應(yīng)急演練劇本本次應(yīng)急演練模擬黑客真實(shí)攻擊方式，針對(duì)目前網(wǎng)絡(luò)安全突出問題，以“數(shù)據(jù)泄露、勒索病毒”此類最常見的網(wǎng)絡(luò)安全案事件為場(chǎng)景，以系統(tǒng)模擬靶機(jī)為主要目標(biāo)，參照友鏈http://XXX克隆的網(wǎng)頁為依托，開展本次應(yīng)急演練活動(dòng)。主持人（中國(guó)電信XXX）：大家好！歡迎各位參加2023年度XXX局網(wǎng)絡(luò)安全應(yīng)急處置演練，有請(qǐng)網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組組長(zhǎng)鄭藝強(qiáng)講話。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：為妥善應(yīng)對(duì)和處置網(wǎng)絡(luò)信息安全突發(fā)事件，確保單位的重要信息系統(tǒng)安全、穩(wěn)定、持續(xù)運(yùn)行，防止造成重大損失和影響，提高我單位網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急保障能力，從而進(jìn)一步加強(qiáng)單位的網(wǎng)絡(luò)安全工作，提升網(wǎng)絡(luò)安全防護(hù)意識(shí)和能力。我們今天舉行網(wǎng)絡(luò)安全應(yīng)急演練活動(dòng)，通過模擬網(wǎng)站篡改和勒索病毒事件的演練場(chǎng)景，讓大家能夠更好的了解遇到該類網(wǎng)絡(luò)安全事件時(shí)如何開展應(yīng)急處置工作。主持人（中國(guó)電信XXX）：感謝科長(zhǎng)，本次參與演練活動(dòng)的人員主要為局網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組成員代表、中國(guó)電信攻擊隊(duì)伍、市醫(yī)保局防守隊(duì)伍。主持人（中國(guó)電信XXX）：本次演練設(shè)置了兩種常見的安全事件場(chǎng)景，一是XXX局官網(wǎng)數(shù)據(jù)庫遭受數(shù)據(jù)泄露；二是XXX局官網(wǎng)服務(wù)器遭受勒索病毒攻擊。本次演練重點(diǎn)是檢驗(yàn)相關(guān)工作人員是否能清楚判斷事件級(jí)別并啟動(dòng)相應(yīng)應(yīng)急處置流程，能否最短時(shí)間內(nèi)恢復(fù)業(yè)務(wù)，從而達(dá)到培訓(xùn)相關(guān)人員熟悉應(yīng)急響應(yīng)的流程、提升維護(hù)人員應(yīng)急處置技能、完善應(yīng)急響應(yīng)預(yù)案的目的，保障在真正出現(xiàn)網(wǎng)絡(luò)安全事件后，能夠進(jìn)行快速且有秩序、有條理的響應(yīng)工作，保障信息系統(tǒng)能夠正常運(yùn)行。主持人（中國(guó)電信XXX）：下面進(jìn)入演練準(zhǔn)備階段，相關(guān)操作將通過顯示屏展示，請(qǐng)攻擊隊(duì)伍和防守隊(duì)伍進(jìn)行演練前檢查。報(bào)告科長(zhǎng)，2023年XXX局網(wǎng)絡(luò)安全應(yīng)急處置演練已準(zhǔn)備就緒，可啟動(dòng)演練，請(qǐng)指示。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：開始演練！一、演練場(chǎng)景一：XXX局官網(wǎng)數(shù)據(jù)庫泄露場(chǎng)景（Ⅳ級(jí)響應(yīng)）主持人（中國(guó)電信XXX）：首先向大家展示的是本次應(yīng)急演練的第一個(gè)場(chǎng)景：XXX局官網(wǎng)數(shù)據(jù)庫泄露場(chǎng)景，XXX局信息和法規(guī)科安全員在工作中發(fā)現(xiàn)存放XXX局官網(wǎng)信息的云數(shù)據(jù)庫被異地登錄了，該數(shù)據(jù)庫已設(shè)置了安全策略，出現(xiàn)異地登錄會(huì)發(fā)出告警郵件通知管理員，并對(duì)此事件進(jìn)行應(yīng)急處置?！灸M攻擊隊(duì)伍進(jìn)行平臺(tái)攻擊操作，攻擊完成后報(bào)告示意】攻擊隊(duì)伍代表：現(xiàn)在開始模擬攻擊隊(duì)伍，進(jìn)行攻擊操作。