近日，由公安部组织的“护网－2018”网络攻防演练顺利落下帷幕。

本次网络安全攻防演练由公安部主办，历时半个月，模拟某大型国企在真实网络生产环境中所持续遭受的各种网络攻击事件，通过全程演练发现、分析网络中存在的各种威胁攻击行为，并迅捷启用网络安全应急预案、运用先进的安全产品与技术手段，进行快速有效应对的各个环节，主要目的在于熟悉网络安全应急演练的流程，以提高信息系统应对网络突发安全事件的能力。

至2018年7月16日起，在为期两周的“护网行动2018”网络安全攻防演练过程中，行业一流的专业数据提供商和网络安全服务商北京网思科平科技有限公司（OneScorpion）派出技术人员全程参与，圆满配合该大型国企完成本次演练的全部流程。

针对本次攻防演练的网络环境，网思科平有针对性的在关键节点部署了网蝎终端威胁侦测与响应系统（EDR），并在演练现场安排实战经验丰富的安全技术人员进行7*24小时保障值守，以确保此次演练的顺利进行。

首日，技术人员通过网思科平提供的网蝎终端威胁侦测与响应系统（EDR）监测到演练环境中部分主机出现大量异常行为，并由此截获了一批恶意文件。

网思科平技术人员在“护网－2018”攻防演练中截获的可疑操作指令

网思科平技术人员在“护网－2018”攻防演练中发现可疑程序进程关联

经过网蝎安全专家的缜密分析，断定此次样本为WannaMine的新变种，是一种利用 EternalBlue （“永恒之蓝”）漏洞进行局域网内便利传播的加密挖矿蠕虫，其传播机制与震惊全球的WannaCry勒索病毒极为相似。

由于这类蠕虫病毒不断有新的变种出现，漏洞已曝光一年之久后国内仍有不少公司和机构感染并蒙受损失，网思科平在自身强化的同时，也对该类型的安全问题进行了深入持久的追踪研究。

网思科平技术人员在“护网－2018”攻防演练中发现的木马主体

网思科平技术人员在“护网－2018”攻防演练中提取到的木马执行流程

据此，网思科平的技术人员们迅速识别出此变种木马并对其采取应对措失，成功阻击了木马恶意攻击，令该大型国企在本次网络攻防演练中首战告捷。

整个攻防演练过程中，网思科平的技术人员准确识别并成功处置网络威胁的例子不胜枚举，所看护的数百台核心服务器无一被攻陷，整个攻防演练全程正常工作。

据悉，网蝎终端威胁侦测与响应系统（EDR）是北京网思科平科技有限公司面向政府、企业、金融、军队、医疗、教育、制造业和其他重要基础设施网络推出的下一代终端安全解决方案，利用机器学习和UEBA技术实现未知攻击威胁和挑战现攻击过程取证，内嵌One Scorpion TDIE（Threat Deep Insight Engine），适用于工业控制网络和物联网安全监控，可以实现对已知和未知威胁的检测、实时报警和自动处置。同时，网思科平专业的安全服务人员更可提供的专业安全分析保障服务，显著提升网络安全防御能力，更好的保障企业和组织的安全。