第47章 應急演練
得,演練通知又來了。
這次是「信息泄露應急演練」,名字聽著就挺唬人。我在北峰幹了快五年,大大小小的演練沒少參加,流程都能背下來。
可陳主任說,這次不一樣,要動真格的。
技術支援中心的電話和內部通訊系統瞬間成了風暴中心。
我剛放下座機,對講機又響了,是陳主任的聲音。
「孫琳,演練開始。模擬場景:市場部郵箱伺服器發現大量異常外發郵件,目標指向境外匿名伺服器。」
「你們組,立刻執行預案第一階段:信息源隔離和初步排查。五分鐘內給我初步報告。」
「收到,陳主任。」我轉頭就沖組裡喊。
「小王,馬上鎖定市場部郵箱伺服器所有外發埠!小李,查日誌,看觸發郵件掃描告警的具體時間、IP段、發件人特徵!」
小王的聲音傳來,語速飛快。
「埠鎖定指令已發!……確認執行成功,市場部郵箱外發功能已暫停!」
小李盯著屏幕,「孫姐,日誌顯示……告警觸發時間是九點零三分,集中在過去十五分鐘內。」
「IP段是……等等,不對啊!」她突然驚訝道,「觸發告警的源IP……是我們技術支援中心的內部測試機IP段!」
預案模擬的是外部攻擊滲透市場部,怎麼源頭跑我們自己測試機這來了?這不對路!
「小李,確認IP歸屬!小王,立刻檢查我們測試機區網絡狀態!」
「有沒有異常連接?」我抓起對講機,「陳主任!情況有變!異常郵件源IP指向我們技術支援中心內部測試機區!請求指示!」
對講機那頭沉默了兩秒,「繼續執行預案。追加任務:立刻自查!我要知道是哪個測試機,什麼時候被控,怎麼被控的!」
「三分鐘!我要結果!」
「明白!」壓力突然變大。演練變成了實戰,還是自己家後院起火。
我們組的小張跑過來:「孫姐,測試機區監控顯示……三號測試機網絡流量在九點零二分突然異常升高,」
「遠超日常基線!持續到現在!」
「就它了!」我指著三號機的物理位置,「小王,斷它的網!物理隔離!」
「小李,立刻提取三號機當前內存鏡像和硬碟快照!動作快!」
一陣操作後,小王匯報:「三號機網線已拔!」
小李:「鏡像和快照開始提取……預計需要兩分鐘!」
時間一分一秒過去,對講機里,其他部門的匯報也斷斷續續傳進來:
「保衛處報告,已封鎖相關區域出入口,人員只進不出……」
「網絡中心報告,正在追蹤異常流量路徑……」
「國安……演練指揮部報告,初步判斷為高級持續性攻擊APT模擬……」
陳主任的聲音插進來,「孫琳,你們組自查進度?兩分鐘了!」
我盯著小李的屏幕進度條:「陳主任,鏡像提取完成度百分之八十!馬上就好!」
「再快!攻擊可能還在活動!」
小李的手指都在顫抖:「百分之九十五……九十八……好了!鏡像和快照提取完成!」
「立刻分析!重點查最近半小時的進程活動、網絡連接記錄、可疑文件創建!」我有些急迫。
小李和小王立刻埋頭分析,此刻辦公室里每一秒都顯得是那麼漫長。
突然,小王抬頭,「孫姐!三號機內存里發現一個異常進程!名字偽裝成系統更新程序!」
「它在……在嘗試連接一個外部IP!埠是……是郵件協議埠!連接還沒斷!」
「什麼?!」我頭皮一炸,「不是拔網線了嗎?!」
「是拔了!但這個進程在網斷前一刻還在活動!」小王指著屏幕。
「它在瘋狂嘗試重連那個外部IP!記錄顯示,它就是在九點零二分啟動的!」
「啟動來源?查它怎麼被放進去的!」我追問。
小李快速翻著日誌:「找到了!啟動記錄……是來自一封郵件!就在九點零一分!」
「發件人……顯示是『內部系統通知』?主題是『緊急安全補丁更新』!收件人……是這台測試機的管理員!」
釣魚郵件!目標根本不是市場部,是我們技術支援中心負責維護測試環境的機器!我們成了跳板!
