AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
MSS運營戰報丨記杭州亞運會某供應商安全保障工作
杭州第十九屆亞運會作為史上規模最大、項目最多、覆蓋面最廣的一屆,共設立40個大項、61個分項、481個小項,共有舉辦城市杭州及寧波、溫州、湖州、紹興、金華等五個協辦城市參與辦賽。政府決策的部署、民眾的熱情參與、志愿者的無私奉獻,以及供應鏈的安全可靠共同推動了亞運會的順利舉辦。而安恒信息MSS亞運天穹——主動防御安全運營中心就在亞運賽事期間保障了一批特殊用戶——亞運賽事供應商,并在整個保障期間產生了起到了關鍵作用,本文選取其中某個典型用戶的真實事件進行介紹。
一、亞運會結緣安恒
某供應商所屬行業為制造業,歷史上曾多次被勒索病毒加密勒索成功,用戶為此感到十分不解:“我們的安全設備都買了,但是安全事件隔一段時間就發生一次,這網絡安全怎么建才不出事啊”。7月,該供應商看到一則由杭州亞運會官方網絡安全服務合作伙伴安恒信息發出的一項公益計劃:為亞運會供應商免費提供網絡安全保障。
“官方唯一網絡安全服務合作伙伴,安恒信息,我看看能起作用不。”抱著試一試的態度,該供應商聯系了安恒信息,獲得安全托管運營服務的免費試用。
二、 “帶毒資產”威脅大
在順利完成服務上線后,MSS服務人員對該供應商開展了風險排查工作,在互聯網資產安全排查中,發現存在249個暴露面資產(其中包括76個高風險資產:使用了高危組件或系統)。在完成了暴露面資產收斂后,MSS服務人員協同用戶針對高風險資產進行了一次安全摸排,發現某老舊系統web目錄下存在多個歷史webshell,創建時間最早可追溯到4年前。
因時間過于久遠,可參考的信息不多,MSS對該系統進行模擬攻擊,大致還原出攻擊者攻擊路徑:默認口令登錄web界面---頭像文件上傳功能處上傳webshell---獲得系統權限。經MSS服務人員建議,用戶將該系統下線。
用戶接入MSS服務后第二周便監測到被攻擊者攻擊利用:
①安全運營中心通過托管AXDR監測發現攻擊攻擊者漏洞掃描和資產探測;
②攻擊者遠程代碼執行成功生成SLA1級工單,MSS服務人員五分鐘內完成分析研判并上報阻斷攻擊IP;
③MSS服務人員確定資產已失陷,同步用戶風險及時阻斷并上報應急響應專家組為用戶提供應急溯源分析;
④通過溯源分析發現當前日志記錄最早2023-03-31 08:40攻擊者便進行了資產探測,之后通過該漏洞上傳472.jsp至受害資產;
⑤隨后4月至7月,多個攻擊者利用該漏洞上傳多個后門文件;
⑥2023-07-2509:56:38攻擊者IP219.79.209.189連接404.jsp后門遠程執行命令“ipconfig”,安恒MSS云端運營中心監測到攻擊事件后第一時間進行阻斷并介入應急處置;
⑦通過應急溯源分析發現攻擊者通過文件上傳漏洞上傳webshell獲得系統權限,清除相關惡意樣本后,還原攻擊者路徑后,為用戶提送溯源分析報告與修復建議;
⑧用戶聯系廠商完成漏洞加固后,MSS服務人員協助用戶完成復測,確認漏洞已完成加固。
三、 7*24H非虛言
10月的某天凌晨,云端安全分析人員發現該供應商某管理系統出現異常告警:CS特征流量告警,通過對告警詳情分析,確認機器失陷。值班人員立即電話聯系用戶對接人,在說明情況并得到用戶確認后,斷網處理的同時對CS外連IP進行封堵。
經應急人員遠程上機排查,發現該管理系統版本未更新,存在歷史漏洞,攻擊者利用文件上傳漏洞上傳了webshell后又上傳了CS遠控;對安全設備日志進行綜合分析,暫未發現內網橫向告警日志,確認無橫向行為。
該漏洞為歷史漏洞,經溝通確認,由安恒提供修復建議,用戶自行聯系軟件服務商進行升級修復。此次應急事件中,7*24小時的安全防護發揮了其應有作用,用戶表示非工作時間外也有專家在盯著,他放假期間可以放心了。
四、詐騙郵件也能防
在云端試用服務下線前夕,安全團隊收到了一封可疑郵件的提示。經過分析和鑒定,發現這封郵件是來自海外一個惡意團伙的詐騙郵件。為了保護用戶的權益和資產安全,安全團隊立即采取措施阻斷這個威脅,并及時通知用戶了解全部情況。
用戶獲知這個情況后,深感安全意識的重要性,因此希望安恒信息MSS服務團隊能為其全體員工進行網絡安全意識培訓。通過這次事件,用戶不僅提高了對安全風險的認知,也加深了對網絡安全保障的信任和支持。
安恒信息MSS服務團隊通過深入淺出的教學方式和生動有趣的案例分享,幫助供應商員工更好地理解和掌握網絡安全知識和技能,提升了其網絡安全意識和風險防范能力。
五、用戶心聲
MSS安全服務云端能夠非常及時地發現并反饋問題,處理速度迅速,而網絡安全建設是一個需要不斷升級與維護的過程。我們對未來的規劃中,將會增加對單位網絡安全的投入,期待能獲得如貴公司般的專業支持。
杭州亞運會業已帷幕。在幕前,觀眾看到的是運動健兒在賽場上拼搏奮斗;在幕后,網絡安全衛士在“賽博戰場”上全天候守護。作為杭州亞運會官方網絡安全服務合作伙伴,安恒信息1千余名網絡安全衛士提供了全方位、全時段的網絡安全保障,交出了一份“零事故”答卷。
安全不是一次性投入,安全需要持續優化、持續建設、持續運營。安恒信息MSS安全托管運營服務將為更好地解決企業“安全設備無人使用”、“組織缺乏實戰能力”、“無標準化安全運營流程”等問題而不斷突破、持續精進,提供更完善、省心的安全服務。
往期精彩回顧
2023-12-05
2023-12-04
