首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

MSS運(yùn)營(yíng)戰(zhàn)報(bào)丨記杭州亞運(yùn)會(huì)某供應(yīng)商安全保障工作

閱讀量：次 文章來(lái)源：安恒信息

杭州第十九屆亞運(yùn)會(huì)作為史上規(guī)模最大、項(xiàng)目最多、覆蓋面最廣的一屆，共設(shè)立40個(gè)大項(xiàng)、61個(gè)分項(xiàng)、481個(gè)小項(xiàng)，共有舉辦城市杭州及寧波、溫州、湖州、紹興、金華等五個(gè)協(xié)辦城市參與辦賽。政府決策的部署、民眾的熱情參與、志愿者的無(wú)私奉獻(xiàn)，以及供應(yīng)鏈的安全可靠共同推動(dòng)了亞運(yùn)會(huì)的順利舉辦。而安恒信息MSS亞運(yùn)天穹——主動(dòng)防御安全運(yùn)營(yíng)中心就在亞運(yùn)賽事期間保障了一批特殊用戶——亞運(yùn)賽事供應(yīng)商，并在整個(gè)保障期間產(chǎn)生了起到了關(guān)鍵作用，本文選取其中某個(gè)典型用戶的真實(shí)事件進(jìn)行介紹。

一、亞運(yùn)會(huì)結(jié)緣安恒

某供應(yīng)商所屬行業(yè)為制造業(yè)，歷史上曾多次被勒索病毒加密勒索成功，用戶為此感到十分不解：“我們的安全設(shè)備都買了，但是安全事件隔一段時(shí)間就發(fā)生一次，這網(wǎng)絡(luò)安全怎么建才不出事啊”。7月，該供應(yīng)商看到一則由杭州亞運(yùn)會(huì)官方網(wǎng)絡(luò)安全服務(wù)合作伙伴安恒信息發(fā)出的一項(xiàng)公益計(jì)劃：為亞運(yùn)會(huì)供應(yīng)商免費(fèi)提供網(wǎng)絡(luò)安全保障。

“官方唯一網(wǎng)絡(luò)安全服務(wù)合作伙伴，安恒信息，我看看能起作用不?！北е囈辉嚨膽B(tài)度，該供應(yīng)商聯(lián)系了安恒信息，獲得安全托管運(yùn)營(yíng)服務(wù)的免費(fèi)試用。

二、 “帶毒資產(chǎn)”威脅大

在順利完成服務(wù)上線后，MSS服務(wù)人員對(duì)該供應(yīng)商開(kāi)展了風(fēng)險(xiǎn)排查工作，在互聯(lián)網(wǎng)資產(chǎn)安全排查中，發(fā)現(xiàn)存在249個(gè)暴露面資產(chǎn)（其中包括76個(gè)高風(fēng)險(xiǎn)資產(chǎn)：使用了高危組件或系統(tǒng)）。在完成了暴露面資產(chǎn)收斂后，MSS服務(wù)人員協(xié)同用戶針對(duì)高風(fēng)險(xiǎn)資產(chǎn)進(jìn)行了一次安全摸排，發(fā)現(xiàn)某老舊系統(tǒng)web目錄下存在多個(gè)歷史webshell，創(chuàng)建時(shí)間最早可追溯到4年前。

因時(shí)間過(guò)于久遠(yuǎn)，可參考的信息不多，MSS對(duì)該系統(tǒng)進(jìn)行模擬攻擊，大致還原出攻擊者攻擊路徑：默認(rèn)口令登錄web界面---頭像文件上傳功能處上傳webshell---獲得系統(tǒng)權(quán)限。經(jīng)MSS服務(wù)人員建議，用戶將該系統(tǒng)下線。

用戶接入MSS服務(wù)后第二周便監(jiān)測(cè)到被攻擊者攻擊利用：

①安全運(yùn)營(yíng)中心通過(guò)托管AXDR監(jiān)測(cè)發(fā)現(xiàn)攻擊攻擊者漏洞掃描和資產(chǎn)探測(cè)；

②攻擊者遠(yuǎn)程代碼執(zhí)行成功生成SLA1級(jí)工單，MSS服務(wù)人員五分鐘內(nèi)完成分析研判并上報(bào)阻斷攻擊IP；

③MSS服務(wù)人員確定資產(chǎn)已失陷，同步用戶風(fēng)險(xiǎn)及時(shí)阻斷并上報(bào)應(yīng)急響應(yīng)專家組為用戶提供應(yīng)急溯源分析；

④通過(guò)溯源分析發(fā)現(xiàn)當(dāng)前日志記錄最早2023-03-31 08:40攻擊者便進(jìn)行了資產(chǎn)探測(cè)，之后通過(guò)該漏洞上傳472.jsp至受害資產(chǎn)；

⑤隨后4月至7月，多個(gè)攻擊者利用該漏洞上傳多個(gè)后門文件；

⑥2023-07-2509:56:38攻擊者IP219.79.209.189連接404.jsp后門遠(yuǎn)程執(zhí)行命令“ipconfig”，安恒MSS云端運(yùn)營(yíng)中心監(jiān)測(cè)到攻擊事件后第一時(shí)間進(jìn)行阻斷并介入應(yīng)急處置；

