应急响应典型案例集研究报告.pdfVIP

2021-2022应急响应典型案例 集研究报告 2021 年 7 月 前言 应急响应是网络安全工作中的重要组成部分，当政企机构发生重大网络安全 事件时，往往意味着其背后存在着诸多的危险和隐患，应急响应事件的发生是长 期网络安全监测不足，大量安全隐患未得到有效的及时处置等一系列安全问题最 终隐患的集中爆发。就像一起火灾的爆发，映射着长期的消防建设不足。通过应 急响应往往能够快速地发现政企机构网络安全建设中的典型不足。从应急响应事 件来看，每次在应急响应结束后我们都会给政企机构提供很多的整改意见，政企 机构在这些安全建议的基础上也会进行大量的建设和提高，从而避免应急事件的 反复发生。我们在本书当中为大家整理了奇安信历年来处置过的几千起应急响应 中精选的50个典型的案例，一方面通过网络安全应急响应事件来分析机构的安 全隐患，另一方面，我们也可以通过应急响应案例来帮助更多企业，一旦发生安 全事故、安全风险时有更多的经验和参考方法进行应急响应的处置，希望通过案 例的分享能够帮助我们的广大政企机构提前防御、提早发现、及时处置。 通过近6年的应急响应工作，我们发现以下几个典型特点。第一，勒索病毒 的攻击愈演愈烈，包括在国外发生的多起重大事件，国内也不断有相关攻击案例的 发生。同时，挖矿木马也越来越流行；第二，政企机构在网络安全建设中网络安全 防护存在短板，常见如：弱口令、永恒之蓝漏洞补丁下载不及时、员工缺乏安全意 识等问题尤其明显；第三，应急响应事件受影响范围主要集中在业务专网， 平均 占比可达60%以上，其次是办公终端；第四，敲诈勒索、黑产活动是攻击者 攻击 政企机构的主要原因，而对政企机构所产生的后果也尤为严重，主要表现为导致 生产效率低下，数据丢失和系统/网络不可用等，对政企机构日常工作和运营造成 了较大影响；第五，攻击者除利用病毒和木马攻击外，利用漏洞攻击和钓鱼邮件 攻击的事件也在不断增多，常见漏洞如永恒之蓝漏洞、任意文件上传、weblogic 反序列化漏洞；第六，通过对这6年政企单位应急响应事件发现数据进行对比， 政企机构单位自行发现能力虽逐年上升，然而，其中被攻击者勒索后才发现事件的 占比却高于政企机构日常安全运营巡检发现入侵迹象的占比，这说明国内政企机 构的日常安全运营建设水平仍有待大幅提高。 本书主要分为两个部分，第一部分结合2021年最新的应急响应事件通过数 据来表现当前网络安全应急响应的基本形势；第二部分一共分为十个章节，分别对 勒索类、挖矿类、蠕虫类、篡改类等10种类型的典型案例进行介绍，希望能够通 过应急响应数据和典型案例为政企机构的日常安全建设提供参考，使应急响应事件 发生的越来越少，一旦发生安全事件时响应越来越快，损失降到越来越低， 这也 是我们应急响应工作的主要意义。 目 录 第一章 网络安全应急响应形势综述 1 一、 应急响应事件受害者分析2 （一） 行业现状分析 2 （二） 事件发现分析 2 （三） 影响范围分析 3 （四） 攻击影响分析4 二、 应急响应事件攻击者分析5 （一） 攻击意图分析 5 （二） 攻击类型分析 5 （三） 恶意程序分析 6 （四） 漏洞利用分析 7 第二章 勒索类事件典型案例 8 一、 服务器存漏洞感染勒索病毒8 （一） 事件概述 8 （二） 防护建议 8 二、 终端电脑遭遇钓鱼邮件感染勒索病毒8 （一） 事件概述 8 （二） 防护建议 9 三、 工业生产网与办公网边界模糊，感染勒索病毒9 （一） 事件概述 9 （二） 防护建议 9 四、 服务器配置不当感染勒索病毒9 （一） 事件概述 9 （二） 防护建议 10 五、 专网被攻击，58家医院连锁感染勒索病毒 10 （一） 事件概述 10 （二） 防护建议 11 六、 OA服务器远程桌面映射公网，感染勒索病毒11