网络安全实战攻防演练应急处置预案

第一章社会工程攻击

1.1 监测阶段

（1）蜜罐系统，还用于将检测到的疑似社会工程学攻击事件发送给控制器；控制器，还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统，并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。

（2）收到钓鱼邮件。

（3）短网址替换真实网址，欺骗用户访问。

（4）防恶意软件，防火墙，入侵检测系统告警。

1.2 研判阶段

（1）看发件地址，若非预期不理。留心利用拼写错误来假冒发件人地址，比如r+n ~ m，v+v_w，c+ld…；或私人邮箱号称官方邮件等。

（2）看邮件标题，警惕诈骗字眼。典型的钓鱼邮件标题常包含(但不限于) “账单、邮件投递失败、包裹投递、执法、扫描文档”等，重大灾害、疾病等热点事件常被用于借机传播。

（3）看正文内容，辨明语法错误。忽略泛泛问候的邮件，警惕指名道姓的邮件；诈骗相关的热门正文关键字包括“发票、支付、重要更新”等；包含官方LOGO图片不等于就是真邮件。

（4）看正文目的，保持镇定从容。当心索要登录密码、转账汇款等请求，通过内部电话等其它可信渠道进行核实。对通过“紧急、失效、重要”等词语制造紧急气氛的邮件谨慎辨别，不要忙中犯错。

（5）看链接网址，注意鼠标悬停。鼠标悬停在邮件所含链接的上方，观看邮件阅读程序下方显示的地址与声称的地址是否一致。

（6）看内嵌附件，当心木马易容。恶意电子邮件会采取通过超长文件名隐藏附件真实类型，起迷惑性附件名称诱使用户下载带毒邮件。一定要用虚拟机中打开，在下载邮件附件之前，应仔细检查附件文件名和格式，不要因好奇而下载可疑附件。打开前用杀毒软件进行扫描。常见的带毒邮件附件为：.zip，.rar等压缩文件格式。.doc，.pdf等文档中也可带有恶意代码。

（7）有网站可以把短网址还原还可以把压缩的网址还原成原来的网址，把真实的网址无所遁形，一般短网址组成：短网址网站的域名+“/”+短码。

1.3 处置阶段

（1）如果溯源到ip，上报指挥小组，上报封禁。

（2）拒绝外部短网址的请求。

（3）对网站的安全性进行分级并且初始安全评估报告。

第二章发现隐蔽攻击隧道

2.1 监测阶段

（1）当出现有未知软件告警时，判断软件是否为常用隧道软件，如为搭建隧道软件，立即清除。

（2）记录软件名称，软件路径，文件传输文件交研判组。

2.2 研判阶段

（1）借助网络安全分析设备对用户和(或)系统行为进行分析。

（2）分析未知软件和传输软件。

（3）如果研判攻击成功，应向处置小组递交研判单，并配合后续处置流程。

2.3 处置阶段

（1）如确认为隧道进行攻击，应该立即上报指挥小组，协助指挥小组分析攻击事件

（2）对有关出站或入站DNS查询的长度、类型或大小等建立规则。

（3）定期采用主流杀毒软件进行查杀，对出现的未知软件及时进行清除。

（4）处于生产区的服务器主机在必要时禁止ICMP协议。

第三章发现重要敏感数据窃取

3.1 监测阶段

（1）收集窃取行为信息：敏感文件读取行为例如（linux系统下：passwd文件、web中间件配置文件等）、数据库敏感信息窃取等行为，提取在排查范围内的服务器、终端、应用系统等的告警日志，并进行分析，发现可能窃取数据的攻击行为。重点排查和分析SQL注入、Webshell等可获取数据的攻击日志。

