2020-2021年网络安全应急响应分析报告.pdf

2020-2021年 网络安全应急响应 分析报告 2021 年 1 月 主要观点 2020 年，集团安服团队共接到应急服务需求 660 起。政府部门、医 疗卫 生行业和事业单位的业务专网是 2020 年攻击者攻击的主要目标。 第三方通报已不是应急响应的主要原因。企业自主寻求应急响应支持已成应 急响应工作的主流。 仍有 77.6%的企业是在已经发生重大安全事故后才寻求应急响应的。能够通 过自主巡检在重大事件发生之前及时组织的机构占比仅为 17.1%。这说明， 国内政企机构的日常安全运营建设水平仍有待大幅提高。特别地，有 37.3% 的机构是在被勒索后才寻求应急响应，但此时补救往往为时已晚。 2020 年全年未发现大面积攻击事件，每月应急次数趋于平稳，说明行业专 用网络或特殊网络的安全建设有明显进步。持续进行的实战攻防演习活动也 是提升整个行业网络安全水平的重要原因。事实上，在过去几年间，每年都 会发生数起甚至数十起大规模的网络安全事件引发的应急响应。受同一攻击 者或同一病毒攻击的机构少则数家，多则数十家。这往往是由于相关企业通 过某些专用或特殊网络相连，但对专网或特殊网络防护不足而引发的。 员工安全意识培养迫在眉睫。公网泄露敏感信息、高危端口外连、弱口令等 由于安全意识淡薄而引发的内网服务器受感染导致勒索病毒蔓延、数据泄露 甚至是服务器失陷事件比比皆是。 摘 要 2020 年全年奇安信集团安服团队共参与和处置了全国范围内 660 起 网络安 全应急响应事件。 2020 年全年应急 响应 处置事件 行业 TOP3 分别为：政府部门行业（ 146 起）、 医疗卫生行业（ 90 起）以及事业单位（ 61 起），事件处置数分别占应急处置 所有行业的 22.1%、 13.6%、 9.2%。 2020 年全年奇安信安服团队参与处置的所有政府机构和企业的网络安全应 急响应事件中，由行业单位自行发现的安全攻击事件占 94.7%，其中有 37.3% 的政企机构是在遭受勒索攻击后才发现系统被攻击；而另有 5.3%的安全攻 击事件则是由监管机构及第三方平台通报得知。 2020 年全年应急 响应 事件的影响范围主要集中在业务专网，占比 71.4%； 办公终端，占比 28.6%。 2020 年全年应急 响应 事件中，攻击者对系统的攻击所产生的影响主要表现 为数据丢 失、生产效率低下、系统 /网络不可用。 2020 年全年应急 响应 事件中，敲诈勒索、黑产活动仍然是攻击者攻击大中 型政企机构的主要原因。 2020 年全年大中型政企机构安全事件攻击类型，排名前三的类型分别是： 恶意程序，占比 54.5%；漏洞利用，占比 27.7%；钓鱼邮件，占比 4.8%。 2020 年全年 应急响应事件 中，弱口令、永恒之蓝漏洞仍是大中型政企机构 被攻陷的重要原因。 该报告所有分析数据来源于奇安信安服全年的 660 次应急响应数据整理， 可能存在一定的局限性，报告结论和观点仅供用户参考。 关键词： 应急响应、安全服务、 弱口令 、敲诈、勒索病毒 目 录 第一章 2020 年全年应急 . 1 第二章 应急响应事件受害者分析 . 2 一、 行业现状分析 . 2 二、 事件发现分析 . 2 三、 影响范围分析 . 3 四、 攻击影响分析 . 4 第三章 应急响应事件攻击者分析 . 5 一、 攻击意图分析 . 5 二、 攻击类型分析 . 5 三、 恶意程序分析 . 6 四、 漏洞利用分析 . 7 第四章 应急响应典型案例分析 . 9 一、 VPN 账号上传 GitHub 致 20 余台服务器失陷 . 9 二、 内网端口开放致系统被多国黑客入侵 . 9 三、 私自下载破解软件致服务器感染勒索病毒 . 10 四、 弱口令致服务器感染挖矿木马 . 11 五、 弱口令空口令致 23 个内网系统被勒索加密 . 11 六、 服务器漏洞致网页被篡改植入违法信息 . 12 七、 机顶盒配置不当致堡 垒机被攻陷 . 13 附录 1 奇安信集团安服团队 . 