bet356体育亚洲官网赤豹反病毒:提供全方位的安全应急响应服务
2023-12-25 来源:典型案例
一、 bet356体育亚洲官网应急响应团队介绍 bet356体育亚洲官网应急响应服务团队被誉为业界快速反应部队,以快速响应、力保恢复为主旨,积极开展网络安全事件的预防、发现、预警和协调处置等工作的安全服务
一、bet356体育亚洲官网应急响应团队介绍
bet356体育亚洲官网应急响应服务团队被誉为业界快速反应部队,以快速响应、力保恢复为主旨,积极开展网络安全事件的预防、发现、预警和协调处置等工作的安全服务。7x24小时的服务响应,帮助客户保护企业关键资产,快速止损、定位、取证,为客户整体运维提供决策依据。bet356体育亚洲官网安全应急响应服务可以灵活适配,为政企安全进行个性化定制服务需求,协助建立、提升全生命周期的信息安全保障能力。
二、安全应急响应服务形式
1. 本地应急响应
由应急响应服务负责人指派安全服务工程师,在第一时间赶往客户现场进行处理。原则上,对本地范围内的用户,1-3小时到达现场;对异地用户,需要紧急处理的安全事件24小时内到达现场。
2. 远程应急响应
用户需要远程应急响应服务时,由用户指定远程协助软件,然后通过微信或者QQ等社交媒体软件交流,通过远程协助软件进行安全事件排查处置。当无法通过远程协助访问的方式为用户解决问题时,经用户确认后,转到本地应急响应相关流程。
三、安全应急响应处理流程阶段
(1)安全事件预警与通知
当从客户处接收到异常安全事件报警之后,应急响应小组将通过应急响应负责人调动包括bet356体育亚洲官网赤豹反病毒实验室、bet356体育亚洲官网赤豹流量入侵检测以及其他部门的各种资源。
(2)安全事件分析与处理
应急响应小组将对安全事件进行初步分析,并根据实际情况提供本地响应服务或者远程响应服务,然后根据获得的安全事件资料分析并确定更进一步的信息获取办法(比如是否给客户提供杀毒软件或者一些监控工具)。在获得相关信息(比如异常数据包、病毒样本、相关系统日志信息等)后进行全面的技术分析。
(3)安全事件结论与通告
在全面的分析处理之后,应急响应小组将向客户提供详细的安全事件通告、安全事件应急响应处理报告、事件详细技术分析文档,并根据客户需求提供相应的工具。
四、实施工作内容
1. 准备阶段计划与工作
负责人制定工作方案和计划,提供人员和物质保证,审核并批准经费预算、应急响应计划;批准并监督应急响应计划的执行,指导应急响应实施小组的应急处置工作。
技术人员首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,准备阶段的主要工作包括建立合理的防御和控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。常见的用于应急响应的网络安全工具主要包括流量分析工具(如Wireshark等),进程分析工具(如ProcessHacker、ProcessExplorer等),信息日志收集工具,Webshell检测工具等。
市场人员和服务对象建立长期友好的业务关系,签订应急服务合同或协议,建立预防和预警机制,及时上报。
2. 安全事件检测与分析
安全事件的侦查与检测通常会通过多种手段进行。首先,应急响应小组会访问NDR流量设备、反恶意软件和日志分析工具等,来识别安全事件的来源。其他威胁情报信息将有助于提高检测的准确性和效率,而安全事件分析主要可以确定以下三件事:
范围:哪些用户、系统和服务受到影响;
起源:是什么人因为什么原因引起了安全事件;
危害情况:黑客使用了哪些攻击方法或利用了哪些漏洞。
分析完成后,应急响应小组需要形成一份完整的事件分析报告。这有助于确定安全事件处置的优先次序,以及规划下一步行动。
3. 安全事件处置与恢复
为了限制安全事件的影响,应急响应小组会隔离或关闭受感染的系统。在遏制阶段,接下来就是清除恶意文件。应急响应小组可以在此阶段使用各种技术(如删除恶意文件、禁用受影响的账户、清除受感染的设备和修补漏洞)从IT系统中根除事件来源。恢复操作包括恢复受影响的系统、从备份中恢复数据或故障转移到灾难恢复站点。
4. 事后调查与溯源取证
开展安全事件的事后调查活动,有助于对未来可能出现的攻击做出反应。此外,事件调查报告响应时间和影响遏制指标,对于改进事件响应流程至关重要。应急响应小组还应该与执法部门合作,追踪攻击来源,分析证据。
