本次应急演练模拟黑客真实攻击方式,针对目前网络安全突出问题,以"数据泄露、勒索病毒"此类最常见的网络安全案事件为场景,以系统模拟靶机为主要目标,参照友链http://XXX克隆的网页为依托,开展本次应急演练活动。
主持人(中国电信XXX) ****:****大家好!欢迎各位参加2023年度XXX局网络安全应急处置演练,有请网络安全和信息化工作领导小组组长郑艺强讲话。
网信工作领导小组组长(科长) ****:****为妥善应对和处置网络信息安全突发事件,确保单位的重要信息系统安全、稳定、持续运行,防止造成重大损失和影响,提高我单位网络与信息系统应急保障能力,从而进一步加强单位的网络安全工作,提升网络安全防护意识和能力。我们今天举行网络安全应急演练活动,通过模拟网站篡改和勒索病毒事件的演练场景,让大家能够更好的了解遇到该类网络安全事件时如何开展应急处置工作。
主持人(中国电信XXX):感谢科长,本次参与演练活动的人员主要为局网络安全和信息化工作领导小组成员代表、中国电信攻击队伍、市医保局防守队伍。
主持人(中国电信XXX) : 本次演练设置了两种常见的安全事件场景,一是 XXX局官网 数据库遭受数据泄露;二是 XXX局官网 服务器 ****遭受勒索病毒攻击。****本次演练重点是检验相关工作人员是否能清楚判断事件级别并启动相应应急处置流程,能否最短时间内恢复业务,从而达到培训相关人员熟悉应急响应的流程、提升维护人员应急处置技能、完善应急响应预案的目的,保障在真正出现网络安全事件后,能够进行快速且有秩序、有条理的响应工作,保障信息系统能够正常运行。
主持人(中国电信XXX) ****:****下面进入演练准备阶段,相关操作将通过显示屏展示,请攻击队伍和防守队伍进行演练前检查。
报告科长,2023年XXX局网络安全应急处置演练已准备就绪,可启动演练,请指示。
网信工作领导小组组长(科长) ****:****开始演练!
一、演练场景一: XXX局官网 数据库泄露场景(Ⅳ级响应)
主持人(中国电信XXX) ****:****首先向大家展示的是本次应急演练的第一个场景:XXX局官网数据库泄露场景,XXX局信息和法规科安全员在工作中发现存放XXX局官网信息的云数据库被异地登录了,该数据库已设置了安全策略,出现异地登录会发出告警邮件通知管理员,并对此事件进行应急处置。
【模拟攻击队伍进行平台攻击操作,攻击完成后报告示意】
****攻击队伍代表:****现在开始模拟攻击队伍,进行攻击操作。报告攻击完成。
****防守队伍值守人员:****邮件接收到XXX局官网数据库平台管理账号存在异地登录的提醒,向负责人报告。
主持人(中国电信XXX) ****:****XXX局信息和法规科网络安全值守人员像往常一样登陆邮箱,看到一条邮件告警邮件,发现存放XXX局官网平台管理账号存在异地登录,经初步分析,该账号因超过3个月没有修改,组合较简单,有可能存在账号密码被破解导致数据库数据泄露安全隐患。根据《网络信息安全事件应急预案》要求,将发生的网络安全事件立即上报,并开展一系列应急处置工作。
防守队伍负责人(组长) ****:****科长,我们单位XXX局官网数据库管理账号在九点十五左右有异地登录的情况,疑遭受数据泄露攻击,请指示。
网信工作领导小组组长(科长) ****:****收到,请你们立即按照《XXX局网络安全事件应急预案》启动应急处置,马上开展隐患排查,请着重检查服务器管理账号是否存在弱口令情况。
防守队伍负责人(组长) ****:****收到,请应急组先将该数据库系统进行断网处理,查看数据是否有丢失并配合排查。
安全员(XXX) ****:****好的,收到。数据库系统主机已断网,暂停使用,数据暂未发现丢失现象。数据库异地登录经排查地址为境外地址,初步判断是黑客攻击行为。
网信工作领导小组组长(科长) ****:****好的,情况我已了解!按照《XXX局网络安全事件应急预案》,本次网络安全事件定性为一般安全事件(Ⅳ级),请你们根据事件发生原因,有针对性采取措施,备份数据、保护设备、排查隐患,做好现场保护,控制事态发展,防止破坏蔓延,开展应急处置!将相关情况通报局办公室!