14 附录 2 应急响应工具箱介绍 . 15 第一章 2020 年全年应急 2020 年 1 12 月 ， 奇安信集团安服团队共参与和处置了全国范围内 660 起网络安 全应急响应事件，第一时间协助用户处理安全事故，确保了用户门户网站、数据库和重 要业务系统的持续安全稳定运行。 2020 年 应急响应服务月度统计情况具体如下 。 2020 年 ， 奇安信安服应急 响应 事件共处置 660 起，投入工时为 8544.0 小时，折合 1068.0 人天。 2019 年全年 应急响应事件 共处置 1029 起， 相较于 2019 年 ， 2020 年 应急 响应事件 数下降 55.9%， 2020 年每月应急次数趋于平稳。 2019 年 3 月 ， “永恒之蓝下载 器”木马安全事件全面爆发， 由于 2019 年 下半年遏制效果较好， 2020 年暂无感染性较 强的木马病毒或大面积攻击事件。 同时， 2020 年全国各行业省份组织了各类实战攻防演习，显著推动了大中型政企机 构的网络安全建设。 2021 年 ， 奇安信将以更大的努力减少安全事件对政府机构、大中型 企业的门户网站和业务系统造成的损失与对公众的不良影响，努力为政府机构、大中型 企业建立完善的应急响应体系提供技术支持，推进政府机构、大中型企业逐步实现信息 化系统的实战化、体系化和常态化。 第二章 应急响应事件 受害者分析 为进一步提高大中型政企机构对突发安全事件的认识和处置能力，增强政企机构安 全防护意识，对 2020 年全年处置的所有 应急响应事件 从政企机构被攻击角度 、 受害者 行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象几方面进行统计分析， 直观呈现全年政企机 构内部网络安全情况。 一、 行业现状分析 2020 年 应急 响应 处置事件行业 TOP3 分别为：政府部门（ 146 起）、医疗卫生行业 (90 起 )以及事业单位（ 61 起），事件处置数分别占 全年应急处置事件 的 22.1%、 13.6%、 9.2%。 大中型政企机构应急响应行业分布 TOP10 详见下图。 从行业排名可知， 2020 年全年攻击者的攻击对象主要分布于政府机构、 医疗卫生 以 及 事业单位 ，全年接近半数的 应急响应事件 发生于上述三个行业。 二、 事件发现分析 2020 年 奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件 中，由行业单位自行发现的安全攻击事件占 94.7%，其中被攻击者勒索后发现的攻击占 37.3%，另有 5.3%的安全攻击事件政府机构和企业是在得到了监管机构及第三方平台 的 通报 后， 才得知 自己 已 被攻击。 三、 影响范围分析 2020 年 应 急响应 事件的影响范围主要集中在业务专网 ， 占比 71.4%； 其次为办公终 端 ，占比 28.6%。根据受影响区域分布对受影响设备数量进行了统计，全年失陷的设备 中， 9588 台服务器受到影响， 7643 台办公终端被攻陷 ，如下图所示 。 本文中办公终端指企业员工使用的台式机 /笔记本 电脑、打印机等设备， 而业务专 网 泛指 机构 整体运行与对外支撑所需要的各种网络系统。 从影响范围和受影响设备数量可以看出，大中型政企机构的业务专网、服务器为攻 击者攻击的主要攻击目标。 大中型政企机构应在强化对业务专网的安全防护建设的同时， 应 提高内部人员安全 防范意识，加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。 四、 攻击影响分析 2020 年 ,从大中型政企机构遭受攻击 产生 的影响显示，攻击者对系统的攻击所产生 的影响主要表现为数据丢失、生产效率 降低 、系统 /网络 不可用等。下图为大中型政企 机构遭受攻击后的影响分布。 在 上述数据中，有 164 起 应急响应事件 导致数据丢失，占比 24.8%，攻击者通过对 大中型政企机构重要服务器及数据库进行攻击，导致数据被破坏或丢失。 