應急響應服務是由經驗豐富的安全專家為您提供一對一專業的應急響應服務,在服務過程中使用規範的服務流程和專案管理流程,為您制定完整的安全解決方案,協助您在最短的時間內使用最低的成本解決緊急安全事件。
什麼是應急響應服務
背景資訊
Managed Security Service的應急響應服務基於阿里巴巴多年的安全攻防實戰技術能力和管理經驗,參照國家資訊安全事件響應處理相關標準,在發生安全事件後,按照預防、情報資訊收集、遏制、根除、恢複流程,提供專業的7*24遠程緊急響應處理服務,協助企業使用者快速響應和處理資訊安全事件並從中恢複業務。同時,應急響應服務提供事後規劃和設計雲上安全管理方案服務,協助企業使用者從根源上遏制安全事件發生,降低業務影響。
服務參考依據
安全事件定義
服務內容
阿里雲安全事件應急響應服務分為遠程事件分析(安全技術人員遠程提供應急處理及分析服務)和現場事件分析(安全技術人員到使用者現場提供的應急處理及分析服務)。具體服務內容包括:
排查主機是否被駭客入侵。
資料庫篡改、資料泄露等業務安全事件調查。
處理進行中的攻擊,阻止駭客進一步攻擊。
尋找和清理挖礦程式、病毒、蠕蟲、木馬等惡意程式。
尋找和清理Web網站中的WebShell、暗鏈、掛馬頁面等。
處理因入侵導致的異常,協助使用者快速恢複業務。
分析駭客入侵手法,儘可能定位入侵原因。
分析駭客入侵後的行為,判斷入侵造成的影響。
提供修複建議,指導使用者進行安全強化,防止再次被入侵。
提供安全應急服務報告。
購買服務後5個自然日內提交的排查對象有效。
服務流程
使用者購買應急響應服務。
當您的業務系統發生突發安全事件,您可以開通Managed Security Service5×8版服務,購買需要的應急響應服務,並在5個自然日內提供需要進行應急響應的資產清單。
重要為避免進一步的損失,建議您自行對被攻擊的資產進行資料備份。
阿里雲進行安全事件處理。
阿里雲的安全工程師將會與您對接,瞭解安全事件的具體詳情,對安全事件進行確認和定性。
如果在響應過程中,安全工程師發現駭客正在攻擊或存在進一步破壞系統的行為,安全工程師將採取抑制手段,以降低安全事件損害。
常見的抑制手段包括:斷開網路連接、關閉特定商務服務、關閉作業系統等。
對安全事件進行分析後,安全工程師將進一步處理安全事件。
安全事件處理一般包含:
清理系統中存在木馬、病毒、惡意代碼程式。
清理Web網站中存在的木馬、暗鏈、掛馬頁面。
恢複被駭客篡改的系統配置,刪除駭客建立的後門帳號。
刪除異常系統服務、清理異常進程。
在排查問題後,恢複正常的商務服務。
從網路流量、系統日誌、Web日誌記錄、應用日誌、資料庫日誌,結合安全產品資料,分析駭客入侵手法,調查造成安全事件的原因,確定安全事件的威脅和破壞的嚴重程度。
說明部分安全事件中,如果駭客清理了日誌或者系統未保留相關日誌,可能會導致無法定位入侵原因。
事件處理完畢後,安全工程師輸出《阿里雲安全事件應急響應報告》,詳細闡述安全事件的現象、處理過程,處理結果、事件原因分析,並給出相應的安全建議。
使用者在擷取報告後對報告內容進行確認,也可以對服務過程問題向阿里雲提出反饋或投訴。
下載應急響應服務報告
在左側導覽列,選擇服务报告>应急响应。
在应急响应頁面,找到目標服務報告,在操作列單擊下載。