攻防对抗的过程中,企业的防护水平不断增强,但攻击技术和思路也在不断变化演进。虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减,但没有任何一种信息安全策略或防护措施能够提供绝对的保护,确保安全事件一定不会发生。有一个广为流传的观点:世界上有两类公司,一类是已经被黑客入侵的公司,另一类是被黑了却还不自知的公司。“怎么知道被黑了”和“被黑了怎么办”两个任务,既是妥善应对安全事件的必答题,也是应急响应的覆盖范围。应急响应是指组织为应对突发、重大的信息安全事件发生所做的准备,以及在事件发生后所采取的措施,其目标是帮助企业机构合理应对安全事件,最小化负面影响。
新潮信息应急响应服务妥善处置影响企业业务发展的四大事件类型,并在输出应急事件处置报告后,安排安全工程师复盘讲解,分析事件成因并陈述应对过程。
1)网络攻击事件
网络扫描事件:黑客利用扫描器对操作系统或应用进行漏洞扫描,尝试发现漏洞。
漏洞攻击事件:操作系统或应用存在未知漏洞(0day)或已知但未修复的漏洞(1day),遭受黑客攻击。
暴力破解事件:业务系统遭到暴力破解攻击,黑客尝试获取后台管理员账号的密码。
拒绝服务攻击事件:服务器遭到拒绝服务攻击,例如大流量DDoS或者CC攻击,导致服务器无法提供正常服务。
2)Web攻击事件
WebShell:网站被上传了WebShell,黑客可借此控制主机。
网页篡改事件:网站页面被篡改,黑客植入炫耀标语。
网页挂马事件:网站页面被挂马,黑客在页面中植入病毒。
网页暗链事件:网站页面被植入暗链,指向网站类型包括博彩、色情、游戏等。
3)恶意程序事件
恶意病毒:终端被病毒感染,正常功能或数据遭到损坏。
僵尸网络程序:主机被控制,成为了黑客发起DDoS攻击的帮凶“肉鸡”。
挖矿程序:服务器变成了“矿机”,大量资源被消耗,业务系统无法正常工作。
勒索软件:数据文件被加密,黑客勒索高额赎金。
4)业务安全事件
薅羊毛事件:黑客利用业务逻辑缺陷进行欺诈,获取不正当利益。
数据泄露事件:隐私数据被非授权人员获取,包括用户账号、密码、银行卡信息、订单数据等。
权限泄露事件:业务相关权限失控,数据或系统配置被修改。
1)系统与应用日志审计 全面审计系统与应用中的日志,识别异常行为,为后续溯源与取证工作提供支撑。
2)恶意程序清理与分析 全面排查和清理系统中的病毒、木马、蠕虫、后门等恶意程序,以及Web站点中的WebShell、篡改页面、暗链、挂马等恶意页面。
3)系统异常恢复 第一时间恢复因受黑客攻击而无法正常运作的系统,最大限度地降低事件对业务产生的不良影响。
4)入侵原因分析 综合分析系统、应用中的各类事件线索,包括日志审计结果与漏洞存在情况等,找到黑客的入侵途径。
5)入侵证据收集 采集黑客攻击时留下的痕迹,为后续法律程序准备数字证据。
6)安全改进建议 针对入侵分析中发现的安全问题提供修复建议,配合用户需求完成整改和加固,降低业务安全风险。
应急事件处置报告:
新潮信息应急事件处置报告完整记录事件处置过程与具体应对操作,包括问题表现、深层原因、处置流程与手段、处置结果等,帮助评估事件影响,并对事件中暴露出的安全隐患提供针对性的修复建议,提高企业的事件应对能力。
