首页 > 其他分享 >攻防演练剧本参考

攻防演练剧本参考

时间:2024-08-24 21:36:58浏览次数:9  
标签:攻防 场景 应急 视频 信息管理 桌面 剧本 演练

  1. 开场主持(总指挥)

各位领导、各位同事,下面由我来简要介绍一下本次信息安全应急演练的基本情况:

随着信息化的不断深化和在全国各地的集中部署,我司形成了以CIS 、ERP等系统为核心的信息化架构,信息化已经渗透到生产经营管理的各个领域。

但是,随着这些信息化系统的大干快上,相应的信息安全防护措施却没有完全跟上 ,有的应用系统和电脑全副武装,有的异地的应用系统和电脑管控不到位,而大家又都在同一个内网,一旦发生勒索软件传播、应用系统被攻击、客户信息被窃取、网站被篡改等等诸如此类的事件,都会对我司的业务经营带来风险。

2017年6月1日《网络安全法》的颁布实施,把信息安全的保障从企业自身规范上升为国家法律层面的要求公安部门也处罚了一批安全落实不到位且发生安全事件的单位,对单位主要负责人进行了罚款和行政处理。本次演练的主题是信息安全应急演练,特别选取了三个重大的信息安全事件作为演练场景。

本次演练主要目的有:

演练目的

1.业务人员:事件发生后,具备手工作业的能力,经过和IT人员的配合可以补录数据并保持业务连续;

2.高层领导:发现演练过程中的不足,提出改进意见;

3.信息部人员:熟悉和规范应急流程,提高应急能力;

本次演练由我担任总指挥,信息中心担任现场总指挥、*担任现场解说,并设置有安全应急工作组、系统恢复应急小组等。

  1. 实战演练

2.1 演练启动

各位领导,接下来演练正式开始。

●总指挥:“现场总指挥,信息安全演练是否准备就绪?”

●现场总指挥:“总指挥,应急演练各项工作就绪。”

●总指挥:“好,现在我宣布信息安全应急演练正式开始!”

●主持人:各位领导。我是信息中心**。接下来由我负责现场解说。

网络安全法的发布,使得企业内部的信息安全已经不再是家事,而是上升为国家法律要求,信息安全事件和安全事故一样,集团领导是第一责任人.

而对直接主管人员和直接负责人来说,处罚金额也包括了5千-50万各个等级,包括15日以下的拘留,比如对漏洞不做整改并发生了安全事件至少要罚款5000.

·我们来看一下今年的一个处罚实例, 7月22日,某网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。这次处罚原因并不是网站发生被黑客攻击入侵的信息安全事件,而是网络安全防护工作落实不到位且发生了本次信息安全事件。所以我们需要做好信息安全的规定动作,就可以减少事件发生后的处罚责任。这五个规定动作是1.网络日志留存2.漏洞处置3.容灾备份4.应急演练5.安全检测评估。

下面开始我们演练的第一个场景。

2.2 演练场景1:员工被邮件钓鱼,导致勒索软件大面积爆发

(视频上的场景是黑客的电脑桌面)

黑客正在扫描网络的弱密码,并用弱密码给我司通讯录发钓鱼邮件。(最后显示出可以盗取所有通讯录)

●黑客:“哎,这个用户的密码好简单,我就用他的邮箱发钓鱼邮件吧”;

(视频上的场景是某员工的电脑屏幕)

●某员工:“哎,我的电脑提示需要交比特币才能继续使用,我赶紧给IT打电话吧”;(虚拟机真实样本)

(视频上的场景是信息中心的IT热线被打爆)

●某员工:“你好,我是XXX用户….

●IT热线接线员:“你好,你是XXX用户,你的电脑发现勒索病毒界面,请留下你得联系方式,我将该情况上报。。。你好,你是XXX用户,你的电脑发现勒索病毒界面,请留下你得联系方式,我将该情况上报。。。你好,你是总部12楼的用户,你的电脑发现勒索病毒界面,请留下你得联系方式,我将该情况上报。

●某员工:“我这个电话打不进去…怎么办啊.

