安全運(yùn)營(yíng)的價(jià)值之一是提供7x24的全方位全時(shí)段防守，在攻擊初始階段發(fā)現(xiàn)并處置阻斷，避免進(jìn)一步演變?yōu)閲?yán)重安全事件。下面通過(guò)一起典型的處置案例，介紹下安全運(yùn)營(yíng)在這方面的價(jià)值。

攻擊處置案例

事件概述

6月2日晚上，正值端午佳節(jié)闔家團(tuán)圓之際，某企業(yè)在公有云部署的OA系統(tǒng)，遭遇了攻擊侵入。新鈦云服7x24安全運(yùn)營(yíng)團(tuán)隊(duì)及時(shí)發(fā)現(xiàn)，成功阻斷攻擊，保護(hù)了該企業(yè)重要數(shù)據(jù)安全，防止了數(shù)據(jù)泄露。

事件過(guò)程

2025-06-02 19:53:12 主機(jī)安全檢測(cè)到主機(jī)被反彈shell攻擊并發(fā)出告警，提示存在異常網(wǎng)絡(luò)連接。新鈦云服持續(xù)監(jiān)測(cè)研判后通知客戶主機(jī)異常，并聯(lián)系OA供應(yīng)商協(xié)調(diào)排查問(wèn)題。

2025-06-02 20:17:00 經(jīng)和客戶、OA供應(yīng)商溝通后，新鈦云服調(diào)整主機(jī)安全組規(guī)則，入向僅允許堡壘機(jī)遠(yuǎn)程登錄，出向流量全部禁止，限制攻擊擴(kuò)散。

2025-06-02 22:00:00 與客戶確認(rèn)回滾方案，確定ECS快照回滾的時(shí)間點(diǎn)，計(jì)劃二次回滾并修改主機(jī)公網(wǎng)EIP。對(duì)異常主機(jī)創(chuàng)建快照，便于后續(xù)溯源分析。

2025-06-02 22:30:00 調(diào)整主機(jī)公網(wǎng)IP，完成第一次快照回滾，恢復(fù)系統(tǒng)至安全狀態(tài)。

2025-06-03 2:00:00 OA廠商業(yè)務(wù)恢復(fù)完成，新鈦云服恢復(fù)正常業(yè)務(wù)安全組配置，OA廠商與客戶共同驗(yàn)證相關(guān)數(shù)據(jù)的完整性。

2025-06-03 2:30:00  新鈦云服安全工程師排查溯源，發(fā)現(xiàn)攻擊通過(guò)OA系統(tǒng)漏洞侵入，并通過(guò)數(shù)據(jù)庫(kù)默認(rèn)口令鏈接到數(shù)據(jù)庫(kù)，因發(fā)現(xiàn)及時(shí)未發(fā)生數(shù)據(jù)泄露情況。與OA廠商供應(yīng)商和客戶確認(rèn)數(shù)據(jù)庫(kù)賬號(hào)密碼情況，確認(rèn)密碼改系統(tǒng)默認(rèn)口令。請(qǐng)OA廠商供應(yīng)商使用符合安全策略的復(fù)雜用戶名和密碼，并驗(yàn)證。同時(shí)督促OA廠商檢查應(yīng)用及數(shù)據(jù)庫(kù)補(bǔ)丁情況，及時(shí)更新。

2025-06-03 2:45:00 優(yōu)化OA廠商主機(jī)的快照策略和備份頻率，確保緊急情況下業(yè)務(wù)數(shù)據(jù)可快速恢復(fù)。

事件總結(jié)

1.7x24值守發(fā)揮重要作用

7x24值守的價(jià)值在于及時(shí)發(fā)現(xiàn)并阻斷，因?yàn)樵撈髽I(yè)使用了新鈦云服7x24安全運(yùn)營(yíng)服務(wù)體系，在第一時(shí)間發(fā)現(xiàn)并進(jìn)行了處置，避免了數(shù)據(jù)泄露。

02.主機(jī)安全產(chǎn)品是必要的安全措施

安全運(yùn)營(yíng)服務(wù)默認(rèn)部署主機(jī)安全產(chǎn)品，實(shí)踐證明主機(jī)安全產(chǎn)品是最后一道防線，發(fā)揮著不可替代的作用。不光是侵入的告警，在日常的安全基線掃描和安全加固方面也發(fā)揮著重要作用。

03.應(yīng)用系統(tǒng)補(bǔ)丁需要及時(shí)更新

一些應(yīng)用廠商只關(guān)注功能的完善，對(duì)信息安全重視不夠。尤其是當(dāng)前軟件開發(fā)，60%左右的代碼都使用開源組件，這些開源組件如果不及時(shí)升級(jí)版本，不進(jìn)行安全配置，有著很大的隱患。對(duì)應(yīng)用系統(tǒng)的定期安全評(píng)估，和應(yīng)用廠商溝通好版本升級(jí)機(jī)制也非常重要（已和應(yīng)用廠商制定溝通機(jī)制）。

04.默認(rèn)密碼需引起重視

一些開發(fā)人員在開發(fā)的時(shí)候習(xí)慣使用默認(rèn)配置，給攻擊者造成可乘之機(jī)。一些稍有名氣軟件的默認(rèn)密碼，再攻擊者圈子里廣為流傳。在部署應(yīng)用系統(tǒng)的時(shí)候，密碼也需要同更新，并符合復(fù)雜性規(guī)范（已更新部署制度，增加對(duì)默認(rèn)口令的檢查）。

安全運(yùn)營(yíng)的價(jià)值和意義

數(shù)據(jù)泄露是企業(yè)面臨的核心安全痛點(diǎn)之一，可能導(dǎo)致財(cái)務(wù)及聲譽(yù)損失、法律風(fēng)險(xiǎn)。用戶最關(guān)心的往往是業(yè)務(wù)連續(xù)性、數(shù)據(jù)完整性和快速響應(yīng)能力。

今年4月零售巨頭Marks&Spencer（瑪莎百貨）因數(shù)據(jù)泄露導(dǎo)致的勒索攻擊使得業(yè)務(wù)運(yùn)營(yíng)中斷數(shù)月預(yù)計(jì)損失近30億元。5月奢侈品巨頭路威酩軒（LVMH）旗下品牌迪奧（Dior）在中國(guó)市場(chǎng)發(fā)生嚴(yán)重?cái)?shù)據(jù)泄露事件（包含客戶手機(jī)號(hào)碼、郵寄地址等敏感數(shù)據(jù)），引發(fā)業(yè)內(nèi)廣泛關(guān)注。6月繼迪奧之后，卡地亞也發(fā)生了客戶敏感信息數(shù)據(jù)泄露事件。這些數(shù)據(jù)泄露事件均與安全運(yùn)營(yíng)息息相關(guān)。