「小王,立刻記錄下這個偽裝進程的所有特徵碼、行為日誌!」
「小李,把那封釣魚郵件的完整信息,發件人偽裝、附件信息、連結特徵全部提取出來!快!」我一邊下令,一邊抄起對講機。
「陳主任!查清了!攻擊源是我們一台測試機!被一封偽裝成『內部系統通知』的釣魚郵件攻破,植入了惡意程序!」
「該程序正試圖通過郵件協議外聯!特徵碼和郵件樣本已提取!」
對講機里隨即傳來陳主任果斷的聲音:「幹得好,孫琳!立刻將樣本特徵碼提交給網絡中心,進行全網查殺!」
「郵件樣本提交演練指揮部進行深度分析!你們組任務,轉入第二階段:威脅清除和影響評估!」
「評估這台測試機被控期間,還可能訪問或泄露了哪些內部資源?十分鐘!」
「是!」我應道,心裡卻一點沒松。清除容易,評估潛在影響才要命。」
「這台測試機權限不低,能訪問好幾個內部測試資料庫和開發文檔庫。
「小王,重點查這台機器在九點零二分到我們斷網這三分鐘內的所有網絡訪問記錄、文件操作日誌!」
「特別是對涉密測試庫和文檔庫的訪問!」
我快速分配任務,「小李,配合小王,比對正常基線,找出所有異常訪問行為!」
「小張,準備格式化這台機器,重裝系統,確保威脅清除乾淨!」
又是新一輪的爭分奪秒。我們組幾個人像上了發條,眼睛死死盯著各自的屏幕,時間被切割成碎片,每一秒都如此珍貴。
九分鐘過去。小王的聲音帶著一絲嘶啞:「孫姐,查完了!」
「異常訪問主要集中在兩個地方:一是『鷹眼-3B』項目的一個非核心外圍設備模擬資料庫,讀取了部分測試參數記錄。」
「二是技術文檔庫的『通用設備維護手冊V2.1』目錄,被下載了最新修訂版文件!」
我心算了一下:「『鷹眼-3B』那個資料庫是上周才部署的測試庫,裡面是模擬數據,非涉密。」
「手冊V2.1是公開的維護文檔,最新修訂只是改了幾個錯別字和排版格式。」
「核心數據和涉密文檔庫……沒有異常訪問記錄!」
「影響範圍可控!主要是非核心外圍設備的模擬數據和一份公開手冊的最新版。」
「好!記錄完整!」我立刻拿起對講機,「陳主任!威脅清除完成!」
「影響評估結果:攻擊者通過被控測試機,訪問了『鷹眼-3B』項目非核心外圍設備模擬資料庫,僅含測試用模擬參數。」
「並下載了技術文檔庫中的『通用設備維護手冊V2.1』,公開文檔,最新修訂版。」
「未發現對涉密核心資料庫及文檔的異常訪問。評估:此次模擬攻擊未造成核心數據泄露風險!」
對講機里傳來陳主任的聲音:「收到。評估報告立刻提交指揮部。你們組演練任務結束。原地待命,復盤總結。」
「明白!」我放下對講機,小王小李互相看了一眼,相互苦笑著。
「我的媽呀,」小王抹了把汗,「真跟打了一仗似的。」
「那釣魚郵件做得也太像了,發件人、標題,連咱公司logo都有!」
小李心有餘悸:「就是啊,誰能想到直接衝著咱們維護的測試機來?還專挑剛上班人沒完全清醒的時候。」
我揉著太陽穴:「這就是演練的目的。敵人不會按我們想的劇本走。」
「這次是測試機,下次可能是誰的辦公電腦?生產伺服器?郵件、U盤、外協單位發來的文件……到處都是口子。」
我看著他們,「都打起精神,待會兒復盤,每個人都要發言,哪一步慢了?哪一步判斷可能出岔子?」
這次是「信息泄露應急演練」,名字聽著就挺唬人。我在北峰幹了快五年,大大小小的演練沒少參加,流程都能背下來。
可陳主任說,這次不一樣,要動真格的。
