應急響應服務是由經驗豐富的安全專家為您提供一對一專業的應急響應服務,在服務過程中使用規范的服務流程和項目管理流程,為您制定完整的安全解決方案,幫助您在最短的時間內使用最低的成本解決緊急安全事件。
什么是應急響應服務
背景信息
安全管家的應急響應服務基于阿里巴巴多年的安全攻防實戰技術能力和管理經驗,參照國家信息安全事件響應處理相關標準,在發生安全事件后,按照預防、情報信息收集、遏制、根除、恢復流程,提供專業的7*24遠程緊急響應處理服務,幫助企業用戶快速響應和處理信息安全事件并從中恢復業務。同時,應急響應服務提供事后規劃和設計云上安全管理方案服務,協助企業用戶從根源上遏制安全事件發生,降低業務影響。
服務參考依據
安全管家應急服務參考了國家標準,從服務內容和服務流程保障服務規范性和服務質量:
《信息安全技術-信息安全事件管理指南》-GB/Z 20985-2007
《信息安全技術-信息安全事件分類分級指南》-GB/Z 20986-2007
阿里云應急響應最佳實踐
安全事件定義
安全管家應急服務針對客戶業務出現以下安全問題時,提供遠程的安全技術支持服務,協助客戶處理安全事件。
事件類別 | 描述 |
有害程序事件 | 計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。 |
網絡攻擊事件 | 后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。 |
信息破壞事件 | 信息篡改事件、信息偽造假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。 |
信息內容安全事件 | 通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。 |
以上事件分類依據GB/Z 20986—2007《信息安全技術信息安全事件分類分級指南》。
服務內容
阿里云安全事件應急響應服務分為遠程事件分析(安全技術人員遠程提供應急處理及分析服務)和現場事件分析(安全技術人員到用戶現場提供的應急處理及分析服務)。具體服務內容包括:
排查主機是否被黑客入侵。
數據庫篡改、數據泄露等業務安全事件調查。
處理進行中的攻擊,阻止黑客進一步攻擊。
查找和清理挖礦程序、病毒、蠕蟲、木馬等惡意程序。
查找和清理Web站點中的WebShell、暗鏈、掛馬頁面等。
處理因入侵導致的異常,幫助用戶快速恢復業務。
分析黑客入侵手法,盡可能定位入侵原因。
分析黑客入侵后的行為,判斷入侵造成的影響。
提供修復建議,指導用戶進行安全加固,防止再次被入侵。
提供安全應急服務報告。
購買服務后5個自然日內提交的排查對象有效。
服務流程
用戶購買應急響應服務。
當您的業務系統發生突發安全事件,您可以訪問應急響應服務售賣頁,購買需要的應急響應服務,并在5個自然日內提供需要進行應急響應的資產清單。
重要為避免進一步的損失,建議您自行對被攻擊的資產進行數據備份。
阿里云進行安全事件處理。
阿里云的安全工程師將會與您對接,了解安全事件的具體詳情,對安全事件進行確認和定性。
如果在響應過程中,安全工程師發現黑客正在攻擊或存在進一步破壞系統的行為,安全工程師將采取抑制手段,以降低安全事件損害。
常見的抑制手段包括:斷開網絡連接、關閉特定業務服務、關閉操作系統等。
對安全事件進行分析后,安全工程師將進一步處理安全事件。
安全事件處理一般包含:
清理系統中存在木馬、病毒、惡意代碼程序。
清理Web站點中存在的木馬、暗鏈、掛馬頁面。
恢復被黑客篡改的系統配置,刪除黑客創建的后門賬號。
刪除異常系統服務、清理異常進程。
在排查問題后,恢復正常的業務服務。
從網絡流量、系統日志、Web日志記錄、應用日志、數據庫日志,結合安全產品數據,分析黑客入侵手法,調查造成安全事件的原因,確定安全事件的威脅和破壞的嚴重程度。
說明部分安全事件中,如果黑客清理了日志或者系統未保留相關日志,可能會導致無法定位入侵原因。
事件處理完畢后,安全工程師輸出《阿里云安全事件應急響應報告》,詳細闡述安全事件的現象、處理過程,處理結果、事件原因分析,并給出相應的安全建議。
用戶在獲取報告后對報告內容進行確認,也可以對服務過程問題向阿里云提出反饋或投訴。
購買應急響應服務
訪問應急響應服務售賣頁。
在售賣頁選擇需要購買的服務規格、購買數量等信息。
選中服務規格后,系統自動顯示該服務規格的服務內容。請仔細查閱服務內容,并選購合適的服務規格。
單擊立即購買并完成支付。
下載應急響應服務報告
登錄安全管家控制臺。
在左側導航欄,選擇。
在應急響應頁面,找到目標服務報告,在操作列單擊下載。