有 142 起 应急响应事件 导致生产效率低下，占比 21.5%，攻击者主要通过挖矿、蠕 虫、木马等攻击手段使服务器 CPU 占用率异常高，造成生产效率降低。 还有 141 起 应急响应事件 导致系统 /网络不可用占比 21.4%，主要表现 为攻击者通 过对系统持续性攻击，直接造成业务系统宕机，网络不可用。 同时，数据被篡改、声誉影响、数据泄露等也是政企机构被攻击后产生的现象，造 成的后果也是非常严重的。 第三章 应急响应事件 攻击者分析 应急响应事件攻击者分析以 2020 年大中型政企机构所有应急数据为支撑，从攻击 者角度对攻击者攻击意图、攻击类型攻击者常用恶意程 序以及常见漏洞利用方式进行分 析，为各政企机构安全防护、制定应急响应处置 方案提供参考依据。 一、 攻击意图分析 在 2020 年 的 应急 响应 事件中，攻击者攻击意图主要为敲诈勒索、黑产活动、窃取 重要数据和内部违规操作。 在 2020 年应急响应 事件中， 244 起事件的攻击原因为敲诈勒索，占比 37.0%，攻击 者利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。对于大 部分攻击者而言，其进行 攻击的主要原因是为获取暴利，实现自身最大利益。 152 起事件的攻击原因为黑产活动，占比 23.0%，攻击者通过黑词暗链、钓鱼页面、 挖矿程序等攻击手段开展黑产活动牟取暴利；另外还有 112 起 应急响应事件 会导致重要 数据被窃取，占全年 应急响应事件 的 17.0%。 在 58 起 内部违规 事件 中，内部人员为了方便工作或出于其他原因将内部业务端口 映射至外网的违规操作需要引起 大中型企业的重视。政企机构在完善整体安全防护体系 建设时，应将内部员工网络安全意识作为重要模块进行培训，可以通过网络安全培训、 定期举办攻防演习、应急演练等方式加强内部人员的网络安全意识。 二、 攻击类型分析 通过对 2020 年全年大中型政企机构安全事件攻击类型进行分析，排名前三的类型 分别是：恶意程序占比 54.5%；漏洞利用占比 27.7%；钓鱼邮件占比 4.8%。在 恶意程序 中 ， 蠕虫病毒攻击占比 59.4%，木马攻击（非蠕虫病毒）攻击占比 40.6%。 蠕虫病毒和木马，由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击 手 段，攻击者利用病毒、木马对办公系统进行攻 击，通常会产生大范围感染，造成系统不 可用、数据损坏或丢失等现象。 漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端，使用常见系统漏洞、 Web 漏洞等，对服务器进行的破坏性攻 击，通常会导致重要数据丢失、泄露、内部投毒、 敲诈勒索等严重后果。 除此之外，钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。因此， 大中型政企机构应做好日常安全防范工作，定期巡检，及时发现威胁并有效遏制。 三、 恶意程序分析 在 2020 年大中型政企机构安全事件遭受攻击恶意程序中，占比较多的木 马病毒分 别为勒索病毒总占比 35.9%， 挖矿木马占比 14.7%， 以及一般木马占比 7.4%。 2020 年最常见的勒索病毒是 GlobeImposter 勒索病毒、 WannaCry 勒索 病毒、 Crysis 勒索病毒、 Satan 勒索 病毒以及相关变种病毒。大中型政企机构应更清楚 地 认识到木马 病毒对我们的服务器、数据库所造成的严重损害，加强内部网络安全建设，针对多变种 勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施， 将应急 相应 常态化。 四、 漏洞利用分析 在 2020 年 应急响应事件攻击类型中，对漏洞利用部分进行统计分析，发现弱口令、 永恒之蓝漏洞是大中型政企机构被攻陷的重要原因 ； 其次，服务器配置不当、 Web 漏洞 也经常作为攻击者日常利用的攻击手段（其中， 在 单起网络安全事件中，存在多个弱点 的情况） 。 