網絡應急方案

一 人員名單

1 攻方名單

2守方名單

3專家

二 攻擊與防守流程

1 社會工程攻擊

1.1 監測階段

（1）蜜罐系統，還用於將檢測到的疑似社會工程學攻擊事件發送給控制器；控制器，還用於將蜜罐系統發送的疑似社會工程學攻擊事件存儲至數據存儲系統，並向事件分析系統下發與疑似社會工程學攻擊事件對應的事件類型判斷指令。

（2）收到釣魚郵件。

（3）短網址替換真實網址，欺騙用户訪問。

（4）防惡意軟件，防火牆，入侵檢測系統告警。

1.2 研判階段

（1）看發件地址，若非預期不理。留心利用拼寫錯誤來假冒發件人地址，比如r+n ~ m，v+vw，c+ld…；或私人郵箱號稱官方郵件等。

（2）看郵件標題，警惕詐騙字眼。典型的釣魚郵件標題常包含(但不限於) “賬單、郵件投遞失敗、包裹投遞、執法、掃描文檔”等，重大災害、疾病等熱點事件常被用於藉機傳播。

（3）看正文內容，辨明語法錯誤。忽略泛泛問候的郵件，警惕指名道姓的郵件；詐騙相關的熱門正文關鍵字包括“發票、支付、重要更新”等；包含官方LOGO圖片不等於就是真郵件。

（4）看正文目的，保持鎮定從容。當心索要登錄密碼、轉賬匯款等請求，通過內部電話等其它可信渠道進行核實。對通過“緊急、失效、重要”等詞語製造緊急氣氛的郵件謹慎辨別，不要忙中犯錯。

（5）看鏈接網址，注意鼠標懸停。鼠標懸停在郵件所含鏈接的上方，觀看郵件閲讀程序下方顯示的地址與聲稱的地址是否一致。

（6）看內嵌附件，當心木馬易容。惡意電子郵件會採取通過超長文件名隱藏附件真實類型，起迷惑性附件名稱誘使用户下載帶毒郵件。一定要用虛擬機中打開，在下載郵件附件之前，應仔細檢查附件文件名和格式，不要因好奇而下載可疑附件。打開前用殺毒軟件進行掃描。常見的帶毒郵件附件為：，等壓縮文件格式。，等文檔中也可帶有惡意代碼。

（7）有網站可以把短網址還原還可以把壓縮的網址還原成原來的網址，把真實的網址無所遁形，一般短網址組成：短網址網站的域名+“/”+短碼。

1.3 處置階段

（1）如果溯源到ip，上報指揮小組，上報封禁。

（2）拒絕外部短網址的請求。

（3）對網站的安全性進行分級並且初始安全評估報告。

2 發現隱蔽攻擊隧道

2.1 監測階段

（1）當出現有未知軟件告警時，判斷軟件是否為常用隧道軟件，如為搭建隧道軟件，立即清除。

（2）記錄軟件名稱，軟件路徑，文件傳輸文件交研判組。

2.2 研判階段

（1）藉助網絡安全分析設備對用户和(或)系統行為進行分析。

（2）分析未知軟件和傳輸軟件。

（3）如果研判攻擊成功，應向處置小組遞交研判單，並配合後續處置流程。

2.3 處置階段

（1）如確認為隧道進行攻擊，應該立即上報指揮小組，協助指揮小組分析攻擊事件

（2）對有關出站或入站DNS查詢的長度、類型或大小等建立規則。

（3）定期採用主流殺毒軟件進行查殺，對出現的未知軟件及時進行清除。

（4）處於生產區的服務器主機在必要時禁止ICMP協議。

3 發現重要敏感數據竊取

3.1監測階段

（1）收集竊取行為信息：敏感文件讀取行為例如（linux系統下：passwd文件、web中間件配置文件等）、數據庫敏感信息竊取等行為，提取在排查範圍內的服務器、終端、應用系統等的告警日誌，並進行分析，發現可能竊取數據的攻擊行為。重點排查和分析SQL注入、Webshell等可獲取數據的攻擊日誌。