技術支援中心的電話和內部通訊系統瞬間成了風暴中心。
我剛放下座機,對講機又響了,是陳主任的聲音。
「孫琳,演練開始。模擬場景:市場部郵箱伺服器發現大量異常外發郵件,目標指向境外匿名伺服器。」
「你們組,立刻執行預案第一階段:信息源隔離和初步排查。五分鐘內給我初步報告。」
「收到,陳主任。」我轉頭就沖組裡喊。
「小王,馬上鎖定市場部郵箱伺服器所有外發埠!小李,查日誌,看觸發郵件掃描告警的具體時間、IP段、發件人特徵!」
小王的聲音傳來,語速飛快。
「埠鎖定指令已發!……確認執行成功,市場部郵箱外發功能已暫停!」
小李盯著屏幕,「孫姐,日誌顯示……告警觸發時間是九點零三分,集中在過去十五分鐘內。」
「IP段是……等等,不對啊!」她突然驚訝道,「觸發告警的源IP……是我們技術支援中心的內部測試機IP段!」
預案模擬的是外部攻擊滲透市場部,怎麼源頭跑我們自己測試機這來了?這不對路!
「小李,確認IP歸屬!小王,立刻檢查我們測試機區網絡狀態!」
「有沒有異常連接?」我抓起對講機,「陳主任!情況有變!異常郵件源IP指向我們技術支援中心內部測試機區!請求指示!」
對講機那頭沉默了兩秒,「繼續執行預案。追加任務:立刻自查!我要知道是哪個測試機,什麼時候被控,怎麼被控的!」
「三分鐘!我要結果!」
「明白!」壓力突然變大。演練變成了實戰,還是自己家後院起火。
我們組的小張跑過來:「孫姐,測試機區監控顯示……三號測試機網絡流量在九點零二分突然異常升高,」
「遠超日常基線!持續到現在!」
「就它了!」我指著三號機的物理位置,「小王,斷它的網!物理隔離!」
「小李,立刻提取三號機當前內存鏡像和硬碟快照!動作快!」
一陣操作後,小王匯報:「三號機網線已拔!」
小李:「鏡像和快照開始提取……預計需要兩分鐘!」
時間一分一秒過去,對講機里,其他部門的匯報也斷斷續續傳進來:
「保衛處報告,已封鎖相關區域出入口,人員只進不出……」
「網絡中心報告,正在追蹤異常流量路徑……」
「國安……演練指揮部報告,初步判斷為高級持續性攻擊APT模擬……」
陳主任的聲音插進來,「孫琳,你們組自查進度?兩分鐘了!」
我盯著小李的屏幕進度條:「陳主任,鏡像提取完成度百分之八十!馬上就好!」
「再快!攻擊可能還在活動!」
小李的手指都在顫抖:「百分之九十五……九十八……好了!鏡像和快照提取完成!」
「立刻分析!重點查最近半小時的進程活動、網絡連接記錄、可疑文件創建!」我有些急迫。
小李和小王立刻埋頭分析,此刻辦公室里每一秒都顯得是那麼漫長。
突然,小王抬頭,「孫姐!三號機內存里發現一個異常進程!名字偽裝成系統更新程序!」
「它在……在嘗試連接一個外部IP!埠是……是郵件協議埠!連接還沒斷!」
「什麼?!」我頭皮一炸,「不是拔網線了嗎?!」
「是拔了!但這個進程在網斷前一刻還在活動!」小王指著屏幕。
「它在瘋狂嘗試重連那個外部IP!記錄顯示,它就是在九點零二分啟動的!」
「啟動來源?查它怎麼被放進去的!」我追問。
小李快速翻著日誌:「找到了!啟動記錄……是來自一封郵件!就在九點零一分!」
「發件人……顯示是『內部系統通知』?主題是『緊急安全補丁更新』!收件人……是這台測試機的管理員!」
釣魚郵件!目標根本不是市場部,是我們技術支援中心負責維護測試環境的機器!我們成了跳板!
