首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

MSS運營戰(zhàn)報丨記杭州亞運會某供應(yīng)商安全保障工作

閱讀量：次 文章來源：安恒信息

杭州第十九屆亞運會作為史上規(guī)模最大、項目最多、覆蓋面最廣的一屆，共設(shè)立40個大項、61個分項、481個小項，共有舉辦城市杭州及寧波、溫州、湖州、紹興、金華等五個協(xié)辦城市參與辦賽。政府決策的部署、民眾的熱情參與、志愿者的無私奉獻，以及供應(yīng)鏈的安全可靠共同推動了亞運會的順利舉辦。而安恒信息MSS亞運天穹——主動防御安全運營中心就在亞運賽事期間保障了一批特殊用戶——亞運賽事供應(yīng)商，并在整個保障期間產(chǎn)生了起到了關(guān)鍵作用，本文選取其中某個典型用戶的真實事件進行介紹。

一、亞運會結(jié)緣安恒

某供應(yīng)商所屬行業(yè)為制造業(yè)，歷史上曾多次被勒索病毒加密勒索成功，用戶為此感到十分不解：“我們的安全設(shè)備都買了，但是安全事件隔一段時間就發(fā)生一次，這網(wǎng)絡(luò)安全怎么建才不出事啊”。7月，該供應(yīng)商看到一則由杭州亞運會官方網(wǎng)絡(luò)安全服務(wù)合作伙伴安恒信息發(fā)出的一項公益計劃：為亞運會供應(yīng)商免費提供網(wǎng)絡(luò)安全保障。

“官方唯一網(wǎng)絡(luò)安全服務(wù)合作伙伴，安恒信息，我看看能起作用不?！北е囈辉嚨膽B(tài)度，該供應(yīng)商聯(lián)系了安恒信息，獲得安全托管運營服務(wù)的免費試用。

二、 “帶毒資產(chǎn)”威脅大

在順利完成服務(wù)上線后，MSS服務(wù)人員對該供應(yīng)商開展了風險排查工作，在互聯(lián)網(wǎng)資產(chǎn)安全排查中，發(fā)現(xiàn)存在249個暴露面資產(chǎn)（其中包括76個高風險資產(chǎn)：使用了高危組件或系統(tǒng)）。在完成了暴露面資產(chǎn)收斂后，MSS服務(wù)人員協(xié)同用戶針對高風險資產(chǎn)進行了一次安全摸排，發(fā)現(xiàn)某老舊系統(tǒng)web目錄下存在多個歷史webshell，創(chuàng)建時間最早可追溯到4年前。

因時間過于久遠，可參考的信息不多，MSS對該系統(tǒng)進行模擬攻擊，大致還原出攻擊者攻擊路徑：默認口令登錄web界面---頭像文件上傳功能處上傳webshell---獲得系統(tǒng)權(quán)限。經(jīng)MSS服務(wù)人員建議，用戶將該系統(tǒng)下線。

用戶接入MSS服務(wù)后第二周便監(jiān)測到被攻擊者攻擊利用：

①安全運營中心通過托管AXDR監(jiān)測發(fā)現(xiàn)攻擊攻擊者漏洞掃描和資產(chǎn)探測；

②攻擊者遠程代碼執(zhí)行成功生成SLA1級工單，MSS服務(wù)人員五分鐘內(nèi)完成分析研判并上報阻斷攻擊IP；

③MSS服務(wù)人員確定資產(chǎn)已失陷，同步用戶風險及時阻斷并上報應(yīng)急響應(yīng)專家組為用戶提供應(yīng)急溯源分析；

④通過溯源分析發(fā)現(xiàn)當前日志記錄最早2023-03-31 08:40攻擊者便進行了資產(chǎn)探測，之后通過該漏洞上傳472.jsp至受害資產(chǎn)；

⑤隨后4月至7月，多個攻擊者利用該漏洞上傳多個后門文件；

⑥2023-07-2509:56:38攻擊者IP219.79.209.189連接404.jsp后門遠程執(zhí)行命令“ipconfig”，安恒MSS云端運營中心監(jiān)測到攻擊事件后第一時間進行阻斷并介入應(yīng)急處置；