防守队伍负责人(组长) ****:****好的,收到。我已同步将相关情况报局办公室,并已让应急人员按照预案中的方法进行应急处置。
【投屏演示排查措施】
安全员(XXX) ****:****现开展排查包括文件分析、进程命令、系统账号、计划任务、日志分析等。经排查确认,这台主机的进程、账号等未发现问题,通过日志分析发现有一个境外ip(192.168.221.1)通过nzb123456弱口令成功连到本台服务主机的3306端口。
【投屏演示加固措施】
安全员(XXX) ****:****目前已将数据库系统设置为禁止外连,并阻断境外ip(192.168.221.1)的连接,对将数据库登录口令更改为强口令Nzb@5683-CJL,并对服务器进行全盘杀毒处理,针对数据泄露事件会着重对系统进行关闭默认共享、关闭高危端口、加强系统各用户口令、同时为系统更新最新的安全补丁、开启全部的审计日志作异常登录溯源跟踪等操作。现先恢复服务器正常使用,请确认!
防守队伍负责人(组长) ****:****收到。经测试数据库系统已恢复。
防守队伍负责人(组长) ****:****报告科长,经排查发现该事件是因为数据库系统的登录密码因超过3个月没有修改,组合较简单,较容易破解,所以攻击者可以从境外连接进数据库获取信息,导致数据泄露事件,我们已完成数据泄露事件处理,进行了漏洞安全加固,数据库系统已正常恢复运行,并对其他数据库进行排查,也都是正常运行,后续将继续跟进及漏洞检测工作。请指示!
网信工作领导小组组长(科长) ****:****请持续监测系统运行情况,并记录相关资料取证以书面形式汇报,报告我审核后汇报给局办公室。
安全员(XXX) ****:****收到,弱口令是网络安全最常见的隐患,请防守队伍应急人员全面排查官网平台系统中所有的账号是否有同样情况,如有请立查立改,也请做好后续的密码管理工作,杜绝弱口令,定期更换密码,保障系统安全。相关处理情况请形成纸质报告向局主要领导报告,并视情况报市委网信办掌握。
主持人(中国电信XXX) ****:****本次关于XXX局官网数据库数据泄露场景演练结束,我们可以看到本次场景主要攻击的方式是针对对外开放一些数据库端口,以及对数据库的登录口令破解等等,一旦找到突破口,数据库里的所有信息都是存在安全风险隐患的,所以我们平时需要加强注意:一是要避免使用简单密码,定期修改密码,受到暴力破解;二是需要采取最小化原则,收敛被攻击面,避免将数据库端口对外进行开放。
二、演练场景二: XXX局官网 服务器中勒索病毒(Ⅲ级响应)
主持人(中国电信XXX) ****:****接下来向大家展示的是本次应急演练的场景二:XXX局官网服务器中了勒索病毒,对该事件启动应急处置。
主持人(中国电信XXX) ****:****XXX局信息和法规科安全员像往常一样登陆单位平台工作。发现平台无法打开,技术人员登录服务器发现平台登录页面无法正常访问,且有勒索弹窗信息,疑似感染了勒索病毒,根据《XXX局网络安全事件应急预案》要求,XXX局信息和法规科安全员将发生的网络安全事件立即报告单位负责人及局办公室,并开展一系列应急处置工作。
安全员(XXX) ****:****报告科长,我刚发现官网平台无法打开,技术人员登录服务器出现勒索弹窗信息,疑似遭受勒索病毒,请指示!
网信工作领导小组组长(科长) ****:****收到,请你们立即按照《XXX局网络安全事件应急预案》开展应急处置,请立即将该服务器进行断网隔离进行勒索病毒查杀,并排查其他服务器是否有类似隐患,检查病毒是否有扩散。
防守队伍负责人(组长) ****:****收到,中毒服务器技术人员已第一时间进行断网处理。
防守队伍负责人(组长) ****:****应急组,请立即将平台进行下线处理并替换为维护页面。另外排查其他服务器有没有感染勒索病毒,如若发现感染情况,第一时间进行断网处理。
安全员(XXX) ****:****收到,立即处理。
罗组长,平台已下线处理,并替换为维护页面。中毒服务器勒索病毒进程已杀掉,经排查,其他服务器暂无发现有感染勒索病毒的情况。
防守队伍负责人(组长) ****:****好的,请密切关注平台服务器情况,有新情况立即报告。
安全员(XXX) ****:****好的,收到。
安全员(XXX) ****:****报告科长,中毒服务器已进行断网处理,其他服务器主机并没有被勒索病毒感染。已将此平台进行下线,并替换为维护页面。
网信工作领导小组组长(科长) ****:****收到,请立即启动应急预案。按照《XXX局网络安全事件应急预案》,本次网络安全事件定性为较大(Ⅲ级)安全事件,请立即上报局办公室,并同时通报市委网信办和公安机关!据事件发生原因,有针对性采取措施,备份数据、保护设备、排查隐患,做好现场保护,控制事态发展,防止破坏蔓延,恢复被加密的平台网站。