⑦通過(guò)應(yīng)急溯源分析發(fā)現(xiàn)攻擊者通過(guò)文件上傳漏洞上傳webshell獲得系統(tǒng)權(quán)限，清除相關(guān)惡意樣本后，還原攻擊者路徑后，為用戶提送溯源分析報(bào)告與修復(fù)建議；

⑧用戶聯(lián)系廠商完成漏洞加固后，MSS服務(wù)人員協(xié)助用戶完成復(fù)測(cè)，確認(rèn)漏洞已完成加固。

三、 7*24H非虛言

10月的某天凌晨，云端安全分析人員發(fā)現(xiàn)該供應(yīng)商某管理系統(tǒng)出現(xiàn)異常告警：CS特征流量告警，通過(guò)對(duì)告警詳情分析，確認(rèn)機(jī)器失陷。值班人員立即電話聯(lián)系用戶對(duì)接人，在說(shuō)明情況并得到用戶確認(rèn)后，斷網(wǎng)處理的同時(shí)對(duì)CS外連IP進(jìn)行封堵。

經(jīng)應(yīng)急人員遠(yuǎn)程上機(jī)排查，發(fā)現(xiàn)該管理系統(tǒng)版本未更新，存在歷史漏洞，攻擊者利用文件上傳漏洞上傳了webshell后又上傳了CS遠(yuǎn)控；對(duì)安全設(shè)備日志進(jìn)行綜合分析，暫未發(fā)現(xiàn)內(nèi)網(wǎng)橫向告警日志，確認(rèn)無(wú)橫向行為。

該漏洞為歷史漏洞，經(jīng)溝通確認(rèn)，由安恒提供修復(fù)建議，用戶自行聯(lián)系軟件服務(wù)商進(jìn)行升級(jí)修復(fù)。此次應(yīng)急事件中，7*24小時(shí)的安全防護(hù)發(fā)揮了其應(yīng)有作用，用戶表示非工作時(shí)間外也有專家在盯著，他放假期間可以放心了。

四、詐騙郵件也能防

在云端試用服務(wù)下線前夕，安全團(tuán)隊(duì)收到了一封可疑郵件的提示。經(jīng)過(guò)分析和鑒定，發(fā)現(xiàn)這封郵件是來(lái)自海外一個(gè)惡意團(tuán)伙的詐騙郵件。為了保護(hù)用戶的權(quán)益和資產(chǎn)安全，安全團(tuán)隊(duì)立即采取措施阻斷這個(gè)威脅，并及時(shí)通知用戶了解全部情況。

用戶獲知這個(gè)情況后，深感安全意識(shí)的重要性，因此希望安恒信息MSS服務(wù)團(tuán)隊(duì)能為其全體員工進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。通過(guò)這次事件，用戶不僅提高了對(duì)安全風(fēng)險(xiǎn)的認(rèn)知，也加深了對(duì)網(wǎng)絡(luò)安全保障的信任和支持。

安恒信息MSS服務(wù)團(tuán)隊(duì)通過(guò)深入淺出的教學(xué)方式和生動(dòng)有趣的案例分享，幫助供應(yīng)商員工更好地理解和掌握網(wǎng)絡(luò)安全知識(shí)和技能，提升了其網(wǎng)絡(luò)安全意識(shí)和風(fēng)險(xiǎn)防范能力。

五、用戶心聲

MSS安全服務(wù)云端能夠非常及時(shí)地發(fā)現(xiàn)并反饋問(wèn)題，處理速度迅速，而網(wǎng)絡(luò)安全建設(shè)是一個(gè)需要不斷升級(jí)與維護(hù)的過(guò)程。我們對(duì)未來(lái)的規(guī)劃中，將會(huì)增加對(duì)單位網(wǎng)絡(luò)安全的投入，期待能獲得如貴公司般的專業(yè)支持。

杭州亞運(yùn)會(huì)業(yè)已帷幕。在幕前，觀眾看到的是運(yùn)動(dòng)健兒在賽場(chǎng)上拼搏奮斗；在幕后，網(wǎng)絡(luò)安全衛(wèi)士在“賽博戰(zhàn)場(chǎng)”上全天候守護(hù)。作為杭州亞運(yùn)會(huì)官方網(wǎng)絡(luò)安全服務(wù)合作伙伴，安恒信息1千余名網(wǎng)絡(luò)安全衛(wèi)士提供了全方位、全時(shí)段的網(wǎng)絡(luò)安全保障，交出了一份“零事故”答卷。

安全不是一次性投入，安全需要持續(xù)優(yōu)化、持續(xù)建設(shè)、持續(xù)運(yùn)營(yíng)。安恒信息MSS安全托管運(yùn)營(yíng)服務(wù)將為更好地解決企業(yè)“安全設(shè)備無(wú)人使用”、“組織缺乏實(shí)戰(zhàn)能力”、“無(wú)標(biāo)準(zhǔn)化安全運(yùn)營(yíng)流程”等問(wèn)題而不斷突破、持續(xù)精進(jìn)，提供更完善、省心的安全服務(wù)。