勒索事件
客户在2020年5月份发现大量服务器与办公电脑感染勒索病毒,导致大量内部员工无法正常办公。
处理过程
在凌晨接到客户反馈的问题后,我司安全专家第一时间赶至客户现场协助处理问题。首先要求所有域管理员立即修改强密码,同时对已感染主机第一时间进行关机或者断网处理,防止病毒横向扩散。同时,检查主机安全日志和安全设备日志,进行事件溯源分析。在溯源过程中找出了黑客完整的攻击链并对攻击时间线进行了完整的复盘。将溯源中发现的高危问题提交给客户并协助客户进行了各系统安全策略的优化,在确保问题已经完全得到处置后告知客户恢复业务。
处理结果
事件处理完成后,我们给出了加固改进建议:修改密码策略;关闭对公网开放的高危端口,公网使用SSL VPN访问内网;建议进行风险评估,检查未知风险点;建议部署多因子认证系统;建议增加特权账号管理系统,保护特权账号密码。