IT热线接线员向信息中心桌面管理人员报障

●IT热线接线员:“你好,。我是IT热线接线员。我们接到了来自多家单位的报障电话,初步判断是中了未知病毒,此类问题先是从XX,然后是XX,现在,本部也发现类似问题, 目前已有20多个,并且越来越频繁,请协调处理”;

●信息中心桌面管理人员:“麻烦提供下报障用户的清单和联系方式,我立即处理”;

信息中心桌面管理人员将事件上报信息管理部

(视频上的场景是信息管理部***在接电话)

●信息中心桌面管理人员(**):“各地分公司和总部陆续发现未知病毒,目前已经感染50多台电脑,请安排人员协助分析”;

●信息管理部应急人员(***):“这些电脑目前是什么情况,”;

●信息中心桌面管理人员(**):“这些电脑的文件都打不开,电脑屏幕显示了一张需要交赎金才能使用的图片”;

●信息管理部应急人员(***):“这可能是目前正在全球肆虐传播的勒索病毒,请告诉我一个就近的报障用户,我去现场提取病毒样本 ,”;

(视频显示***起身并打电话)

●信息管理部应急人员(**)第一时间上报信息管理部总经理:“,目前集团疑似遭到勒索软件攻击,已经影响50多台电脑,还可能进一步感染服务器,这种病毒传播快,目前还没有解决办法,我现去现场查看样本,稍候给您汇报进展;

●信息管理部总经理(*):“抓紧处理,努力确保业务不影响;

PPT演示和讲解:***建立微信群,找外部专家协助分析了样本

(视频上的场景是应急小组工作场景)(视频上的场景是中发现钓鱼邮件)

●应急专家:经过样本分析,此病毒通过445端口传播,主要攻击没有打WINDOWS补丁的电脑,LINUX系统不受影响, 建议网络管理员立即封闭445端口,组织病毒在各分公司区域横向传播,建议桌面运维人员使用专杀工具对中毒电脑进行查杀和修复,建议服务器运维人员立即对服务器进行补丁升级,建议管理部向全集团发布病毒防范通知。

●网络(***):已经将445端口封闭,目前病毒无法传播至服务器区域。

●服务器(***):正在将服务器的补丁逐步打上,目前本部已经完成了98%,还有分公司的服务器已经发邮件告知分公司处理方法。

●桌面():安排桌面运维小组奔赴各地协助桌面恢复。目前有台电脑由于日常没有备份,数据已经无法恢复,有**台电脑由于在异地,没有本地IT人员,只能建议重新安装系统。

●管理部(***):已经向全集团发布病毒防范通知,指导桌面,服务器,全员如何开展病毒防范工作。(切桌面,屏幕显示文件内容:建议桌面用户在确认完补丁版本和防病毒版本后再使用本机)

●管理部(***):已经向全集团发布如何查看本机补丁版本和防病毒版本的指导说明(切桌面,屏幕显示文件内容:建议桌面用户在确认完补丁版本和防病毒版本后再使用本机)

●应急专家: 依据我们持续监控的情报,目前病毒传播在可控状态,暂无最新的病毒传播迹象。

(视频上的场景汇报总结)

●管理部(***):目前病毒传播情况已经控制,集团人员业务不受影响。

●网络部(***):本次事件发现集团分域工作需要尽快开展,对各个安全域隔离需要尽快提上日程。

●服务器(***):本次事件发现部分分公司的服务器放入公司内网后没有统一的安全保障措施。

●桌面(**):本次事件发现部分分公司的桌面电脑放入公司内网后没有统一的安全保障措施,有人擅自脱离安全域 ,卸载防病毒软件,部分员工电脑的密码容易被猜测。

●信息管理部总经理(*):请大家针对本次事件作出改善计划,举一反三,不断改进我们的安全保障体系。

2.3 演练场景2:网站被攻击篡改,导致反动标语挂在首页

(视频上的场景是网站监控的页面)

网站监测发现我司官网首页被篡改,反动标语挂在首页。

(视频上的场景是各人员视频)

●应急专家:***你好,我们实时监测发现我司官网首页被篡改,反动标语挂在首页。

●管理部(***):好的,我立即启动应急预案。

●信息管理部应急人员(**)第一时间上报信息管理部总经理:“,我司官网首页被篡改,反动标语挂在首页,按应急预案需要第一时间断开官网,请指示”;

●信息管理部总经理(*):“同意立即断开官网,开展恢复措施,查明原因”;

(视频上的场景是信息管理部***将网络人员,安全应急人员拉入应急响应微信群,并在微信群里发布工作内容,此处可以展示电脑屏幕)