報(bào)告攻擊完成。防守隊(duì)伍值守人員：郵件接收到XXX局官網(wǎng)數(shù)據(jù)庫平臺(tái)管理賬號(hào)存在異地登錄的提醒，向負(fù)責(zé)人報(bào)告。主持人（中國(guó)電信XXX）：XXX局信息和法規(guī)科網(wǎng)絡(luò)安全值守人員像往常一樣登陸郵箱，看到一條郵件告警郵件，發(fā)現(xiàn)存放XXX局官網(wǎng)平臺(tái)管理賬號(hào)存在異地登錄，經(jīng)初步分析，該賬號(hào)因超過3個(gè)月沒有修改，組合較簡(jiǎn)單，有可能存在賬號(hào)密碼被破解導(dǎo)致數(shù)據(jù)庫數(shù)據(jù)泄露安全隱患。根據(jù)《網(wǎng)絡(luò)信息安全事件應(yīng)急預(yù)案》要求，將發(fā)生的網(wǎng)絡(luò)安全事件立即上報(bào)，并開展一系列應(yīng)急處置工作。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：科長(zhǎng)，我們單位XXX局官網(wǎng)數(shù)據(jù)庫管理賬號(hào)在九點(diǎn)十五左右有異地登錄的情況，疑遭受數(shù)據(jù)泄露攻擊，請(qǐng)指示。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：收到，請(qǐng)你們立即按照《XXX局網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》啟動(dòng)應(yīng)急處置，馬上開展隱患排查，請(qǐng)著重檢查服務(wù)器管理賬號(hào)是否存在弱口令情況。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：收到，請(qǐng)應(yīng)急組先將該數(shù)據(jù)庫系統(tǒng)進(jìn)行斷網(wǎng)處理，查看數(shù)據(jù)是否有丟失并配合排查。安全員（XXX）：好的，收到。數(shù)據(jù)庫系統(tǒng)主機(jī)已斷網(wǎng)，暫停使用，數(shù)據(jù)暫未發(fā)現(xiàn)丟失現(xiàn)象。數(shù)據(jù)庫異地登錄經(jīng)排查地址為境外地址，初步判斷是黑客攻擊行為。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：好的，情況我已了解！按照《XXX局網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，本次網(wǎng)絡(luò)安全事件定性為一般安全事件（Ⅳ級(jí)），請(qǐng)你們根據(jù)事件發(fā)生原因，有針對(duì)性采取措施，備份數(shù)據(jù)、保護(hù)設(shè)備、排查隱患，做好現(xiàn)場(chǎng)保護(hù)，控制事態(tài)發(fā)展，防止破壞蔓延，開展應(yīng)急處置！將相關(guān)情況通報(bào)局辦公室！防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：好的，收到。我已同步將相關(guān)情況報(bào)局辦公室，并已讓應(yīng)急人員按照預(yù)案中的方法進(jìn)行應(yīng)急處置?！就镀裂菔九挪榇胧堪踩珕T（XXX）：現(xiàn)開展排查包括文件分析、進(jìn)程命令、系統(tǒng)賬號(hào)、計(jì)劃任務(wù)、日志分析等。經(jīng)排查確認(rèn)，這臺(tái)主機(jī)的進(jìn)程、賬號(hào)等未發(fā)現(xiàn)問題，通過日志分析發(fā)現(xiàn)有一個(gè)境外ip（）通過nzb123456弱口令成功連到本臺(tái)服務(wù)主機(jī)的3306端口?！就镀裂菔炯庸檀胧堪踩珕T（XXX）：目前已將數(shù)據(jù)庫系統(tǒng)設(shè)置為禁止外連，并阻斷境外ip（）的連接，對(duì)將數(shù)據(jù)庫登錄口令更改為強(qiáng)口令Nzb@5683-CJL，并對(duì)服務(wù)器進(jìn)行全盤殺毒處理，針對(duì)數(shù)據(jù)泄露事件會(huì)著重對(duì)系統(tǒng)進(jìn)行關(guān)閉默認(rèn)共享、關(guān)閉高危端口、加強(qiáng)系統(tǒng)各用戶口令、同時(shí)為系統(tǒng)更新最新的安全補(bǔ)丁、開啟全部的審計(jì)日志作異常登錄溯源跟蹤等操作?