弱口令、永恒之蓝漏洞需要引起政企机构关注，全面的安全管理策略、内部漏洞检 测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞以及 Web 漏洞外，服务器漏洞也 是攻击者最常利用的漏洞，攻击者通过利用某一漏洞入侵系统，传播病毒，获取重要数 据以达到敲诈勒索、牟取暴利等意图。 政企机构应加大内 部巡检力度，定期对设备、终端进行漏洞扫描、修复。定期更换 服务器、终端登录密码、加大密码复杂度，不给攻击者任何可乘之机。 第四章 应急响应典型案例分析 2020 年奇安信安全服务团队共接到全国各地应急求助 660 起，涉及全国 31 个省 （自治区、 直辖市） ， 25 个行业，包括医疗卫生、大中型政企机构、事业单位等。发生的安全事件包括各种 变种勒索病毒、挖矿木马、漏洞利用等不同事件类型，均不同程度地给大中型政企机构带来经 济损失和恶性的社会影响。 下面介绍几起 2020 年典型的网络安全事件。 一、 VPN 账号上传 GitHub 致 20 余 台服务器失陷 （一） 事件概述 2020 年 2 月，某运输公司发现流量监控设备 发出 服务器失陷的危急告警 ，于是向安服团队 发起应急请求。 应急人员分析流量监控设备，发现该公司内网中有 20 余台服务器出现失陷告警，其中 两台 重要 服务器被植入后门 。并且 在 多台服务器上发现 Frp 代理、 CobaltStrike 上线脚本 、 漏洞利 用工具 的 使用痕迹， 表明 攻击者 使用 Frp 代理对内网服务器进行 过 SQL 注入漏洞攻击。 通过进一步人工排查，发现该公司内部某员工曾将个人 VPN 账号信息上传到 GitHub 中，导 致数据泄露，攻击者利用该员工账号登录 VPN 对 该公司某重要 服务器发起攻击，并利用 Redis 未授权访问漏洞获得权限，上传 Frp 代理工具、 MS17-010 等漏洞利用工具，进行内网横向渗透， 成功 入侵内网 20 余台服务器 。 （二） 防护建议 1) 定期进行内部人员安全意识培 养，禁止将敏感信息私自暴露至公网，禁止点击来源不 明的邮件附件等。 2) 为 Redis 服务添加密码验证，为 Redis 服务创建单独的 user 和 home 目录，并且配置 禁止 登录、 低权限运行 Redis 服务 。 3) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情 况进行检查，及时修复漏洞（如 MS17-010 漏洞等）、安装补丁，将信息安全工作常态 化 。 4) 建议配置 VPN 登录的双因素认证，如增加手机短信验证码认证等，严格控制用户登录， 防止账号信息被盗用。 二、 内网端口开放 致系统被多国黑客入侵 （一） 事件概述 2020 年 3 月，安服团队接到某医药公司应急请求，公司 DMZ 服务器区出口地址存在外连行 为。 应急人员分析发现对外攻击的 IP 为该公司内网某系统的出口地址，因该系统供应商要求 对系统进行远程维护，特将服务器的 3389 端口映射到公网。通过对 IPS、负载均衡、防火墙以 及服务器系统日志进行分析排查，发现该系统已经被多个地区 /国家的 IP 通过 3389 端口进行 过远程登录，并植入木马文件。对该服务器系统部署的文件及业务系统进行排查，发现此服务 器存在任意文件写入漏洞和两个 Webshell 后门文件。 经分析研判最终确定，攻击者通过内 网某系统映射在公网的 3389 端口进行远程登录，上传 Webshell 后门 1 来执行系统命令；利用该系统任意文件写入漏洞，上传 Webshell 后门 2 来上 传任意文件，写入恶意木马文件。之后利用木马盗取数据，对外网发起异常连接，进行数据传 输。 （二） 防护建议 1) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略 落实情 况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化。 