（2）整理採集到的數據竊取信息，向研判小組遞交監測單。

3.2 研判階段

（1）研判失竊信息的敏感等級。

（2）高敏感等級應立即向處置小組進行上報，再進行後續研判以及信息收集工作。

（3）組織技術研判組對失竊數據內容及範圍進行研判，根據研判結果向相關業務主管部門進行通報。

（4）相關業務主管部門在收到通報後，應在第一時間根據技術研判組研判建議採取相關處置措施，防止事件升級。

3.3 處置階段

（1）如果是SQL注入進行數據竊取，應及時分析和查找注入點，配合業務方進行臨時系統加固，等待指揮小組安排後續上機處置。

（2）提高檢測能力，及時更新諸如IDS和其他入侵報告工具等的檢測策略，以保證將來對類似的入侵進行檢測。

4 系統被控制、植入木馬等

4.1 監測階段

（1）當發現系統遠程執行命令或者木馬相關告警時，應立即判斷攻擊IP是否為公網外部IP，如為公網外部IP，則應立即向IP封禁組遞交IP封禁列表。

（2）記錄攻擊IP以及受攻擊IP，記錄攻擊命令或者木馬類型，向研判組遞交監測單。

4.2 研判階段

（1）根據告警以及日誌分析攻擊結果。

（2）分析受到影響業務以及主機。

（3）如果研判攻擊成功，應向處置小組遞交研判單，並配合後續處置流程。

4.3 處置階段

（1）務必首先上報指揮小組。

（2）協調業務方進行安全整改以及安全加固。

（3）等待指揮小組安排上機排查。

（4）上機排查務必保留攻擊證據，並消除木馬以及遠控客户端。

5 郵件系統被盯控

5.1 監測階段

（1）可利用閲讀記錄去識別，通常黑客盜取郵箱時，會過濾所有你的郵箱，只留下他們感興趣的信息。

（2）登錄管理後台查看。

（3）發現已讀變成未讀。

5.2 研判階段

（1）往常用郵箱發送檢測文件，若郵箱有多個，請使用羣發單顯功能。

（2）郵箱標題要設置吸引人的關鍵詞，如新的銀行卡密碼，公司通信錄，員工信息表等。

（3）插入：發信時勾選郵箱追蹤功能，郵件被閲讀觸發追蹤記錄，包含對方ip，設備，閲讀時間等信息。

（4）保持關注該郵件的追蹤記錄。

5.3 處置階段

（1）修改密碼，不可為常用密碼。

（2）郵箱有專用的密碼或授權碼，開啟。

（3）建議登錄頁面的短信驗證開啟，收信使用授權碼驗證。

（4）把ip，設備拉黑。

6近源攻擊突破網絡防線

6.1 監測階段

（1）收集物理設備或智能終端如：網線接口、USB接口、智能設備等業務系統信息。

（2）對無線網絡端進行檢測，對無線節點混亂、無線網絡區域劃分不當、無線網絡設置為弱口令登錄、無線網絡密碼口令複用、無線設備過於老舊等問題進行排查。

6.2 研判階段

（1）根據告警以及日誌分析攻擊結果。

（2）若存在無線網絡密碼爆破成功、異常IP連接成功等行為，則應立即向處置小組上報，再進行後續攻擊證據收集。

（3）如果研判攻擊成功，應向處置小組遞交研判單，並配合後續處置流程。

6.3 處置階段

（1）採取零信任處置措施。

（2）若為無線網絡端攻擊：則加固無線網絡設備，若為弱口令，改變全部可能受到攻擊的系統的口令並定期修改；增加網絡區域隔離，一般用户無法直連核心網絡，定期進行設備升級。

（3）若為終端設備攻擊：則加強人員管理，防止終端設備物理接口攻擊，應向指揮小組上報，配合業務方進行系統加固或者接口升級。

7 供應鏈打擊

7.1監測階段

（1）如發現安全設備告警時，設備針對終端/主機的進程創建、文件寫入、模塊加載、註冊表值寫入等異常行為進行監控對大多數攻擊行為的捕獲。

（2）如發現流量側監控告警，對告警流量包進行記錄。

7.2 研判階段

（1）對攻擊行為進行分析，結合日誌，計劃任務，進程服務等應急操作對攻擊行為確認。

（2）對後門文件，樣本文件分析，判斷是否啟動惡意程序。

（3）如果研判攻擊成功，應向處置小組遞交研判單，並配合後續處置流程。

7.3 處置階段

（1）對攻擊入口進行封堵、攻擊傳播鏈阻斷以及惡意IOC的封禁。

（2）根據緩解步驟中提取出的各種IOC信息，全面關聯告警查詢，在各監控平台內做二次review,結合事前準備階段的SBOM軟件物料清單，全網全終端排查受影響範圍。

