舉世矚目的金磚國家領導人廈門會晤2017年9月5日在廈門落下帷幕。 其間, 綠盟科技受主管機構指派參與廈門會晤安全保障工作, 涉及廈門會晤相關網站及系統、廈門區域內相關網站及行業客戶等。 綠盟科技結合歷年數十次重大活動安保經驗, 協同多部門順利完成會晤期間網路安全保障工作。
勒索軟體的故事
1、異常發現
2017年9月x日13時, 綠盟科技安全態勢感知平臺產生大量告警, 保障值守人員針對平臺攻擊鏈中安裝工具和命令控制階段的事件進行分析, 發現10.x.x.x, 較為可疑。
2、資料分析及病毒發現
持續針對平臺攻擊鏈告警進行下鑽分析10.x.x.x原始日誌,
2017年9月x日13時20分, 將該可疑事件上報應急小組, 由應急小組協助綠盟安全值守人員一同排查, 並針對該IP進行回溯分析, 以及橫向傳播分析, 詳細比對每一條可疑事件和詳細日誌, 發現由該IP發起的攻擊事件均包含三條日誌:
【Windows SMB登錄嘗試】
【Windows SMB協定使用者認證成功】
【Microsoft Windows SMB Server資訊洩露漏洞(CVE-2017-0147)】
2017年9月x日14時00分, 基於上述的分析, 以及伺服器端的分析, 判斷為2017年5月份爆發的蠕蟲病毒, 並已經開始進行內部的橫向傳播。
3、事件上報
正式彙報到應急小組, 並發起緊急預警。
“DDoS”的故事
有人把DDoS攻擊比作互聯網“核武器”, 一旦調動足夠數量遍佈互聯網的“肉雞”和存在各種協議漏洞的開放伺服器, 就可以癱瘓掉任何互聯網業務。 在資訊安全的三要素——“保密性”、“完整性”和“可用性”中, DDoS針對的目標正是“可用性”。
在會議保障期間, DDoS攻擊更是暗流湧動。 8月底至9月x日, 某客戶處部署的溯源平臺監測到來自全球DDoS攻擊的分佈情況如下:
DDoS事件總覽資料, 攻擊總次數: 2.4萬次, 攻擊總流量:867.37T
DDoS攻擊協議類型分佈及比例:
DDoS攻擊流量分佈及比例:
防禦DDoS攻擊, 重點監控相關會議官網、各門戶等流量, 過程做到分秒盯、及時報, 而這些防禦工作的順利實施, 也得益於事前的全面安全應急演練工作。
金磚安全保障獲得的榮譽
重大安全保障經驗
多年來, 綠盟科技針對重大活動安保工作, 總結了事前建設階段+事中防護階段+事後總結階段的一體化安保解決方案。
1、事前建設階段
事前建設階段為重重之重, 直接決定後續安全保障所具備的基礎和安全能力, 包含安全團隊組建、等保測評整改、互聯網暴露資產自查、基礎安全自查、應急演練等內容, 針對其中重點內容進行簡單介紹。
安全保障團隊組建
安全保障團隊的組建是整個安保工作首先要做的事情,
互聯網暴露資產梳理
針對企業外網, 公網資產數量巨大, 安全控制措施少, 對內關注度低, 對外風險大, 往往容易發生各類資訊安全事件, 需要具備快速全面的資產梳理能力。
內網資產梳理及自查
針對企業內網,需要提供平臺化的工具,對系統、設備、應用的脆弱性進行自動化檢測,説明企業或者組織來偵測、掃描和改善其資訊系統面臨的風險隱患。
安全域梳理與邊界整合
安全域的設計必須以資訊系統提供的業務服務為中心,以業務安全需求為根本出發點,特別是重保期間需要梳理重保業務系統,加強不同等級業務系統的差異化安全檢測和防護能力,為事中防護階段提供全面的安全支撐手段。
2、事中防護階段
事中防護階段首先圍繞人員、安全設備及平臺、安全能力三個層面進行規劃,需要具備多維度、視覺化的安全保障支撐能力,以及快速處置能力。
