记一次离谱的应急响应

文章预览

下午刚睡起来洗把脸准备上班，还在爬楼梯准备往楼上办公室走，领导电话打来语气很严肃：“快上来，XX单位又被通报了……” 听到这个消息就很头大，该单位今年3月、4月分别被通报过有外联恶意IP的告警，当时到场后非常难搞： 安全设备只有一个防火墙没有其它安全设备； 防火墙是any到any的全通策略； 防火墙只能存下当前时间前一两小时的日志； 当时硬着头皮对所有电脑全盘扫描杀毒，最后算是找到了点可以交差的东西，一看连着两个月被通报，XX单位及下辖单位赶紧新增了安全设备，于是5-6月算是安全度过了。 好景不长这7月又通报了，我还在和运营商电话确认该出口IP是不是被通报单位的IP时，XX单位下辖单位也被通报了，通报内容一致，外联恶意域名也一致，当时觉得事情不妙，因为两个单位前段时间一起新安装的安全设备，所以大概 ………………………………