（2）整理采集到的数据窃取信息，向研判小组递交监测单。

3.2 研判阶段

（1）研判失窃信息的敏感等级。

（2）高敏感等级应立即向处置小组进行上报，再进行后续研判以及信息收集工作。

（3）组织技术研判组对失窃数据内容及范围进行研判，根据研判结果向相关业务主管部门进行通报。

（4）相关业务主管部门在收到通报后，应在第一时间根据技术研判组研判建议采取相关处置措施，防止事件升级。

3.3 处置阶段

（1）如果是SQL注入进行数据窃取，应及时分析和查找注入点，配合业务方进行临时系统加固，等待指挥小组安排后续上机处置。

（2）提高检测能力，及时更新诸如IDS和其他入侵报告工具等的检测策略，以保证将来对类似的入侵进行检测。

第四章系统被控制、植入木马等

4.1 监测阶段

（1）当发现系统远程执行命令或者木马相关告警时，应立即判断攻击IP是否为公网外部IP，如为公网外部IP，则应立即向IP封禁组递交IP封禁列表。

（2）记录攻击IP以及受攻击IP，记录攻击命令或者木马类型，向研判组递交监测单。

4.2 研判阶段

（1）根据告警以及日志分析攻击结果。

（2）分析受到影响业务以及主机。

（3）如果研判攻击成功，应向处置小组递交研判单，并配合后续处置流程。

4.3 处置阶段

（1）务必首先上报指挥小组。

（2）协调业务方进行安全整改以及安全加固。

（3）等待指挥小组安排上机排查。

（4）上机排查务必保留攻击证据，并消除木马以及远控客户端。

第五章邮件系统被盯控

5.1 监测阶段

（1）可利用阅读记录去识别，通常黑客盗取邮箱时，会过滤所有你的邮箱，只留下他们感兴趣的信息。

（2）登录管理后台查看。

（3）发现已读变成未读。

5.2 研判阶段

（1）往常用邮箱发送检测文件，若邮箱有多个，请使用群发单显功能。

（2）邮箱标题要设置吸引人的关键词，如新的银行卡密码，公司通信录，员工信息表等。

（3）插入：发信时勾选邮箱追踪功能，邮件被阅读触发追踪记录，包含对方ip，设备，阅读时间等信息。

（4）保持关注该邮件的追踪记录。

5.3 处置阶段

（1）修改密码，不可为常用密码。

（2）邮箱有专用的密码或授权码，开启。

（3）建议登录页面的短信验证开启，收信使用授权码验证。

（4）把ip，设备拉黑。

第六章近源攻击突破网络防线

6.1 监测阶段

（1）收集物理设备或智能终端如：网线接口、USB接口、智能设备等业务系统信息。

（2）对无线网络端进行检测，对无线节点混乱、无线网络区域划分不当、无线网络设置为弱口令登录、无线网络密码口令复用、无线设备过于老旧等问题进行排查。

6.2 研判阶段

（1）根据告警以及日志分析攻击结果。

（2）若存在无线网络密码爆破成功、异常IP连接成功等行为，则应立即向处置小组上报，再进行后续攻击证据收集。

（3）如果研判攻击成功，应向处置小组递交研判单，并配合后续处置流程。

6.3 处置阶段

（1）采取零信任处置措施。

（2）若为无线网络端攻击：则加固无线网络设备，若为弱口令，改变全部可能受到攻击的系统的口令并定期修改；增加网络区域隔离，一般用户无法直连核心网络，定期进行设备升级。

（3）若为终端设备攻击：则加强人员管理，防止终端设备物理接口攻击，应向指挥小组上报，配合业务方进行系统加固或者接口升级。

第七章供应链打击

7.1 监测阶段

（1）如发现安全设备告警时，设备针对终端/主机的进程创建、文件写入、模块加载、注册表值写入等异常行为进行监控对大多数攻击行为的捕获。

（2）如发现流量侧监控告警，对告警流量包进行记录。

7.2 研判阶段

（1）对攻击行为进行分析，结合日志，计划任务，进程服务等应急操作对攻击行为确认。

（2）对后门文件，样本文件分析，判断是否启动恶意程序。

（3）如果研判攻击成功，应向处置小组递交研判单，并配合后续处置流程。

7.3 处置阶段

（1）对攻击入口进行封堵、攻击传播链阻断以及恶意IOC的封禁。

（2）根据缓解步骤中提取出的各种IOC信息，全面关联告警查询，在各监控平台内做二次review,结合事前准备阶段的SBOM软件物料清单，全网全终端排查受影响范围。