圍繞人員再細分各自人員的具體保障方式及職責,分為:現場保障、遠端保障、緊急回應3個小組,各組成員根據自身安全技術優勢各司其職,全力進行安全保障。
3、事後總結階段
頁面被篡改0次;網站被入侵0次
圍繞現有的安全服務、安全產品、安全平臺等能力,在本次保障過程中,從資產梳理、漏洞加固、安全資料分析、安全事件處置及安全應急回應等維度,結合具體維度數據,總結在本次安全保障中做出的成績與不足,並形成知識庫,為後續的安全規劃及保障打下良好的基礎。
“2017年重保年”
各類全球峰會、黨政會議、行業盛會、維穩事件中,互聯網已經成為最為重要的發佈、宣傳以及公眾開放管道,其中相關的網路基礎設施安全、重點Web系統、各核心業務系統也成為惡意攻擊者首要的破壞路徑。
網路資訊安全保障工作是一項專業又複雜的系統性工程,涉及較多部門和廠商,涉及的細節更是無比繁雜。對網路資訊安全保障工作總結有如下3點:
防範未然,遠勝亡羊補牢
千里之堤毀於蟻穴,細節決定成敗
安全防護不是靠一個點,而需形成一個體系
憑藉歷年來數十次的重大活動網路安保中的成功經驗,綠盟科技安保團隊將進一步發揮自身技術優勢,積極配合主管部門切實做好每一次重大活動的網路安全保障工作,更好地服務于國家網路安全工作的需要,努力維護國家、行業和用戶安全,為營造健康有序的網路環境,做出積極的貢獻!
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP
內網資產梳理及自查
針對企業內網,需要提供平臺化的工具,對系統、設備、應用的脆弱性進行自動化檢測,説明企業或者組織來偵測、掃描和改善其資訊系統面臨的風險隱患。
安全域梳理與邊界整合
安全域的設計必須以資訊系統提供的業務服務為中心,以業務安全需求為根本出發點,特別是重保期間需要梳理重保業務系統,加強不同等級業務系統的差異化安全檢測和防護能力,為事中防護階段提供全面的安全支撐手段。
2、事中防護階段
事中防護階段首先圍繞人員、安全設備及平臺、安全能力三個層面進行規劃,需要具備多維度、視覺化的安全保障支撐能力,以及快速處置能力。
圍繞人員再細分各自人員的具體保障方式及職責,分為:現場保障、遠端保障、緊急回應3個小組,各組成員根據自身安全技術優勢各司其職,全力進行安全保障。
3、事後總結階段
頁面被篡改0次;網站被入侵0次
圍繞現有的安全服務、安全產品、安全平臺等能力,在本次保障過程中,從資產梳理、漏洞加固、安全資料分析、安全事件處置及安全應急回應等維度,結合具體維度數據,總結在本次安全保障中做出的成績與不足,並形成知識庫,為後續的安全規劃及保障打下良好的基礎。
“2017年重保年”
各類全球峰會、黨政會議、行業盛會、維穩事件中,互聯網已經成為最為重要的發佈、宣傳以及公眾開放管道,其中相關的網路基礎設施安全、重點Web系統、各核心業務系統也成為惡意攻擊者首要的破壞路徑。
網路資訊安全保障工作是一項專業又複雜的系統性工程,涉及較多部門和廠商,涉及的細節更是無比繁雜。對網路資訊安全保障工作總結有如下3點:
防範未然,遠勝亡羊補牢
千里之堤毀於蟻穴,細節決定成敗
安全防護不是靠一個點,而需形成一個體系
憑藉歷年來數十次的重大活動網路安保中的成功經驗,綠盟科技安保團隊將進一步發揮自身技術優勢,積極配合主管部門切實做好每一次重大活動的網路安全保障工作,更好地服務于國家網路安全工作的需要,努力維護國家、行業和用戶安全,為營造健康有序的網路環境,做出積極的貢獻!
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP