事件處理:在對安全事件進行原因分析之后,安全工程師將進一步對安全事件進行處理,具體工作如下:清理系統中存在的木馬、病毒、惡意代碼程序;清理 Web 站點中存在的木馬、暗鏈、掛馬頁面;恢復被黑客篡改的系統配置,刪除黑客創建的后門賬號;刪除異常系統服務、清理異常進程;在排查問題后,協助恢復用戶的正常業務服務。
入侵原因分析:根據網絡流量、系統日志、 Web 日志記錄、應用日志、數據庫日志,結合安全產品數據,分析黑客入侵手法,調查造成安全事件的原因,確定安全事件的威脅和破壞的嚴重程度。部分安全事件會因為黑客清理了日志或者系統未保留相關日志從而導致無法定位入侵原因,因此應急響應服務將盡可能地分析原因,但不承諾一定能分析出入侵原因。
阿里云安全應急響應服務的流程包括以下八個階段:
購買服務:當客戶系統發生安全突發事件后,需要SOS服務時,需要先購買安全事件應急響應服務。購買服務后需要在個自然日內在頁面上提交需要應急響應的資產清單或者在安全公司與客戶取得聯系后,通過其他方式提交需要處理的資產清單。為避免進一步的損失 建議客戶自行對被攻擊的資產進行數據備份工作。
分配合作伙伴:當客戶購買服務后,阿里云后臺管理系統會根據客戶發生的安全事件的情況,為客戶分配合適的安全公司。
事件確認:安全公司的安全工程師與客戶直接聯系對接,通過與客戶交流了解事件的具體詳情,并記錄問題情況。登錄被入侵系統查看實際系統狀態。根據客戶描述現象與系統實際現象,對事件進行確認,定性。
事件抑制:如果在響應過程中,發現黑客正在進行攻擊,或者有其他可能會進一步破壞系統的行為,安全工程師將采取抑制手段。抑制事態發展是為了將事故的損害降低到最小化。在抑制環節,常見的手段如下:斷開網絡連接;關閉特定的業務服務;關閉操作系統。
事件處理:在對安全事件進行原因分析之后,安全工程師將進一步對安全事件進行處理,具體工作如下:清理系統中存在的木馬、病毒、惡意代碼程序;清理 Web 站點中存在的木馬、暗鏈、掛馬頁面;恢復被黑客篡改的系統配置,刪除黑客創建的后門賬號;刪除異常系統服務、清理異常進程;在排查問題后,協助恢復用戶的正常業務服務。
入侵原因分析:根據網絡流量、系統日志、 Web 日志記錄、應用日志、數據庫日志,結合安全產品數據,分析黑客入侵手法,調查造成安全事件的原因,確定安全事件的威脅和破壞的嚴重程度。部分安全事件會因為黑客清理了日志或者系統未保留相關日志從而導致無法定位入侵原因,因此應急響應服務將盡可能地分析原因,但不承諾一定能分析出入侵原因。
提交報告:事件處理完后,根據整個事件情況撰寫《阿里云安全事件應急響應報告》,文檔中闡述整個安全突發事件的現象、處理過程、處理結果、事件原因分析(針對事件分析版),并給出相應的安全建議,客戶在獲取報告后可以再對報告內容進行確認,也可以對服務過程向阿里云提出反饋或投訴。
結束階段:在安全事件處理結束后,阿里云將繼續跟蹤事件處理結果,對服務提供商的服務過程和服務質量進行審查。阿里云安全應急響應服務的 SLA 說明如。
回答所涉及的環境:聯想(Lenovo)天逸510S、Windows 10。