2) 加强设备权限管理，对敏感目录 进行权限设置，限制上传目录的脚本执行权限，不允 许配置执行权限等。 3) 建议在服务器上部署安全加固软件，通过限制 异常登录行为、开启防爆破功能、禁用 或限用危险端口（如 3389、 445、 139、 135 等）、防范漏洞利用等方式，提高系统安全 基线，防范黑客入侵。 4) 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用 白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限制。 5) 建议安装相应的防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强 服务器上的病毒清除能力。 三、 私自下载破解软件致服务器感染勒索病毒 （一） 事件概述 2020 年 9 月，某公司十余台服务器感染勒索病毒，文件遭勒索加密，因此向奇安信 安服团 队发起应急响应请求，查询中毒原因。 应急人员抵达现场后，查看加密文件后缀及勒索病毒界面，判断该病毒是 Phobos 家族勒 索病毒 。通过现场 对多台受害服务器进行日志分析， 并 与相关工作人员沟通， 发现公司内部员 工曾使用个人电脑通过非官方渠道下载各类破解版软件，导致个人电脑感染勒索病毒。同时内 网多台服务器均开放 3389 远程桌面服务端口，勒索病毒进入内网后对内网服务器进行 RDP 爆 破，爆破成功后释放勒索病毒，加密文件。 （二） 防护建议 1) 加强内部访问策略，禁止或限制个人电脑进入内网，如业务需要，增加访问控制策略。 2) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用 或限用危险端口（如 3389、 445、 139、 135 等）、防范漏洞利用等方式，提高系统安全 基线，防范黑客入侵。 3) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情 况进行检查，禁止通过非官方 渠道下载应用软件，及时修复漏洞、安装补丁，将信息 安全工作常态化。 四、 弱口令 致服务器感染挖矿木马 （一） 事件概述 2020 年 10 月，安服团队接到某政府部门应急请求，其安全设备检测到挖矿木马外 连 告警， 内部多台服务器感染挖矿木马，需要进行排查 分析并溯源。 安服应急人员到达现场后，通过排查安全设备告警日志、受害主机日志以及对木马样本进 行分析发现，内网多台 Web 应用服务器对外开放 SSH 服务 22 端口并且使用相同的弱口令、多 台受害服务器均被植入 SSH 扫描爆破脚本和挖矿木马程序，并设置为开机自启动。 经过最终研判分析确定，攻击者首先对网站应用服务平台进行端口探测，发现开放 22 端口 SSH 服务，对 SSH 服务进行弱口令爆破成功登录服务器，随后植入挖矿木马和 SSH 扫描爆破脚 本并添加至服务器自启动项，攻击者采用相同的密码利用 SSH 扫描爆破脚本对内网服务器进行 爆破， 并植入挖矿木马，最终导致内网多台服务器沦陷。 （二） 防护建议 1) 封禁攻击者服务器 IP、修改失陷机器的用户密码。 2) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字 母、数字、特 殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现。 3) 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用 白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限制。 4) 采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员 IP 可对管理端口进行访问，如 FTP、数 据库服务、远程 桌面等管理端口。 