防守队伍负责人(组长) ****:****好的,收到。我会让应急组成员按照预案中的方法进行应急处置,尽力将数据损失降至最低。
安全员(XXX) ****:****报告科长,我办官网平台服务器已进行断网处理,其他服务器主机并没有被勒索病毒感染。已将此平台进行下线,并替换为维护页面。
网信工作领导小组组长(科长) ****:****收到,请你们密切跟进后续排查情况,调查分析该事件发生原因,在保证安全的情况下并做好平台数据恢复与上线恢复等工作。
防守队伍负责人(组长) ****:****好的,收到。
应急组,根据科长及局机关有关指示,请按照预案中的方法进行进一步的应急处理,尽力将数据损失降至最低。另外,做好勒索病毒查杀、平台数据恢复、平台上线恢复和事件原因调查等工作。
安全员(XXX) ****:****收到,罗组长,我们会按照预案中的操作方法进行排查,排查包括文件分析、进程命令、系统账号、计划任务、日志分析等。
【投屏演示排查措施】
安全员(XXX) ****:****报告,经排查确认,这台服务器的C盘用户TEMP文件夹下存在病毒执行文件和可疑的bat文件,并且发现被添加恶意用户。
安全员(XXX) ****:****目前已将病毒执行文件、可疑bat文件皆删除,并且对终端进行全盘杀毒处理。通过对加密文件的后缀在病毒搜索引擎网站查询得知该勒索病毒当前无解密工具。
安全员(XXX) ****:****建议通过备份的平台数据进行恢复处理。
防守队伍负责人(组长) ****:****收到,我会将情况上报科长,待报告后再定处置措施。
防守队伍负责人(组长) ****:****科长,应急组反馈目前中毒服务器已将病毒执行文件、可疑bat文件皆删除,并且对终端进行全盘杀毒处理。通过对加密文件的后缀在病毒搜索引擎网站查询得知该勒索病毒当前无解密工具。应急组建议通过备份的平台数据进行恢复处理。
网信工作领导小组组长(科长) ****:****收到,请评估期间丢失的数据量并及时进行恢复。
防守队伍负责人(组长) ****:****应急组,经请示科长,请评估期间丢失的数据量并及时进行恢复
安全员(XXX) ****:****收到,立即进行平台备份数据恢复。
安全员(XXX) ****:****报告,平台已恢复正常运行,经确认,此次勒索病毒事件无造成数据损失。
防守队伍负责人(组长) ****:****收到,请进一步排查该次服务器感染勒索病毒原因,并报告有关情况。
安全员(XXX) ****:****收到。
安全员(XXX) ****:****报告科长。经测试平台已恢复,此次勒索病毒事件无造成数据损失。该次感染勒索病毒原因还在进一步排查确认。
网信工作领导小组组长(科长) ****:****好的。
【投屏演示加固措施】
安全员(XXX) ****:****报告科长,经排查发现攻击者利用远程桌面用户口令暴力破解攻击,成功获取服务器用户名口令之后登录服务器投放勒索病毒并执行,按照合规的系统基线进行加固,同时针对勒索病毒的情况,会着重对系统进行关闭默认共享、关闭高危3389端口、加强系统用户口令、为系统更新最新的安全补丁、开启全部的审计日志等操作。目前平台已恢复正常运行。
网信工作领导小组组长(科长) ****:****好的,辛苦了,继续观察平台的状态,关注新的漏洞信息,及时修复网站新的漏洞。并将本次所带来的损失记录并汇报,结束本次应急事件的处置。各有关部门要做好事后汇报和经验总结工作,相关处理情况请形成纸质报告向局主要领导汇报,经局主要领导审核后报市委网信办及市公安局。
主持人(中国电信XXX):本次关于官网平台勒索病毒场景演练结束,当发现某些系统中了勒索病毒,千万别忙着怎么交赎金,建议采取如下措施:一是先隔离被感染的服务器主机;二是确定被感染的范围,同时要上报领导和相关部门;三是进行溯源分析,查看日志信息等,找出攻击事件、路径和漏洞原因;四是做好系统的还原恢复、系统漏洞修复和加固;最后做好事件记录报告,以便报告和配合公安机关工作。
网信工作领导小组组长(科长) ****:****这次网络安全应急处置演练为我们敲响了警钟,网络安全无小事,局机关各科室、局系统各单位要高度重视,提高政治站位,深刻认识做好网络安全工作的重要性和紧迫性,深刻认识发生重大网络安全事件的严重性,切实履行主体责任,落实落细各项工作,全力保障我局各信息公开平台、工作网络安全平稳运行。
下面我宣布,2023年XXX局网络安全应急处置演练完满结束!