，F(xiàn)先恢復(fù)服務(wù)器正常使用，請(qǐng)確認(rèn)！防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：收到。經(jīng)測(cè)試數(shù)據(jù)庫系統(tǒng)已恢復(fù)。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：報(bào)告科長(zhǎng)，經(jīng)排查發(fā)現(xiàn)該事件是因?yàn)閿?shù)據(jù)庫系統(tǒng)的登錄密碼因超過3個(gè)月沒有修改，組合較簡(jiǎn)單，較容易破解，所以攻擊者可以從境外連接進(jìn)數(shù)據(jù)庫獲取信息，導(dǎo)致數(shù)據(jù)泄露事件，我們已完成數(shù)據(jù)泄露事件處理，進(jìn)行了漏洞安全加固，數(shù)據(jù)庫系統(tǒng)已正?；謴?fù)運(yùn)行，并對(duì)其他數(shù)據(jù)庫進(jìn)行排查，也都是正常運(yùn)行，后續(xù)將繼續(xù)跟進(jìn)及漏洞檢測(cè)工作。請(qǐng)指示！網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：請(qǐng)持續(xù)監(jiān)測(cè)系統(tǒng)運(yùn)行情況，并記錄相關(guān)資料取證以書面形式匯報(bào)，報(bào)告我審核后匯報(bào)給局辦公室。安全員（XXX）：收到，弱口令是網(wǎng)絡(luò)安全最常見的隱患，請(qǐng)防守隊(duì)伍應(yīng)急人員全面排查官網(wǎng)平臺(tái)系統(tǒng)中所有的賬號(hào)是否有同樣情況，如有請(qǐng)立查立改，也請(qǐng)做好后續(xù)的密碼管理工作，杜絕弱口令，定期更換密碼，保障系統(tǒng)安全。相關(guān)處理情況請(qǐng)形成紙質(zhì)報(bào)告向局主要領(lǐng)導(dǎo)報(bào)告，并視情況報(bào)市委網(wǎng)信辦掌握。主持人（中國(guó)電信XXX）：本次關(guān)于XXX局官網(wǎng)數(shù)據(jù)庫數(shù)據(jù)泄露場(chǎng)景演練結(jié)束，我們可以看到本次場(chǎng)景主要攻擊的方式是針對(duì)對(duì)外開放一些數(shù)據(jù)庫端口，以及對(duì)數(shù)據(jù)庫的登錄口令破解等等，一旦找到突破口，數(shù)據(jù)庫里的所有信息都是存在安全風(fēng)險(xiǎn)隱患的，所以我們平時(shí)需要加強(qiáng)注意：一是要避免使用簡(jiǎn)單密碼，定期修改密碼，受到暴力破解；二是需要采取最小化原則，收斂被攻擊面，避免將數(shù)據(jù)庫端口對(duì)外進(jìn)行開放。二、演練場(chǎng)景二：XXX局官網(wǎng)服務(wù)器中勒索病毒（Ⅲ級(jí)響應(yīng)）主持人（中國(guó)電信XXX）：接下來向大家展示的是本次應(yīng)急演練的場(chǎng)景二：XXX局官網(wǎng)服務(wù)器中了勒索病毒，對(duì)該事件啟動(dòng)應(yīng)急處置。主持人（中國(guó)電信XXX）：XXX局信息和法規(guī)科安全員像往常一樣登陸單位平臺(tái)工作。發(fā)現(xiàn)平臺(tái)無法打開，技術(shù)人員登錄服務(wù)器發(fā)現(xiàn)平臺(tái)登錄頁面無法正常訪問，且有勒索彈窗信息，疑似感染了勒索病毒，根據(jù)《XXX局網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》要求，XXX局信息和法規(guī)科安全員將發(fā)生的網(wǎng)絡(luò)安全事件立即報(bào)告單位負(fù)責(zé)人及局辦公室，并開展一系列應(yīng)急處置工作。安全員（XXX）：報(bào)告科長(zhǎng)，我剛發(fā)現(xiàn)官網(wǎng)平臺(tái)無法打開，技術(shù)人員登錄服務(wù)器出現(xiàn)勒索彈窗信息，疑似遭受勒索病毒，請(qǐng)指示！網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：收到，請(qǐng)你們立即按照《XXX局網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》開展應(yīng)急處置，請(qǐng)立即將該服務(wù)器進(jìn)行斷網(wǎng)隔離進(jìn)行勒索病毒查殺，并排查其他服務(wù)器是否有類似隱患，檢查病毒是否有擴(kuò)散。