典型安全事件处置

典型安全事件处置的核心，是 **“先止损，再取证，后清理，必复盘”**。不同事件的攻击路径和风险不同，处置重点也完全不一样。下面给你梳理企业最常见的几类安全事件的处置流程和关键要点。

---

一、勒索软件攻击处置

典型特征

• 终端文件后缀被修改（如.locky/.conti/.phobos），桌面出现勒索信（.txt/.html）
• 终端 CPU / 磁盘占用突增，大量文件被加密
• 可能伴随横向移动，同网段多台主机同时出现加密行为

处置流程

1. 遏制（第一步！立即止损）
   • 立即隔离受感染终端（物理断网 / EDR 一键隔离），防止加密扩散到其他主机
   • 若发现横向移动，立即隔离受感染网段，阻断 SMB/RDP 跨网段访问
   • 不要重启 / 关机：部分勒索软件重启后会触发批量加密，且会破坏日志证据
2. 取证（处置前必须做）
   • 备份受感染主机的内存镜像、磁盘快照、系统日志、勒索信
   • 记录加密文件后缀、勒索信内容、攻击者要求，后续可提交给安全厂商解密
3. 根除
   • 查杀勒索软件进程、加密程序，删除恶意文件
   • 清理恶意启动项、定时任务，防止再次运行
   • 重置被攻击主机的所有账户密码，尤其是管理员账户
4. 恢复
   • 优先从离线备份恢复数据，不要从受感染主机的备份恢复（备份也可能被加密）
   • 验证业务系统正常运行，测试关键数据完整性
5. 复盘
   • 分析攻击入口：钓鱼邮件 / 漏洞利用 / 弱口令爆破？
   • 修复攻击利用的漏洞 / 弱口令，收紧边界策略
   • 优化勒索软件防护规则，更新 EDR / 杀毒特征库

关键避坑点

• 不要轻易付赎金：多数攻击者拿到赎金后不给解密器，或继续泄露数据，且付赎金会助长攻击行为
• 必须做离线备份：在线备份也会被勒索软件感染，失去恢复能力

---

二、数据泄露事件处置

典型特征

• 终端 / 服务器向外网发起大量 POST / 文件上传请求
• 流量日志中出现核心数据（用户信息、配置文件）向外传输
• 勒索软件攻击中伴随数据泄露声明（双重勒索）

处置流程

1. 遏制
   • 立即阻断受感染主机向外网的连接，拉黑目标 C2 / 数据泄露服务器 IP
   • 限制核心数据访问，仅允许授权用户访问
   • 若为双重勒索，同步按勒索软件处置流程隔离终端
2. 取证
   • 备份流量日志、终端日志，确认泄露的数据类型、规模、时间范围
   • 记录数据泄露的目标 IP、传输方式，后续可上报监管机构
3. 根除
   • 清理数据外发通道（后门 / 恶意脚本 / 漏洞）
   • 重置被攻破的账户密码，尤其是数据管理员账户
   • 修复数据访问控制漏洞，收紧权限
4. 恢复
   • 从备份恢复被篡改 / 删除的数据
   • 对泄露的用户数据，按合规要求通知用户、上报监管机构
5. 复盘
   • 分析数据泄露路径：漏洞 / 弱口令 / 内部违规操作？
   • 优化数据防泄露（DLP）策略，加强核心数据访问审计

关键避坑点

• 双重勒索攻击下，数据泄露的损失往往比加密更严重，必须同时做阻断和上报准备

---

三、弱口令爆破成功事件处置（SSH/RDP/ 数据库）

典型特征

• 登录日志中出现同一 IP 多次失败登录后，成功登录记录
• 服务器出现异常进程、定时任务、向外网连接

处置流程

1. 遏制
   • 立即拉黑攻击源 IP，限制受攻击主机的外网访问
   • 重置被爆破账户的密码，禁用不必要的账户
2. 取证
   • 备份登录日志、进程日志、流量日志，确认攻击者登录后的操作
   • 检查是否创建了新账户、定时任务、后门进程
3. 根除
   • 清理攻击者植入的后门、恶意脚本
   • 修复弱口令问题，强制所有账户启用强口令 + 多因素认证
   • 关闭不必要的 RDP/SMB/ 数据库端口外网访问
4. 恢复
   • 验证业务系统正常运行，无异常进程 / 连接
   • 检查数据是否被篡改 / 删除
5. 复盘
   • 优化边界策略，仅允许指定 IP 段访问管理端口
   • 定期开展弱口令扫描，清理僵尸账户

关键避坑点

• 仅重置被爆破账户密码不够，攻击者可能已创建新账户，必须全面排查账户列表

---

四、钓鱼邮件感染终端处置（宏病毒 / 恶意附件）

典型特征

• 用户下载邮件附件后，终端出现异常进程、向外网连接
• Office 宏文件执行后，PowerShell/CMD 异常调用

处置流程

1. 遏制
   • 隔离受感染终端，防止恶意代码扩散
   • 拉黑邮件附件中的恶意链接 / 服务器 IP
2. 取证
   • 备份邮件附件、终端日志、流量日志，确认恶意代码类型
   • 记录钓鱼邮件的发件人、附件内容、用户操作
3. 根除
   • 查杀恶意代码、宏病毒，清理启动项 / 定时任务
   • 重置用户账户密码，防止账户被盗
4. 恢复
   • 恢复被篡改的文件 / 系统配置
   • 检查其他终端是否也下载了该钓鱼附件
5. 复盘
   • 优化邮件网关过滤规则，补充恶意附件 / 钓鱼域名特征
   • 开展用户安全意识培训，提升钓鱼邮件识别能力

关键避坑点

• 钓鱼邮件可能批量发送，必须排查所有用户是否下载了同一附件，防止多点感染

---

五、APT 后门外联事件处置（无文件后门、C2 通信）

典型特征

• 终端进程向外网陌生 IP 发起持续连接
• PowerShell/CMD 执行 base64 编码命令，无文件落地
• 内网出现跨网段异常访问

处置流程

1. 遏制
   • 隔离受感染终端，阻断向外网 C2 服务器的连接
   • 限制受感染网段的跨网段访问，防止横向移动
2. 取证
   • 备份内存镜像、流量日志、进程日志，还原后门行为
   • 记录 C2 服务器 IP、通信方式、后门执行的命令
3. 根除
   • 查杀内存中的恶意代码，清理注入的进程
   • 重置所有被访问账户的密码，修复攻击利用的漏洞
4. 恢复
   • 重建受感染系统（无文件后门难以彻底清理，建议重装）
   • 检查内网其他主机是否也被植入后门
5. 复盘
   • 分析 APT 攻击路径，优化内网分段、权限控制
   • 加强终端行为监控，识别无文件攻击行为

关键避坑点

• 无文件后门难以通过传统杀毒查杀，建议直接重装系统，避免残留后门