应急演练解说脚本.docxVIP

XXX单位应急演练解说脚本 2021年5月 主持人： 此时黑客已经将钓鱼邮件投递到目标邮箱中，如假设内部人员有人翻开钓鱼邮件的 附件，即个人PC会被黑客完全控制。请大家看右边监控组的屏幕。 监控组： .平安员在日常平安巡检过程中发现入侵防御存在异常告警，告警显示局域网内有机器 对外发起恶意攻击。 .平安员定位到受害者主机，在受害者邮箱发现存在大量不明邮件厅网信办： 厅网信领导小组，我们发现局域网内多台机器已经感染后门，此次事件目前已影 响到局域网60%以上的机器，导致内部工作人员无法正常使用内网系统，而且存 在事态进一步扩大的可能，预计可在24小时内进行恢复，依据应急预案的定级 标准，初步将此次事件定义为n级平安事件，为防止事态扩大，建议立即物理 隔离失陷局域网，请领导批示启动应急处置流程。 厅网信领导小组： 目前情况我已了解，我宣布：启动应急处置流程。请厅网信办立即对失陷局域网 采取物理隔离手段。 天融信应急处置团队，我单位发生H级平安事件，请立即派人协助应急响应， 我单位对接人：XXX单位厅网信办，唐凡。 省委网信办，我厅发生n级平安事件，我们正在积极组织应急响应工作。 省网信办： 省网信办收到，我们将保持关注，请XXX单位随时汇报应急进度,如需协调资源请与我联系。 厅网信办： 我已将失陷局域网与内网进行物理隔离。 主持人： 应急处置人员到达现场进行应急处置工作，请大家看右边应急处置组的屏幕。应急组将演示针对本次事件的应急处置工作。 应急处置组： .应急处置组到达现场，了解到有内部人员电脑已被后门感染.立即断网，物理隔离受影响的电脑主机 .分析其他系统进程，未发现其他木马远控进程，强制结束木马进程.对电脑是否被植入后门进行进一步排查 a）执行net user命令查看是否存在未知新建用户，查看注册表下列图两个目录中项的 个数是否相同，内容是否对应 b）执行netstat -ano命令查看是否存在未知端口对外开放情况 c）使用火绒剑进行查看与分析 d）查看是否存在其他非法远程桌面端口.分析病毒来源一钓鱼邮件 a）运行后分析本地网络连接情况，发现未知远控连接b）威胁情报查询，锁定远控地址 c）翻开宏编辑，发现恶意宏代码，可以看到其调用系统的rundll32.exe执行系统命 令，当翻开文档后，宏代码会自动加载并执行，此时，受害者电脑会连接黑客 远程控制服务器，从而被黑客控制.进入邮箱系统，清除钓鱼邮件，逐一受害用户主机进行病毒的查杀 病毒的处置工作已完成，半个小时内未再发现病毒感染现象，可将隔离的局域网接入内网，恢复业务。 厅网信办： 失陷局域网病毒的处置工作已完成，己观察半个小时，未再发现病毒事件，申请将隔离的局域网接入内网。 厅网信领导小组： 收到，我们将立即决策。 我们认可厅网信办、天融信应急处置团队、运维开发团队所做的工作。我宣布，平安风险已 得到有效控制，应急状态解除。 烦请办公室尽快出具书面应急处置报告，并召开总结会议，总结经验教训，优化应急预案。 江苏省委网信办，您好！我厅XX月XX日病毒传播事件已处置结束，平安风险已得到有效控 制，应急状态解除。 省委网信办： 江苏省委网信办收到，请将处置过程记录形成报告提交给我们。 应急处置组： 大屏展示：加固建议为防止同类事件再次发生，我们提出以下加固建议： 1、将终端威胁防御系统或防病毒软件的病毒库升至最新版本并全网查杀病 毒 2、对全体工作人员进行平安意识培训厅网信办,我们已完本钱次应急处置工作，我们将梳理本次应急响应的过程文档, 整理成书面报告递交。 厅网信办： 大屏展示：应急解除阶段厅网信领导小组，本次应急响应已结束，相关平安风险已得到有效控制，请领导 批示解除应急状态。 厅网信领导小组： 应急处置进度我已了解，感谢厅网信办、应急处置团队所做的工作，平安风险已 得到有效控制。我宣布，应急状态解除。 请厅网信办尽快出具书面应急处置报告，并召开总结会议，总结经验教训，优化 应急预案。 厅网信办： 本次平安事件是一次钓鱼邮件事件：黑客利用获取到的个人邮箱敏感信息，向目 标发送钓鱼邮件，黑客成功控制了大量用户的终端PCo我们及时的抑制了事态 的扩大，在24小时内完成了应急处置工作，此次事件定义为n级平安事件。 本次平安事件暴露了我单位局部人员信息平安意识的欠缺，需要在以后日常工作 中加强平安意识，防范钓鱼邮件应做到：1.安装杀毒软件并定期更新病毒库，开 启杀毒软件对邮件附件的扫描功能；2.公私邮箱要别离。不用工作邮箱注册公共 网站的服务，也不要用工作邮箱发送私人邮件;3.重要文件要做好防护。 1. 8.总结大屏展示：感谢参与本次演练！！ 至此我们演练已结束，感谢各位的配合。 本次应急演练只演练了攻击效果最明显的、危害相比照拟严重的平安事件，但实 际上在信息系统的运行过程中每天