文章目录
-
-
- 事件发现
- 事件分析
- 应急处置
- 事件恢复
- 事后描述
- 风险评估
- 摘抄
-
事件发现
:9:25:00
:召开现场会议,根据各类告警信息,经各部门讨论研判,
如下。
(1)病毒感染范围为外包商所在的开发测试网。
(2)病毒类型为GandCrad勒索病毒,感染原因主要是针对计算机的Windows7系统未安装MS17010补丁, 同时终端存在弱口令,导致该勒索病毒通过网络大量传播并互相感染。
(3)该病毒已在开发测试网内模向扩散,使50多台计算机终端被感染。
(4)办公网及生产网终端并未受到影响。
综合各类信息诊断,可确认外包商所在的开发测试网已发生大规模恶意代码类传播事件。根据《集团信息系统感意代码事件应急预案》需要对开发测试网段进行断网处理,由于断网将影响现在所有的开发项目,应由安全部将以上研判分析情况上报给总经理办公室,
:“总经理您好,我是安全部,同网络部和终端部一起确确认,外包商所在的开发测试网内的终端已发生大面积的勒索病毒感染,目前已经感染了50多台计算机终端,且仍在继续扩散。为了避免其他网络遭受影响,建议立即启动应急案,对开发测试网进行断网处理。断网后,所有的外包开发项目将会中断,预计需要断网1天,现已经通知外包商进行病毒自查。
:“同意启动预案,请立即处置并加强监控。”
应急处置
:18:30:00
:组织会议,由外包商反馈病毒处置情况,并提交《木马病毒处置报告》。
:组织会议。
- :“总经理,病毒已经处置完毕(提交《木马病毒处置报告》和《病毒溯源报告》),确认本次事件由外包商的开发人员引起,随后在开发测试网内扩散,感染了其他开发人员的计算机。经过网络部评估,建议逐步开通受感染的3个网段,恢复正常办公。”
- :“同意,请安全部、网络部和终端部持续做好监测工作。”
安:持续监控半小时,没有发现新的病毒告警信息。
:“经过半小时的监控,没有发现新的病毒告警信息,申请逐一开通所有的开发测试网段。”
:“同意。”
:登录交换机,开通所有的开发测试网。
:持续监控半小时,没有新增病毒告警信息。
:“根据最近半小时监控,无新增病毒告警信息。”
:宣布应急处置结束。
事后描述
:事件结束几天后。
组织相关人员对此次应急处置事件进行,其结果如下。
(1)在现有的安全管理要求基础上,增加对外包服务人员的终端设备防病毒检测技术手段的要求,逐渐实现自动阻断技术的能力。
(2)要求外包商项目经理提升管理能力,加强对项目中流动人员设备的安全管理。
(3)强化与外包商合作协议中的安全管理要求,确保外包商工作人员处置信息安全事件的及时性和有效性。
摘抄
文章知识点与官方知识档案匹配,可进一步学习相关知识网络技能树跨区域网络的通信学习网络层的作用22321 人正在系统学习中
来源:星球守护者
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!