⑦通過應(yīng)急溯源分析發(fā)現(xiàn)攻擊者通過文件上傳漏洞上傳webshell獲得系統(tǒng)權(quán)限，清除相關(guān)惡意樣本后，還原攻擊者路徑后，為用戶提送溯源分析報告與修復(fù)建議；

⑧用戶聯(lián)系廠商完成漏洞加固后，MSS服務(wù)人員協(xié)助用戶完成復(fù)測，確認漏洞已完成加固。

三、 7*24H非虛言

10月的某天凌晨，云端安全分析人員發(fā)現(xiàn)該供應(yīng)商某管理系統(tǒng)出現(xiàn)異常告警：CS特征流量告警，通過對告警詳情分析，確認機器失陷。值班人員立即電話聯(lián)系用戶對接人，在說明情況并得到用戶確認后，斷網(wǎng)處理的同時對CS外連IP進行封堵。

經(jīng)應(yīng)急人員遠程上機排查，發(fā)現(xiàn)該管理系統(tǒng)版本未更新，存在歷史漏洞，攻擊者利用文件上傳漏洞上傳了webshell后又上傳了CS遠控；對安全設(shè)備日志進行綜合分析，暫未發(fā)現(xiàn)內(nèi)網(wǎng)橫向告警日志，確認無橫向行為。

該漏洞為歷史漏洞，經(jīng)溝通確認，由安恒提供修復(fù)建議，用戶自行聯(lián)系軟件服務(wù)商進行升級修復(fù)。此次應(yīng)急事件中，7*24小時的安全防護發(fā)揮了其應(yīng)有作用，用戶表示非工作時間外也有專家在盯著，他放假期間可以放心了。

四、詐騙郵件也能防

在云端試用服務(wù)下線前夕，安全團隊收到了一封可疑郵件的提示。經(jīng)過分析和鑒定，發(fā)現(xiàn)這封郵件是來自海外一個惡意團伙的詐騙郵件。為了保護用戶的權(quán)益和資產(chǎn)安全，安全團隊立即采取措施阻斷這個威脅，并及時通知用戶了解全部情況。

用戶獲知這個情況后，深感安全意識的重要性，因此希望安恒信息MSS服務(wù)團隊能為其全體員工進行網(wǎng)絡(luò)安全意識培訓(xùn)。通過這次事件，用戶不僅提高了對安全風險的認知，也加深了對網(wǎng)絡(luò)安全保障的信任和支持。

安恒信息MSS服務(wù)團隊通過深入淺出的教學(xué)方式和生動有趣的案例分享，幫助供應(yīng)商員工更好地理解和掌握網(wǎng)絡(luò)安全知識和技能，提升了其網(wǎng)絡(luò)安全意識和風險防范能力。

五、用戶心聲

MSS安全服務(wù)云端能夠非常及時地發(fā)現(xiàn)并反饋問題，處理速度迅速，而網(wǎng)絡(luò)安全建設(shè)是一個需要不斷升級與維護的過程。我們對未來的規(guī)劃中，將會增加對單位網(wǎng)絡(luò)安全的投入，期待能獲得如貴公司般的專業(yè)支持。

杭州亞運會業(yè)已帷幕。在幕前，觀眾看到的是運動健兒在賽場上拼搏奮斗；在幕后，網(wǎng)絡(luò)安全衛(wèi)士在“賽博戰(zhàn)場”上全天候守護。作為杭州亞運會官方網(wǎng)絡(luò)安全服務(wù)合作伙伴，安恒信息1千余名網(wǎng)絡(luò)安全衛(wèi)士提供了全方位、全時段的網(wǎng)絡(luò)安全保障，交出了一份“零事故”答卷。

安全不是一次性投入，安全需要持續(xù)優(yōu)化、持續(xù)建設(shè)、持續(xù)運營。安恒信息MSS安全托管運營服務(wù)將為更好地解決企業(yè)“安全設(shè)備無人使用”、“組織缺乏實戰(zhàn)能力”、“無標準化安全運營流程”等問題而不斷突破、持續(xù)精進，提供更完善、省心的安全服務(wù)。