五、 弱口令 空口令 致 23 个 内网系统被 勒索 加密 （一） 事件概述 2020 年 2 月，安服团队接到某地热电企业应急响应请求，该企业现场包括收费系统、化检 站远程监测系统、用户室温检测系统、邮件系统等 23 个系统被加密。该企业属于大型政企机 构，停产后果 难以估量 ，因此发出应急响应请求。 应急人员抵达现场后，对受害主机初步分析，确定病毒为 Sodinokibi 勒索病毒，且主机日 志大多被清除。 通过对多台主机残留日志关联分析配合上网行为系统访问日志分析，确认感染源头为部署 在虚拟化区域的 OA 服务器。黑客入侵后取得了管理员权限，又以此为跳板攻击其他主机。经现 场调研发现，除管理疏忽存在漏洞外，该企业为了方便运维将 OA 服务器远程桌面映射到了互联 网上，并且有弱口令甚至是空口令的情况，导致遭受此次攻击。 （二） 防护建议 1) 定期进行内部人员安全意识培养，禁止将敏感信息、内 网端口私自暴露至公网，所有 账号系统必须设置口令且禁止使用弱口令。 2) 加强日常安全巡检制度， 定期对系统配置、系统漏洞、安全日志以及安全策略落实情 况进行检查。 六、 服务器漏洞 致网页被篡改 植入违法信息 （一） 事件概述 2020 年 6 月，某单位发现其官网首页被篡改挂有 大量违法 图片，部分页面自动跳转违法网 站。于是向奇安信安服团队发起应急响应请求，希望对该官网业务服务器进行排查分析，并追 溯攻击来源。 应急人员首先向 IT 运维人员了解基本情况，获知官网业务服务器通过 99 端口对互联网提 供 Web 应用服务。应急人员通过对该服务器 Web 日志进行排查分析发现，该服务器对互联网还 开放了 9001 和 9002 端口，并发现攻击者在事发当日凌晨 6 点上传过 一个 木马文件。通过对访 问日志进行排查分析发现，该日志中有大量针对 9002 端口的 Weblogic WLS 组件漏洞攻击的痕 迹。通过将攻击者利用 Weblogic WLS 组件漏洞攻击时间与官网首页篡改时间进行比对，两者 时间相近，由此推断出整个攻击过程。 攻击者利用 Weblogic 反序列化漏洞，对开放 9002 端口的服务器进行攻击，获得该服务器 权限后上传木马文件。由于该服务器对外开放的 99 端口下部署有该公司官网系统， 因此攻击者 可 向该系统上传图片，修改官网首页。 （二） 防护建议 1) 建议部署网页防篡改设备，对网站文件、目录进行保护，拦截黑客的篡改操作，实时 监控受保护的文件 和目录，发现文件被篡改时，立即获取备份的合法文件并进行文件 还原。 2) 对服务器开展安全大检查，包括 但不限于恶意 IP 封禁、恶意文件以及后门清理、网站 漏洞检测及修复等。 3) 加强日常安全巡检工作，定期对系统配置、网络设备配置、安全日志以及安全策略落 实情况进行检查，定期安装补丁、更新病毒库， 将 信息安全工作 常态化。 4) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用 或限 用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵。 七、 机顶盒配置不当 致堡垒机被攻陷 （一） 事件概述 2020 年 8 月，某运营商的安全设备监控到一台堡垒机前置机对内网其他服务器发起攻击行 为，怀疑服务器已沦陷，因此向奇安 信安服团队发起应急 响应 请求，希望对其内网服务器进行 排查。 应急 响应 人员抵达现场后发现有 两台服务器遭受 不同程度 的 攻击，通过对可疑服务器进行 排查溯源后发现，攻击者利用机顶盒配 置不当连接本地机顶盒网络，从而访问堡垒机前置机等 多台内网服务器。攻击者 一方面利用前置机远程桌面服务端弱口令获取前置机权限，投放恶意 程序及勒索病毒，然后在内网内横向移动传播恶意程序 ； 另一方面在取得堡垒机控制权后利用 Weblogic 反序列化漏洞对端到端诊断系统实施多种敏感命令执行及漏洞探测行为，掌握系统敏 感数据。 