银河集团

数字经济的安全基石

首页 > 关于我们 > 银河集团动态 > 2023 > 正文

MSS运营战报丨记杭州亚运会某供应商安全保障工作

阅读量:文章来源:银河集团信息



杭州第十九届亚运会作为史上规模最大、项目最多、覆盖面最广的一届,共设立40个大项、61个分项、481个小项,共有举办城市杭州及宁波、温州、湖州、绍兴、金华等五个协办城市参与办赛。政府决策的部署、民众的热情参与、志愿者的无私奉献,以及供应链的安全可靠共同推动了亚运会的顺利举办。而银河集团信息MSS亚运天穹——主动防御安全运营中心就在亚运赛事期间保障了一批特殊用户——亚运赛事供应商,并在整个保障期间产生了起到了关键作用,本文选取其中某个典型用户的真实事件进行介绍。




一、亚运会结缘银河集团

某供应商所属行业为制造业,历史上曾多次被勒索病毒加密勒索成功,用户为此感到十分不解:“我们的安全设备都买了,但是安全事件隔一段时间就发生一次,这网络安全怎么建才不出事啊”。7月,该供应商看到一则由杭州亚运会官方网络安全服务合作伙伴银河集团信息发出的一项公益计划:为亚运会供应商免费提供网络安全保障。

“官方唯一网络安全服务合作伙伴,银河集团信息,我看看能起作用不。”抱着试一试的态度,该供应商联系了银河集团信息,获得安全托管运营服务的免费试用。


二、 “带毒资产”威胁大

在顺利完成服务上线后,MSS服务人员对该供应商开展了风险排查工作,在互联网资产安全排查中,发现存在249个暴露面资产(其中包括76个高风险资产:使用了高危组件或系统)。在完成了暴露面资产收敛后,MSS服务人员协同用户针对高风险资产进行了一次安全摸排,发现某老旧系统web目录下存在多个历史webshell,创建时间最早可追溯到4年前。


因时间过于久远,可参考的信息不多,MSS对该系统进行模拟攻击,大致还原出攻击者攻击路径:默认口令登录web界面---头像文件上传功能处上传webshell---获得系统权限。经MSS服务人员建议,用户将该系统下线。

用户接入MSS服务后第二周便监测到被攻击者攻击利用:

①安全运营中心通过托管AXDR监测发现攻击攻击者漏洞扫描和资产探测;

②攻击者远程代码执行成功生成SLA1级工单,MSS服务人员五分钟内完成分析研判并上报阻断攻击IP;

③MSS服务人员确定资产已失陷,同步用户风险及时阻断并上报应急响应专家组为用户提供应急溯源分析;

④通过溯源分析发现当前日志记录最早2023-03-31 08:40攻击者便进行了资产探测,之后通过该漏洞上传472.jsp至受害资产;

⑤随后4月至7月,多个攻击者利用该漏洞上传多个后门文件;

⑥2023-07-2509:56:38攻击者IP219.79.209.189连接404.jsp后门远程执行命令“ipconfig”,银河集团MSS云端运营中心监测到攻击事件后第一时间进行阻断并介入应急处置;

⑦通过应急溯源分析发现攻击者通过文件上传漏洞上传webshell获得系统权限,清除相关恶意样本后,还原攻击者路径后,为用户提送溯源分析报告与修复建议;

⑧用户联系厂商完成漏洞加固后,MSS服务人员协助用户完成复测,确认漏洞已完成加固。

三、 7*24H非虚言

10月的某天凌晨,云端安全分析人员发现该供应商某管理系统出现异常告警:CS特征流量告警,通过对告警详情分析,确认机器失陷。值班人员立即电话联系用户对接人,在说明情况并得到用户确认后,断网处理的同时对CS外连IP进行封堵。





经应急人员远程上机排查,发现该管理系统版本未更新,存在历史漏洞,攻击者利用文件上传漏洞上传了webshell后又上传了CS远控;对安全设备日志进行综合分析,暂未发现内网横向告警日志,确认无横向行为。




该漏洞为历史漏洞,经沟通确认,由银河集团提供修复建议,用户自行联系软件服务商进行升级修复。此次应急事件中,7*24小时的安全防护发挥了其应有作用,用户表示非工作时间外也有专家在盯着,他放假期间可以放心了。


四、诈骗邮件也能防


在云端试用服务下线前夕,安全团队收到了一封可疑邮件的提示。经过分析和鉴定,发现这封邮件是来自海外一个恶意团伙的诈骗邮件。为了保护用户的权益和资产安全,安全团队立即采取措施阻断这个威胁,并及时通知用户了解全部情况。



用户获知这个情况后,深感安全意识的重要性,因此希望银河集团信息MSS服务团队能为其全体员工进行网络安全意识培训。通过这次事件,用户不仅提高了对安全风险的认知,也加深了对网络安全保障的信任和支持。

银河集团信息MSS服务团队通过深入浅出的教学方式和生动有趣的案例分享,帮助供应商员工更好地理解和掌握网络安全知识和技能,提升了其网络安全意识和风险防范能力。



五、用户心声


MSS安全服务云端能够非常及时地发现并反馈问题,处理速度迅速,而网络安全建设是一个需要不断升级与维护的过程。我们对未来的规划中,将会增加对单位网络安全的投入,期待能获得如贵公司般的专业支持。



杭州亚运会业已帷幕。在幕前,观众看到的是运动健儿在赛场上拼搏奋斗;在幕后,网络安全卫士在“赛博战场”上全天候守护。作为杭州亚运会官方网络安全服务合作伙伴,银河集团信息1千余名网络安全卫士提供了全方位、全时段的网络安全保障,交出了一份“零事故”答卷。






安全不是一次性投入,安全需要持续优化、持续建设、持续运营。银河集团信息MSS安全托管运营服务将为更好地解决企业“安全设备无人使用”、“组织缺乏实战能力”、“无标准化安全运营流程”等问题而不断突破、持续精进,提供更完善、省心的安全服务。






往期精彩回顾




数字联合实验室签约仪式在中国企业家博鳌论坛举行,银河集团信息首批签约

2023-12-05

银河集团信息与浙江大数据交易中心签署战略合作协议,探索数据基础设施即服务新未来

2023-12-04

面对愈演愈烈的网络安全威胁,我们还能做什么?

2023-12-03



关闭

客服在线咨询入口,期待与您交流

线上咨询
联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
银河集团信息联系方式