「小王,立刻記錄下這個偽裝進程的所有特徵碼、行為日誌!」
「小李,把那封釣魚郵件的完整信息,發件人偽裝、附件信息、連結特徵全部提取出來!快!」我一邊下令,一邊抄起對講機。
「陳主任!查清了!攻擊源是我們一台測試機!被一封偽裝成『內部系統通知』的釣魚郵件攻破,植入了惡意程序!」
「該程序正試圖通過郵件協議外聯!特徵碼和郵件樣本已提取!」
對講機里隨即傳來陳主任果斷的聲音:「幹得好,孫琳!立刻將樣本特徵碼提交給網絡中心,進行全網查殺!」
「郵件樣本提交演練指揮部進行深度分析!你們組任務,轉入第二階段:威脅清除和影響評估!」
「評估這台測試機被控期間,還可能訪問或泄露了哪些內部資源?十分鐘!」
「是!」我應道,心裡卻一點沒松。清除容易,評估潛在影響才要命。」
「這台測試機權限不低,能訪問好幾個內部測試資料庫和開發文檔庫。
「小王,重點查這台機器在九點零二分到我們斷網這三分鐘內的所有網絡訪問記錄、文件操作日誌!」
「特別是對涉密測試庫和文檔庫的訪問!」
我快速分配任務,「小李,配合小王,比對正常基線,找出所有異常訪問行為!」
「小張,準備格式化這台機器,重裝系統,確保威脅清除乾淨!」
又是新一輪的爭分奪秒。我們組幾個人像上了發條,眼睛死死盯著各自的屏幕,時間被切割成碎片,每一秒都如此珍貴。
九分鐘過去。小王的聲音帶著一絲嘶啞:「孫姐,查完了!」
「異常訪問主要集中在兩個地方:一是『鷹眼-3B』項目的一個非核心外圍設備模擬資料庫,讀取了部分測試參數記錄。」
「二是技術文檔庫的『通用設備維護手冊V2.1』目錄,被下載了最新修訂版文件!」
我心算了一下:「『鷹眼-3B』那個資料庫是上周才部署的測試庫,裡面是模擬數據,非涉密。」
「手冊V2.1是公開的維護文檔,最新修訂只是改了幾個錯別字和排版格式。」
「核心數據和涉密文檔庫……沒有異常訪問記錄!」
「影響範圍可控!主要是非核心外圍設備的模擬數據和一份公開手冊的最新版。」
「好!記錄完整!」我立刻拿起對講機,「陳主任!威脅清除完成!」
「影響評估結果:攻擊者通過被控測試機,訪問了『鷹眼-3B』項目非核心外圍設備模擬資料庫,僅含測試用模擬參數。」
「並下載了技術文檔庫中的『通用設備維護手冊V2.1』,公開文檔,最新修訂版。」
「未發現對涉密核心資料庫及文檔的異常訪問。評估:此次模擬攻擊未造成核心數據泄露風險!」
對講機里傳來陳主任的聲音:「收到。評估報告立刻提交指揮部。你們組演練任務結束。原地待命,復盤總結。」
「明白!」我放下對講機,小王小李互相看了一眼,相互苦笑著。
「我的媽呀,」小王抹了把汗,「真跟打了一仗似的。」
「那釣魚郵件做得也太像了,發件人、標題,連咱公司logo都有!」
小李心有餘悸:「就是啊,誰能想到直接衝著咱們維護的測試機來?還專挑剛上班人沒完全清醒的時候。」
我揉著太陽穴:「這就是演練的目的。敵人不會按我們想的劇本走。」
「這次是測試機,下次可能是誰的辦公電腦?生產伺服器?郵件、U盤、外協單位發來的文件……到處都是口子。」
我看著他們,「都打起精神,待會兒復盤,每個人都要發言,哪一步慢了?哪一步判斷可能出岔子?」