文章目录
-
-
- 事件发现
- 事件分析
- 应急处置
- 事件恢复
- 事后描述
- 风险评估
- 摘抄
-
事件发现
:9:25:00
:召开现场会议,根据各类告警信息,经各部门讨论研判,
如下。
(1)病毒感染范围为外包商所在的开发测试 。
(2)病毒类型为GandCrad勒索病毒,感染原因主要是针对计算机的Windows7系统未安装MS17010补丁, 同时终端存在弱口令,导致该勒索病毒通过 络大量传播并互相感染。
(3)该病毒已在开发测试 内模向扩散,使50多台计算机终端被感染。
(4)办公 及生产 终端并未受到影响。
综合各类信息诊断,可确认外包商所在的开发测试 已发生大规模恶意代码类传播事件。根据《集团信息系统感意代码事件应急预案》需要对开发测试 段进行断 处理,由于断 将影响现在所有的开发项目,应由安全部将以上研判分析情况上 给总经理办公室,
:“总经理您好,我是安全部,同 络部和终端部一起确确认,外包商所在的开发测试 内的终端已发生大面积的勒索病毒感染,目前已经感染了50多台计算机终端,且仍在继续扩散。为了避免其他 络遭受影响,建议立即启动应急案,对开发测试 进行断 处理。断 后,所有的外包开发项目将会中断,预计需要断 1天,现已经通知外包商进行病毒自查。
:“同意启动预案,请立即处置并加强监控。”
应急处置
:18:30:00
:组织会议,由外包商反馈病毒处置情况,并提交《木马病毒处置 告》。
:组织会议。
- :“总经理,病毒已经处置完毕(提交《木马病毒处置 告》和《病毒溯源 告》),确认本次事件由外包商的开发人员引起,随后在开发测试 内扩散,感染了其他开发人员的计算机。经过 络部评估,建议逐步开通受感染的3个 段,恢复正常办公。”
- :“同意,请安全部、 络部和终端部持续做好监测工作。”
安:持续监控半小时,没有发现新的病毒告警信息。
:“经过半小时的监控,没有发现新的病毒告警信息,申请逐一开通所有的开发测试 段。”
:“同意。”
:登录交换机,开通所有的开发测试 。
:持续监控半小时,没有新增病毒告警信息。
:“根据最近半小时监控,无新增病毒告警信息。”
:宣布应急处置结束。
事后描述
:事件结束几天后。
组织相关人员对此次应急处置事件进行,其结果如下。
(1)在现有的安全管理要求基础上,增加对外包服务人员的终端设备防病毒检测技术手段的要求,逐渐实现自动阻断技术的能力。
(2)要求外包商项目经理提升管理能力,加强对项目中流动人员设备的安全管理。
(3)强化与外包商合作协议中的安全管理要求,确保外包商工作人员处置信息安全事件的及时性和有效性。
摘抄
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22321 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!