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：收到，中毒服務(wù)器技術(shù)人員已第一時(shí)間進(jìn)行斷網(wǎng)處理。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：應(yīng)急組，請(qǐng)立即將平臺(tái)進(jìn)行下線處理并替換為維護(hù)頁面。另外排查其他服務(wù)器有沒有感染勒索病毒，如若發(fā)現(xiàn)感染情況，第一時(shí)間進(jìn)行斷網(wǎng)處理。安全員（XXX）：收到，立即處理。羅組長(zhǎng)，平臺(tái)已下線處理，并替換為維護(hù)頁面。中毒服務(wù)器勒索病毒進(jìn)程已殺掉，經(jīng)排查，其他服務(wù)器暫無發(fā)現(xiàn)有感染勒索病毒的情況。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：好的，請(qǐng)密切關(guān)注平臺(tái)服務(wù)器情況，有新情況立即報(bào)告。安全員（XXX）：好的，收到。安全員（XXX）：報(bào)告科長(zhǎng)，中毒服務(wù)器已進(jìn)行斷網(wǎng)處理，其他服務(wù)器主機(jī)并沒有被勒索病毒感染。已將此平臺(tái)進(jìn)行下線，并替換為維護(hù)頁面。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：收到，請(qǐng)立即啟動(dòng)應(yīng)急預(yù)案。按照《XXX局網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，本次網(wǎng)絡(luò)安全事件定性為較大（Ⅲ級(jí)）安全事件，請(qǐng)立即上報(bào)局辦公室，并同時(shí)通報(bào)市委網(wǎng)信辦和公安機(jī)關(guān)！據(jù)事件發(fā)生原因，有針對(duì)性采取措施，備份數(shù)據(jù)、保護(hù)設(shè)備、排查隱患，做好現(xiàn)場(chǎng)保護(hù)，控制事態(tài)發(fā)展，防止破壞蔓延，恢復(fù)被加密的平臺(tái)網(wǎng)站。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：好的，收到。我會(huì)讓應(yīng)急組成員按照預(yù)案中的方法進(jìn)行應(yīng)急處置，盡力將數(shù)據(jù)損失降至最低。安全員（XXX）：報(bào)告科長(zhǎng)，我辦官網(wǎng)平臺(tái)服務(wù)器已進(jìn)行斷網(wǎng)處理，其他服務(wù)器主機(jī)并沒有被勒索病毒感染。已將此平臺(tái)進(jìn)行下線，并替換為維護(hù)頁面。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：收到，請(qǐng)你們密切跟進(jìn)后續(xù)排查情況，調(diào)查分析該事件發(fā)生原因，在保證安全的情況下并做好平臺(tái)數(shù)據(jù)恢復(fù)與上線恢復(fù)等工作。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：好的，收到。應(yīng)急組，根據(jù)科長(zhǎng)及局機(jī)關(guān)有關(guān)指示，請(qǐng)按照預(yù)案中的方法進(jìn)行進(jìn)一步的應(yīng)急處理，盡力將數(shù)據(jù)損失降至最低。另外，做好勒索病毒查殺、平臺(tái)數(shù)據(jù)恢復(fù)、平臺(tái)上線恢復(fù)和事件原因調(diào)查等工作。安全員（XXX）：收到，羅組長(zhǎng)，我們會(huì)按照預(yù)案中的操作方法進(jìn)行排查，排查包括文件分析、進(jìn)程命令、系統(tǒng)賬號(hào)、計(jì)劃任務(wù)、日志分析等。【投屏演示排查措施】安全員（XXX）：報(bào)告，經(jīng)排查確認(rèn)，這臺(tái)服務(wù)器的C盤用戶TEMP文件夾下存在病毒執(zhí)行文件和可疑的bat文件，并且發(fā)現(xiàn)被添加惡意用戶。