●***: 我司官网首页被篡改,反动标语挂在首页,请网络组立即断开官网

●网络部(***):官网已经隔离。

●应急人员:请上传服务器日志,我们开始失陷检测,作事件溯源分析。

●服务器(***):服务器日志已经上传

●应急人员:根据分析,黑客人员发现我司在互联网的服务器资产有系统漏洞,经过注入木马后上传非法图片,目前已经手工清除,请开发人员完成本次漏洞的整改,请网络管理员对非必要的互联网资产进行更改,不用再发布在互联网上。黑客IP地址是,,,,。

●网络部(***):对非必要的互联网资产已经进行更改,不用再发布在互联网上。

●系统负责人:已经安排开发商对漏洞进行修改。

●管理部(***):本次事件已经上报公安,并提供了黑客IP地址报案。

(视频上的内容为场景汇报总结)

●管理部(***):目前官网已经修复,网络恢复。

●网络部(***):本次事件发现我们对互联网资产的发现能力不足,需要自动化发现设备。

●系统负责人:本次事件发现软件供应商每个页面都有该漏洞,需要修改200多个页面,目前供应商重新修改表示工作量太大,需要增加费用,我们前期的系统建设管控存在问题。

●信息管理部总经理(*):请大家针对本次事件作出改善计划,举一反三,不断改进我们的安全保障体系。

2.4 演练场景3:现场营业厅应用系统&网上营业厅被黑客侵入,导致大量客户信息泄露,CIS数据被篡改,营业厅现场用户无法正常开户,销户,缴费

(视频上的场景是发现网上营业厅被黑客攻击)

发现网上营业厅被黑客攻击。

(视频上的场景是各人员视频)

●应急专家:***你好,我们监测发现我司网上营业厅被黑客攻击。

●管理部(***):好的,我立即启动应急预案。

●信息管理部应急人员(**)第一时间上报信息管理部总经理:“,我司网上营业厅被黑客攻击,目前正在紧急排查遭受的损失和事件影响”;

●信息管理部总经理(*):“联系相关业务人员一起加入本次事件应急”;

(视频上的场景是信息管理部***将网络人员,安全应急人员,业务人员拉入应急响应微信群,并在微信群里发布工作内容,此处可以展示电脑屏幕)

●***: 我司网上营业厅被黑客攻击,请人员作安全评估

(视频上的场景是发现系统失陷和被窃取文件的事件等)

●应急人员:经分析,黑客于时间通过漏洞,从IP进入内网,于时间上传木马,于时间下载客户数据,于时间修改CIS抄表读数和缴费记录,于**时间中断CIS服务。

●信息中心(**):报告集团分管总裁,CIS系统被黑客攻击,有一天的数据受影响,目前正在紧急恢复,现场营业厅目前是手工处理状态。

●集团分管总裁:请办公室出紧急说明,避免舆论恶化影响

(视频上的场景是各单位人员视频)

●应急人员:删除木马,IP需要打上补丁,系统需要安全整改,**端口需要防火墙关闭,CIS数据需要恢复到昨天,黑客IP地址是。。。(显示黑客IP地址和实时攻击图)。

现场营业厅:张贴系统暂停通知,给每位客户提供小礼品,并提供纸质单据记录客户缴费记录,开户和销户业务如果手工能办就手工办理,如果不能办就和客户解释,留下客户电话,待系统恢复后及时通知。

办公室发布声明:由于集团。。。

官网发布通知:由于集团。。。

CIS负责人:将数据恢复到昨天的记录,导出待确认的抄表读数和缴费记录

呼叫中心:通知抄表组,再次核对抄表读数,补录数据

财务组:拿银行对帐单,再次核对缴费记录,补录数据

●CIS负责人:报告集团副总裁,经过和抄表组,财务组等各单位核对后,目前数据恢复正常,现场营业厅恢复业务。

(视频上的内容为场景汇报总结)

●管理部(***):本次事件已经上报公安,并提供了黑客IP地址报案。

●办公室:再次发布通告,黑客已经抓获,我司今后将提供更好的服务。

●营业厅负责人:手工表单还有几类业务有欠缺,需要补充。

2.5 完成演练

●现场总指挥(*):“报告总指挥,安全事件应急演练按预定方案已完成”。

●总指挥(*):“收到”。

  1. 领导讲话

●总指挥(*):“本次演练已按预定方案完成,基本达到了我们的预期目标。”