（3）恢復系統網絡連接、恢復系統和應用服務、恢復賬號等用户數據，對系統進行全面安全加固。

8 通過下屬單位、跨網、迂迴攻擊

8.1 監測階段

（1）如通過下屬單位進行攻擊，應立對攻擊詳情進行收集並向研判小組遞交監測單。

（2）如發現跨網、迂迴攻擊，則應立即向IP封禁小組遞交IP封禁列表，對攻擊事件進行初判是否為有效攻擊，如是有效攻擊則向研判小組遞交監測單。

8.2 研判階段

（1）如發現是通過下屬單位進行攻擊，則應立即向處置小組上報，再進行後續攻擊證據收集。

（2）如跨網、迂迴攻擊，則根據攻擊告警以及工具日誌進行攻擊結果分析，如果攻擊成功，則根據日誌進行證據採集以及分析攻擊廣度以及攻擊深度，並向處置組遞交研判單。

8.3 處置階段

（1）如是通過下屬單位進行的攻擊，應立即上報指揮小組，並配合指揮小組進行上機排查攻擊事件。

（2）對受影響的系統進行臨時安全加固，並且配合業務方進行業務調整以及安全升級。

（3）對於跨網的以及迂迴攻擊的攻擊IP進行封禁。

9 內網敏感信息被蒐集利用

9.1 監測階段

（1）收集數據泄露的帳號或者接口信息。

（2）收集數據泄露的業務系統信息。

（3）整理採集到的數據泄露信息，向研判小組遞交監測單。

9.2 研判階段

（1）研判泄漏信息的敏感等級。

（2）高敏感等級應立即向處置小組進行上報，再進行後續研判以及信息收集工作。

（3）如信息泄露點為個人賬號導致，則應收集該賬號信息，以及分析賬號是否應被禁用或者修改密碼等，並向處置小組遞交研判單。

（4）如泄露點為業務系統或者業務接口，應驗證接口的數據權限以及驗證接口泄露數據的範圍，分析泄露產生的原因編寫修復意見，並向處置小組遞交研判單。

9.3 處置階段

（1）如泄漏點為個人賬號，則應立即採用禁用策略、修改密碼或者權限降級。

（2）如泄露點為信息系統或者系統接口，應向指揮小組上報，配合業務方進行系統加固或者接口升級。

10 漏洞利用、口令盜用、權限提升等高危操作

10.1 監測階段

（1）收集漏洞類型、盜用的口令、以及權限提升命令或者權限提升操作。

（2）對攻擊結果進行初次分析，如果分析攻擊成功則向研判小組遞交研判單。

10.2 研判階段

（1）研判漏洞利用結果是否成功，如果漏洞利用成功則應立上報處.置小組再進行後續研判工作。應研判漏洞影響的範圍以及受影響的主機，根據漏洞類型以及影響範圍編寫修復建議向處置組遞交研判單。

（2）如是口令盜用攻擊，則應使用該口令進行橫向以及縱向分析，分析是否還有其他業務系統受影響以及其他模塊受影響，研判口令影響範圍，根據口令以及影響範圍編寫研判單向處置小組遞交。

（3）如存在權限提升攻擊，應研判是否提權成功，以及提權後的後續操作，如果權限提升成功，則應根據帳號信息以及權限信息編寫研判單遞交給處置小組。

10.3 處置階段

（1）如果是漏洞利用，則應立即向指揮小組上報，並進行臨時系統加固，等待指揮小組安排後續上機處置。

（2）配合指揮小組以及業務方對系統進行安全加固以及安全升級。

（3）如盜用口令攻擊，則應對被盜用口令進行禁用，溯源口令供給鏈路以及生成口令的帳號。

（4）權限提升攻擊應立即對帳號進行權限限制操作，如果已經發生權限蔓延，則需要配合業務方對蔓延的帳號進行權限恢復。