安全員（XXX）：目前已將病毒執(zhí)行文件、可疑bat文件皆刪除，并且對(duì)終端進(jìn)行全盤殺毒處理。通過對(duì)加密文件的后綴在病毒搜索引擎網(wǎng)站查詢得知該勒索病毒當(dāng)前無解密工具。安全員（XXX）：建議通過備份的平臺(tái)數(shù)據(jù)進(jìn)行恢復(fù)處理。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：收到，我會(huì)將情況上報(bào)科長(zhǎng)，待報(bào)告后再定處置措施。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：科長(zhǎng)，應(yīng)急組反饋目前中毒服務(wù)器已將病毒執(zhí)行文件、可疑bat文件皆刪除，并且對(duì)終端進(jìn)行全盤殺毒處理。通過對(duì)加密文件的后綴在病毒搜索引擎網(wǎng)站查詢得知該勒索病毒當(dāng)前無解密工具。應(yīng)急組建議通過備份的平臺(tái)數(shù)據(jù)進(jìn)行恢復(fù)處理。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：收到，請(qǐng)?jiān)u估期間丟失的數(shù)據(jù)量并及時(shí)進(jìn)行恢復(fù)。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：應(yīng)急組，經(jīng)請(qǐng)示科長(zhǎng)，請(qǐng)?jiān)u估期間丟失的數(shù)據(jù)量并及時(shí)進(jìn)行恢復(fù)安全員（XXX）：收到，立即進(jìn)行平臺(tái)備份數(shù)據(jù)恢復(fù)。安全員（XXX）：報(bào)告，平臺(tái)已恢復(fù)正常運(yùn)行，經(jīng)確認(rèn)，此次勒索病毒事件無造成數(shù)據(jù)損失。防守隊(duì)伍負(fù)責(zé)人（組長(zhǎng)）：收到，請(qǐng)進(jìn)一步排查該次服務(wù)器感染勒索病毒原因，并報(bào)告有關(guān)情況。安全員（XXX）：收到。安全員（XXX）：報(bào)告科長(zhǎng)。經(jīng)測(cè)試平臺(tái)已恢復(fù)，此次勒索病毒事件無造成數(shù)據(jù)損失。該次感染勒索病毒原因還在進(jìn)一步排查確認(rèn)。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：好的?！就镀裂菔炯庸檀胧堪踩珕T（XXX）：報(bào)告科長(zhǎng)，經(jīng)排查發(fā)現(xiàn)攻擊者利用遠(yuǎn)程桌面用戶口令暴力破解攻擊，成功獲取服務(wù)器用戶名口令之后登錄服務(wù)器投放勒索病毒并執(zhí)行，按照合規(guī)的系統(tǒng)基線進(jìn)行加固，同時(shí)針對(duì)勒索病毒的情況，會(huì)著重對(duì)系統(tǒng)進(jìn)行關(guān)閉默認(rèn)共享、關(guān)閉高危3389端口、加強(qiáng)系統(tǒng)用戶口令、為系統(tǒng)更新最新的安全補(bǔ)丁、開啟全部的審計(jì)日志等操作。目前平臺(tái)已恢復(fù)正常運(yùn)行。網(wǎng)信工作領(lǐng)導(dǎo)小組組長(zhǎng)（科長(zhǎng)）：好的，辛苦了，繼續(xù)觀察平臺(tái)的狀態(tài)，關(guān)注新的漏洞信息，及時(shí)修復(fù)網(wǎng)站新的漏洞。并將本次所帶來的損失記錄并匯報(bào)，結(jié)束本次應(yīng)急事件的處置。各有關(guān)部門要做好事后匯報(bào)和經(jīng)驗(yàn)總結(jié)工作，相關(guān)處理情況請(qǐng)形成紙質(zhì)報(bào)告向局主要領(lǐng)導(dǎo)匯報(bào)，經(jīng)局主要領(lǐng)導(dǎo)審核后報(bào)市委網(wǎng)信辦及市公安局。主持人（中國(guó)電信XXX）：本次關(guān)于官網(wǎng)平臺(tái)勒索病毒場(chǎng)景演練結(jié)束，當(dāng)發(fā)現(xiàn)某些系統(tǒng)中了勒索病毒，千萬別忙著怎么交贖金，建議采取如下措施：一是先隔離被感染的服務(wù)器主機(jī)；二是確定被感染的范圍，同時(shí)要上報(bào)領(lǐng)導(dǎo)和相關(guān)部門；三是進(jìn)行溯源分析