●总指挥(*):“下面请XXX对本次演练进行点评”

XX点评

●总指挥(*):“下面请XXX讲话”

XXX讲话

●总指挥(*):“下面我宣布,信息安全应急演练结束。”

  1. 演练结束

原创 安全大脑

标签:攻防,场景,应急,视频,信息管理,桌面,剧本,演练
From: https://www.cnblogs.com/o-O-oO/p/18370127

相关文章

  • Playbook剧本案例实战
    script模块script模块⽤于在远程机器上执⾏本地脚本。#在master上准备⼀个脚本[root@m0~]#vimtest.shmkdir/tmp/threetouch/tmp/three/testecho'iamecho,isusedwrite'>/tmp/three/test[root@m0~]#sourcetest.sh#在group02的远程机器⾥都执⾏master上的......
  • 浅谈红队攻防之道-CobaltStrike钓鱼攻击集锦
    打个比方,一片大地上,躺着一群沉睡的人,远处就是火山,马上就要爆发了,你就像个闹钟,面对这些沉睡的人,你想把他们叫醒。你持续不断地响着,有的睡得浅的人,被你叫醒了,跟你一块去叫醒众人,但是人数太多了,你们的声音太微弱了,叫醒的人毕竟有限,而且保不齐有的人嫌烦,时不时还踢坏两个。那......
  • SAFe大规模敏捷企业级实战演练培训
    ​课程简介SAFe–ScaledAgileFramework是目前全球运用最广泛的大规模敏捷框架,也是成长最快、最被认可、最有价值的规模化敏捷框架,目前全球SAFe认证专业人士已达80万人,福布斯100强的70%都在实施SAFe。本课程是一个2天的SAFe权威培训课程,在课程中,学员将系统地学习大规模敏捷......
  • 2024.8.20(playbook剧本安装nginx、roles)
    一、playbook 剧本安装nginx[root@m0~]#mkdir/etc/ansible/playbook[root@m0~]#vim/etc/ansible/playbook/nginx.yml----hosts:group02remote_user:roottasks:-name:卸载httpdyum:......
  • Android逆向题解-攻防世界-Ph0en1x-100
    jeb反编译apk主要代码是if那个判断,getFlag取字符串用getSecret加密,和输入字符串encrypt加密后再getSecret加密,进行比较,两边同样都是getSecret加密,那比较可以简化成this.getFlag()==this.encrypt(s)。也就是输入字符经过encrypt加密后等于getFlag的字符串即可。protec......
  • 【第68课】Java安全&原生反序列化&SpringBoot攻防&heapdump提取&CVE
    免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉......
  • ansible自动化之playbook剧本【nginx安装为例】
    一、简介roles则是ansible中,playbooks的目录组织结构。将代码或者文件进行模块化,成为roles的文件目录组织结构,易管理,易理解,代码可重用,层次清晰。二、准备目录结构创建所需目录:mkdir-proles/nginx/{files,handlers,tasks,templates,vars}创建所需文件:touchroles/......
  • 云计算实训31——playbook(剧本)基本应用、playbook常见语法、playbook和ansible操作
    playbook(剧本):是ansible⽤于配置,部署,和管理被控节点的剧本。⽤于ansible操作的编排。使⽤的格式为yaml格式一、YMAL格式以.yaml或.yml结尾⽂件的第⼀⾏以"---"开始,表明YMAL⽂件的开始(可选的)以#号开头为注释列表中的所有成员都开始于相同的缩进级别,并且使⽤⼀......
  • 生产环境故障处理演练-mysql数据库主从恢复
    常用命令:1、查看myqsl当前所有用户:SELECTuser,hostFROMmysql.user;2、查看表mom_tms.t_tms_db_car_base_info的创建语句:showcreatetablemom_tms.t_tms_db_car_base_info;3、从库执行查看是否都是只读状态:select@@read_only;4、查询MySQL中performance_schema表......
  • 【待做】程序源码保护攻防对抗录
    一、基本介绍二、加密方式2.1源码混淆处理2.1.1PHP威盾混淆一、基本介绍PHP语言作为脚本语言的一种,由于不需要进行编译所以通常PHP程序的分发都是直接发布源代码,这对于一些开源软件而言并没有什么问题,因为它本来就希望有更多的人阅读代码并希望有更多的人......