（3）恢复系统网络连接、恢复系统和应用服务、恢复账号等用户数据，对系统进行全面安全加固。

第八章通过下属单位、跨网、迂回攻击

8.1 监测阶段

（1）如通过下属单位进行攻击，应立对攻击详情进行收集并向研判小组递交监测单。

（2）如发现跨网、迂回攻击，则应立即向IP封禁小组递交IP封禁列表，对攻击事件进行初判是否为有效攻击，如是有效攻击则向研判小组递交监测单。

8.2 研判阶段

（1）如发现是通过下属单位进行攻击，则应立即向处置小组上报，再进行后续攻击证据收集。

（2）如跨网、迂回攻击，则根据攻击告警以及工具日志进行攻击结果分析，如果攻击成功，则根据日志进行证据采集以及分析攻击广度以及攻击深度，并向处置组递交研判单。

8.3 处置阶段

（1）如是通过下属单位进行的攻击，应立即上报指挥小组，并配合指挥小组进行上机排查攻击事件。

（2）对受影响的系统进行临时安全加固，并且配合业务方进行业务调整以及安全升级。

（3）对于跨网的以及迂回攻击的攻击IP进行封禁。

第九章内网敏感信息被搜集利用

9.1 监测阶段

（1）收集数据泄露的帐号或者接口信息。

（2）收集数据泄露的业务系统信息。

（3）整理采集到的数据泄露信息，向研判小组递交监测单。

9.2 研判阶段

（1）研判泄漏信息的敏感等级。

（2）高敏感等级应立即向处置小组进行上报，再进行后续研判以及信息收集工作。

（3）如信息泄露点为个人账号导致，则应收集该账号信息，以及分析账号是否应被禁用或者修改密码等，并向处置小组递交研判单。

（4）如泄露点为业务系统或者业务接口，应验证接口的数据权限以及验证接口泄露数据的范围，分析泄露产生的原因编写修复意见，并向处置小组递交研判单。

9.3 处置阶段

（1）如泄漏点为个人账号，则应立即采用禁用策略、修改密码或者权限降级。

（2）如泄露点为信息系统或者系统接口，应向指挥小组上报，配合业务方进行系统加固或者接口升级。

第十章漏洞利用、口令盗用、权限提升等高危操作

10.1 监测阶段

（1）收集漏洞类型、盗用的口令、以及权限提升命令或者权限提升操作。

（2）对攻击结果进行初次分析，如果分析攻击成功则向研判小组递交研判单。

10.2 研判阶段

（1）研判漏洞利用结果是否成功，如果漏洞利用成功则应立上报处置小组再进行后续研判工作。应研判漏洞影响的范围以及受影响的主机，根据漏洞类型以及影响范围编写修复建议向处置组递交研判单。

（2）如是口令盗用攻击，则应使用该口令进行横向以及纵向分析，分析是否还有其他业务系统受影响以及其他模块受影响，研判口令影响范围，根据口令以及影响范围编写研判单向处置小组递交。

（3）如存在权限提升攻击，应研判是否提权成功，以及提权后的后续操作，如果权限提升成功，则应根据帐号信息以及权限信息编写研判单递交给处置小组。

10.3 处置阶段

（1）如果是漏洞利用，则应立即向指挥小组上报，并进行临时系统加固，等待指挥小组安排后续上机处置。

（2）配合指挥小组以及业务方对系统进行安全加固以及安全升级。

（3）如盗用口令攻击，则应对被盗用口令进行禁用，溯源口令供给链路以及生成口令的帐号。

（4）权限提升攻击应立即对帐号进行权限限制操作，如果已经发生权限蔓延，则需要配合业务方对蔓延的帐号进行权限恢复。