通过进一步 地 对服务器 进行 溯源 后 发现， 早 事件发生前一个半月，攻击者就已经对服务器 暴露在公网的 3389 端口发起大量暴力破解攻击，尝试获取服务器权限，但均登录失败，暴露身 份信息。 应急 响应 人员立即排查全网资产，封禁恶意 IP 地址，关闭不必要的公网危险端口，增强访 问策略，部署安全加固软件。 （二） 防护建议 1) 加强内部访问策略，增加访问控制策略。 2) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用 或限用危险端口（如 3389、 445、 139、 135 等）、防范漏洞利用等方式，提高系统安全 基线，防范黑客入侵 。 3) 加强日常安全巡检制度，定期对 系统配置、系统漏洞、安全日志以及安全策略落实情 况进行检查，及时修复漏洞（如 MS17-010 漏洞等）、安装补丁，将信息安全工作常态 化。 附录 1 奇安信集团安服团队 奇安信是北京 2022 年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商，作为中国 领先的网络安全品牌，奇安信多次承担国家级的重大活动网络安全保障工作，创建了稳定可靠 的网络安全服务体系 全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、 全线索闭环。 奇安信安全服务以攻防技术为核心，聚焦威胁检测和响应，通过提供咨询规划、威胁检测、 攻防演习 、持续响应、预警通告、安全运营等一系列实战化的服务，在云端安全大数据的支撑 下，为客户提供全周期的安全保障服务。 应急响应服务致力于成为“网络安全 120”。 自 2016 年以来，奇安信已 积累 了丰富的应急 响应实践经验，应急响应业务覆盖了全国 31 个省 （自治区、直辖市） ，处置政企机构网络安全 应急响应事件 超过两千起，累计投入工时 25000 多个小时，为全国超 过 千家政企机构解决网络 安全问题。 奇安信还 推出 了 应急响应训练营服务，将一线积累的丰富应急响应实践经验面向广大政企 机构进行网络安全培训和赋能，帮助政企机构的安全管理者、安全运营人员、工程师等不同层 级的人群提高网络安全应急响应的能力和技术水平。奇安信正在用专业的技术能力保障着企业 用户的网络安全，最大程度 地 减少了 网络安全事件所带来的经济损失，并降低了网络安全事件 造成的 社会负面影响。 应急响应 7 24 小时热线电话： 4009-727-120。 附录 2 应急响应工具箱介绍 奇安信应急响应工具箱是一款集成 了 奇安信安全情报及专家分析经验的自动化应急响应工 具，旨在解 决应急响应人效低、应急处置标准化程度低、处置人员能力不足等痛点。应急响应 工具箱源于实战、用于实战，是真正解决客户痛点的产品箱，而不是常见工具的简单集成。 应急 响应工具箱 在产品设计阶段就引入了大量的应急响应专家，也经 过 了安服团队多年来 的实战使用和不断改进，在应急响应服务、攻防演习服务、重要时期安全保障服务等业务中都 发挥了不可或缺的作用 。 依托奇安信行业领先的攻防研究能力， 应急响应工具箱 内置了 威 胁情报、专家知识库、分 析模型和众多检测工具（日志关联分析工具、 APT 检查工具、恶意代码检查工具、 Webshell 后 门检查工具、漏洞检查工具、暗链检查工具等），保障了检测、分析 的 效率和准确度。奇安信将 应急响应工具的自动化分析能力，提升到一个新的高度，能够进行多维度的线索关联分析、基 于情报的事件溯源 ，以及 多场景的线索分析。 应急响应工具箱 在 最大 程度 上 实现了 自动化 的 威胁 检测和 关联 分析 ，并 经过了 奇 安信 安全 服务 团队 多年来的实战 检验， 能够 降低应急 响应的技术 难度，赋能用户。同时 ， 其 具有高集成 化 的特点，覆盖了 应急响应全过程 所需要的 各类支撑 功能 并简化 了操作， 还 内置了 应急流程， 并配套 了 相关 模板 ， 将应急响应工作规范化 。