得,演练通知又来了。
这次是“信息泄露应急演练”,名字听着就挺唬人。我在北峰干了快五年,大大小小的演练没少参加,流程都能背下来。
可陈主任说,这次不一样,要动真格的。
技术支持中心的电话和内部通讯系统瞬间成了风暴中心。
我刚放下座机,对讲机又响了,是陈主任的声音。
“孙琳,演练开始。仿真场景:市场部邮箱服务器发现大量异常外发邮件,目标指向境外匿名服务器。”
“你们组,立刻执行预案第一阶段:信息源隔离和初步排查。五分钟内给我初步报告。”
“收到,陈主任。”我转头就冲组里喊。
“小王,马上锁定市场部邮箱服务器所有外发埠!小李,查日志,看触发邮件扫描告警的具体时间、ip段、发件人特征!”
小王的声音传来,语速飞快。
“埠锁定指令已发!确认执行成功,市场部邮箱外发功能已暂停!”
小李盯着屏幕,“孙姐,日志显示告警触发时间是九点零三分,集中在过去十五分钟内。”
“ip段是等等,不对啊!”她突然惊讶道,“触发告警的源ip是我们技术支持中心的内部测试机ip段!”
预案仿真的是外部攻击渗透市场部,怎么源头跑我们自己测试机这来了?这不对路!
“小李,确认ip归属!小王,立刻检查我们测试机区网络状态!”
“有没有异常连接?”我抓起对讲机,“陈主任!情况有变!异常邮件源ip指向我们技术支持中心内部测试机区!请求指示!”
对讲机那头沉默了两秒,“继续执行预案。追加任务:立刻自查!我要知道是哪个测试机,什么时候被控,怎么被控的!”
“三分钟!我要结果!”
“明白!”压力突然变大。演练变成了实战,还是自己家后院起火。
我们组的小张跑过来:“孙姐,测试机区监控显示三号测试机网络流量在九点零二分突然异常升高,”
“远超日常基线!持续到现在!”
“就它了!”我指着三号机的物理位置,“小王,断它的网!物理隔离!”
“小李,立刻提取三号机当前内存镜象和硬盘快照!动作快!”
一阵操作后,小王汇报:“三号机网线已拔!”
小李:“镜象和快照开始提取预计需要两分钟!”
时间一分一秒过去,对讲机里,其他部门的汇报也断断续续传进来:
“保卫处报告,已封锁相关局域出入口,人员只进不出”
“网络中心报告,正在追踪异常流量路径”
“国安演练指挥部报告,初步判断为高级持续性攻击apt仿真”
陈主任的声音插进来,“孙琳,你们组自查进度?两分钟了!”
我盯着小李的屏幕进度条:“陈主任,镜象提取完成度百分之八十!马上就好!”
“再快!攻击可能还在活动!”
小李的手指都在颤斗:“百分之九十五九十八好了!镜象和快照提取完成!”
“立刻分析!重点查最近半小时的进程活动、网络连接记录、可疑文档创建!”我有些急迫。
小李和小王立刻埋头分析,此刻办公室里每一秒都显得是那么漫长。
突然,小王抬头,“孙姐!三号机内存里发现一个异常进程!名字伪装成系统更新程序!”
“它在在尝试连接一个外部ip!埠是是邮件协议埠!连接还没断!”
“什么?!”我头皮一炸,“不是拔网线了吗?!”
“是拔了!但这个进程在网断前一刻还在活动!”小王指着屏幕。
“它在疯狂尝试重连那个外部ip!记录显示, 顶点小说(220book.com)最新更新苍穹之下:无声的守望者 它就是在九点零二分激活的!”
“激活来源?查它怎么被放进去的!”我追问。
小李快速翻着日志:“找到了!激活记录是来自一封邮件!就在九点零一分!”
“发件人显示是‘内部系统通知’?主题是‘紧急安全补丁更新’!收件人是这台测试机的管理员!”
钓鱼邮件!目标根本不是市场部,是我们技术支持中心负责维护测试环境的机器!我们成了跳板!
“小王,立刻记录下这个伪装进程的所有特征码、行为日志!”
“小李,把那封钓鱼邮件的完整信息,发件人伪装、附件信息、链接特征全部提取出来!快!”我一边下令,一边抄起对讲机。
“陈主任!查清了!攻击源是我们一台测试机!被一封伪装成‘内部系统通知’的钓鱼邮件攻破,植入了恶意程序!”
“该程序正试图通过邮件协议外联!特征码和邮件样本已提取!”
对讲机里随即传来陈主任果断的声音:“干得好,孙琳!立刻将样本特征码提交给网络中心,进行全网查杀!”
“邮件样本提交演练指挥部进行深度分析!你们组任务,转入第二阶段:威胁清除和影响评估!”
“评估这台测试机被控期间,还可能访问或泄露了哪些内部资源?十分钟!”
“是!”我应道,心里却一点没松。清除容易,评估潜在影响才要命。”
“这台测试机权限不低,能访问好几个内部测试数据库和开发文档库。
“小王,重点查这台机器在九点零二分到我们断网这三分钟内的所有网络访问记录、文档操作日志!”
“特别是对涉密测试库和文档库的访问!”
我快速分配任务,“小李,配合小王,比对正常基线,找出所有异常访问行为!”
“小张,准备格式化这台机器,重装系统,确保威胁清除干净!”
又是新一轮的争分夺秒。我们组几个人象上了发条,眼睛死死盯着各自的屏幕,时间被切割成碎片,每一秒都如此珍贵。
九分钟过去。小王的声音带着一丝嘶哑:“孙姐,查完了!”
“异常访问主要集中在两个地方:一是‘鹰眼-3b’项目的一个非内核外围设备仿真数据库,读取了部分测试参数记录。”!”
我心算了一下:“‘鹰眼-3b’那个数据库是上周才部署的测试库,里面是仿真数据,非涉密。”。”
“内核数据和涉密文档库没有异常访问记录!”
“影响范围可控!主要是非内核外围设备的仿真数据和一份公开手册的最新版。”
“好!记录完整!”我立刻拿起对讲机,“陈主任!威胁清除完成!”
“影响评估结果:攻击者通过被控测试机,访问了‘鹰眼-3b’项目非内核外围设备仿真数据库,仅含测试用仿真参数。”。”
“未发现对涉密内核数据库及文档的异常访问。评估:此次仿真攻击未造成内核数据泄露风险!”
对讲机里传来陈主任的声音:“收到。评估报告立刻提交指挥部。你们组演练任务结束。原地待命,复盘总结。”
“明白!”我放下对讲机,小王小李互相看了一眼,相互苦笑着。
“我的妈呀,”小王抹了把汗,“真跟打了一仗似的。”
“那钓鱼邮件做得也太象了,发件人、标题,连咱公司logo都有!”
小李心有馀悸:“就是啊,谁能想到直接冲着咱们维护的测试机来?还专挑刚上班人没完全清醒的时候。”
我揉着太阳穴:“这就是演练的目的。敌人不会按我们想的剧本走。”
“这次是测试机,下次可能是谁的办公计算机?生产服务器?邮件、u盘、外协单位发来的文档到处都是口子。”
我看着他们,“都打起精神,待会儿复盘,每个人都要发言,哪一步慢了?哪一步判断可能出岔子?”
(http://www.220book.com/book/TYO9/)
请记住本书首发域名:http://www.220book.com。顶点小说手机版阅读网址:http://www.220book.com