万物互联时代,便捷与风险共生,在复杂多变的网络与信息安全形势下,应急响应已成为抵御安全风险的有效措施。提高网络安全事件动态响应和恢复处置能力,建立重大网络安全事件应急指挥机制,提升事前防范、事中监测和事后应急保障水平,是构建全方位安全态势感知体系的运营思路。
2022年11月某日!
某企业应急响应告警,用户主机内网疑似被大面积入侵攻击!
天融信应急响应小组随即进行安全排查,经天融信自适应安全防御系统扫描后,发现客户主机存在众多风险漏洞及高危端口,并定位到失陷主机中存在攻击者上传的Webshell木马。该木马在获得主机控制权后,通过暴力破解手段,在用户内网主机中横向暴破扩散,从而使业务系统大面积瘫痪。
在全面清除安全威胁后,应急小组随后利用自适应安全防御系统进行主机加固:
开展系统脆弱性自检,多锚点检测安全漏洞、弱口令、风险账号、配置缺陷等安全暴露面,提高攻击门槛,减少入侵攻击可能;
开启入侵防御安全策略,实现对暴力破解、异常登录、异常操作等行为的实时监控与防御,实现事件快速定位;
制定微隔离策略,实时监控主机间恶意网络流量,及时发现来自内、外安全隐患,实施阻断与放行管控;
开启定期安全巡检功能,清晰展示主机安全环境及自身抵御能力,全面提高安全事件分析能力。
什么是应急响应?
应急响应是指组织用于检测和响应安全漏洞、网络威胁或网络攻击的流程和技术。其目的在防患于安全事件发生之前,或在影响用户业务正常运行的安全事件发生时实现第一时间响应处理,缩短业务恢复时间,并对安全事件进行溯源,提供相应的安全解决方案,降低安全成本。
什么是安全事件?
安全事件是指威胁到用户系统或数据机密性、完整性、可用性的安全漏洞和入侵攻击。常见的安全事件有:勒索软件、网络钓鱼和社会工程学、供应链攻击、配置漏洞等,层出不穷的安全事件给用户带来无法估量的安全危害及经济损失。
为应对各类安全事件,天融信搭建起包括自适应安全防御系统及安全服务团队在内的应急响应链,通过主机侧安全运营平台,提供预测、防御、检测、响应四大安全能力,为客户提供持续的安全监控、安全分析以及强大的响应能力,帮助客户精准感知安全威胁,快速阻断威胁入侵。
应急响应六步走
准备阶段
清点自身资产及安全风险,避免“灰色资产”和安全死角,于事前积极开展网络安全风险自评;评估安全事件影响范围,并组织成立事件响应小组,制定相应响应计划。
检测阶段
安全响应团队对用户网络的可疑行为和潜在威胁进行实时监控,力求在最小业务终端范围内检测到安全事件,根据威胁事件类型、影响范围及威胁发展动向进行事件评估,基于风险评估结果,拉响应急响应警报。
抑制阶段
当检测到安全事件后,依据应急响应计划及时采取措施,优先对失陷主机进行隔离,避免因威胁横向传播引发其他安全事件,最大程度降低客户损失。
根除阶段
定位到具体威胁后,需全面清除系统内存在的入侵攻击面,实现攻击溯源,彻底根除威胁引发次生安全事件的可能。
恢复阶段
当威胁完全根除后,应急响应小组需将被破坏的系统还原到正常工作状态,确保系统能够顺利运转。
跟踪阶段
在整个应急响应流程完毕后,需对此次安全响应事件进行分析总结,形成相应回溯文档,检查应急响应过程中存在的问题,重新评估响应流程,针对流程薄弱处更新完善。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安