(一)服务流程
流程 | 说明 | |
1 | 购买服务 | 当客户系统发生安全突发事件后,需要SOS服务,需先购买安全事件应急响应服务。 |
2 | 分配合作伙伴 | 当客户购买服务后,后台管理系统会根据客户发生安全事件情况,为客户分配合适的安全公司。 |
3 | 事件确认 | 安全公司的安全工程师与客户直接联系对接服务 |
4 | 事件抑制 | 在响应过程中,发现黑客正在进行攻击,或者有其他可能会进一步破坏系统的行为,安全工程师将采取抑制手段(断网、关闭特定服务或系统); |
5 | 事件处理 | 在对安全事件进行原因分析后,安全工程师进一步对安全事件进行处理 |
6 | 入侵原因分析 | 根据网络流量、系统日志、Web日志记录、应用日志、数据库日志,结合安全产品数据,分析黑客入侵手法,调查造成安全事件原因,确定安全事件威胁和破坏的严重程度 |
7 | 提交报告 | 事件处理完后,根据事件情况撰写《安全事件应急响应报告》 |
8 | 结束阶段 | 安全事件处理结束后,继续跟踪事件处理结果,对服务提供商的服务过程和服务质量进行审查 |
(二)服务场景
应用场景 | 详细描述 | |
1 | 网络攻击事件 | ①安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击 ②暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限 ③系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击 ④Web漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种Web漏洞进行攻击 ⑤拒绝服务攻击:通过大流量DDoS或者CC攻击目标,使目标服务器无法提供正常服务 ⑥其他网络攻击行为 |
2 | 恶意程序事件 | ①病毒、蠕虫:造成系统缓慢,数据损坏、运行异常 ②远控木马:主机被黑客远程控制 ③僵尸网络程序(肉鸡):主机对外发动DDoS攻击和扫描攻击 ④挖矿程序:造成系统资源大量消耗 |
3 | Web恶意代码 | Webshell后门:黑客通过Webshell控制主机 网页挂马:页面被植入病毒内容,影响访问者安全 网页暗链:网站被植入博彩、色情、游戏等广告内容 |
4 | 信息破坏事件 | 系统配置遭篡改:系统出现异常服务、进程、启动项、账号 数据库内容篡改:业务数据遭恶意篡改,引起业务异常和损失 网站内容篡改事件:网站页面内容被黑客恶意篡改 信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露 |
5 | 其他安全事件 | 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露 异常网络连接:服务器发起对外异常访问,连接到木马主控端、矿池、病毒服务器等行为 |