(1)事件确认:
1.安全工程师与客户联系沟通,通过与客户交流了解事件具体详情登录被入侵系统查看实际系统状态
2.根据客户描述现象与系统实际现象,对事件进行确认,定性
(2)事件抑制:
如果在响应过程中,发现黑客正在进行攻击,或者有其他可能会进一步破坏系统的行为,安全工程师将采取抑制手段, 抑制事态发展是为了将事故的损害降低到最小化。
通常为断开网络连接、关闭特定的业务服务、关闭操作系统。
(3)事件处理:
在对安全事件进行原因分析之后,安全工程师将进一步对安全事件进行处理,具体工作包括:
清理系统中存在木马、病毒、恶意代码程序
清理WEB站点中存在的木马、暗链、挂马页面
恢复被黑客篡改的系统配置,删除黑客创建的后门账号
删除异常系统服务、清理异常进程
在排查问题后,协助恢复用户的正常业务服务
入侵原因分析:
从网络流量、系统日志、WEB日志记录、应用日志、数据库日志,结合安全产品数据,分析黑客入侵手法,调查造成安全事件的原因。
由于部分安全事件会因为黑客清理了日志或者系统未保留相关日志从而导致无法定位入侵原因,因此本服务将尽可能的分析出原因,但不承诺一定能分析出入侵原因。
提交报告结束:
事件处理完毕后,根据整个事件情况写《安全事件应急响应报告》,文档中阐述整个安全突发事件的现象、处理过程,处理结果、事件原因分析(针对事件分析版),并给出相应的安全建议,
注意项:请在提交需求前对业务系统及数据进行完整的备份,以防关键信息丢失。
如不能达到客户预期的效果(如木马、病毒无法清理),协商后给予退款。
