本次幸运,爆发也没有影响到我们,尽管周一(5月15日)早上禁用了进内网的端口(445,135,137,138,139),并将大楼内wifi断开,员工上班无线网不能使用,能一定程度上防止已感染机器在内网蔓延;随后紧急使用U盘和域推送下发补丁,域推送防火墙入站策略,到目前为止没有一例病毒感染,不过实在手忙脚乱。
回顾一下,其实非常侥幸。
(1)员工电脑全部放开管理员,个人可以自行安装卸载软件,导致update服务普遍被禁用,域策略推送失效;
(2)服务器域推送有效,但基本没有主动补丁规程,只有因为需要登陆了某台windows服务器,看到有windows补丁,可能顺手点一下,下班后再看看是否重启。一年都轮不上一遍。
(3)应用运维、项目组在服务器上随意安装各类软件(QQ、TeamView等),将内网暴露在防火墙之外。
在修补现有已知不足的同时,需要建立一个长效机制:
(1)安全人员长期关注相关漏洞告警,发现有此类告警
(2)分工协作预案:a.分析漏洞原理---b.分析影响范围---c.查找解决方案-----d.发布处理流程---e.协同各组人员检查机器状态---f.消除隐患---g.处理已感染机器
人员协作应包括基础平台(安全、系统、网络、数据库、备份、虚拟化、域控),负责a ~ e,协同f,g;
应用(应用服务器运维、应用软件运维、应用开发),负责b,e,g
需要固化各应用、各工作流程负责人,整理应用清单、应用负责人清单、基础各类平台负责人清单。
(3)如果突发事件,可以联合总办,临时使用宣传板之类的平面告示,尽量减少隐患,取得共识。
(4)定义病毒告警级别,根据级别制定对应预案
(5)上报流程:安全人员发现病毒告警,对应到各级别预案,迅速执行预案,整理结果报告,ITService通告周知。
(6)
扫一扫
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
