介绍安全应急响应服务的内容、流程、SLA定义等。

1.应急响应服务概述

1.1 概述

服务器被黑了怎么办?

找安全管家应急响应服务,购买地址: https://common-buy.aliyun.com/?commodityCode=yingji#/buy

安全管家应急响应服务(简称“SOS服务”)是由阿里云与安全合作伙伴提供的黑客入侵处理服务,旨在帮助用户正确应对黑客入侵事件,降低安全事件带来的损失。

1.2 服务应用场景

事件类别 详细描述
网络攻击事件
  • 安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击
  • 暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限
  • 系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击
  • WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击
  • 拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务
  • 其他网络攻击行为
恶意程序事件 恶意程序主要类型及危害:
  • 病毒、蠕虫:造成系统缓慢,数据损坏、运行异常
  • 远控木马: 主机被黑客远程控制
  • 僵尸网络程序(肉鸡行为):主机对外发动DDOS攻击、对外发起扫描攻击行为
  • 挖矿程序:造成系统资源大量消耗
WEB恶意代码 网站恶意代码常见类型及危害:
  • Webshell后门:黑客通过Webshell控制主机
  • 网页挂马:页面被植入待病毒内容,影响访问者安全
  • 网页暗链:网站被植入博彩、色情、游戏等广告内容
信息破坏事件
  • 系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等
  • 数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失
  • 网站内容篡改事件:网站页面内容被黑客恶意篡改
  • 信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露
其他安全事件
  • 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露
  • 异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为

二、事件应急服务内容

阿里云安全事件应急响应服务根据安全事件类型及客户的不同需求,可分为“事件处理”及“事件分析(远程)”和“事件分析(现场)”三种规格。

服务规格 服务内容
事件处理 服务器被黑客入侵后提供的远程应急处理服务,包括:
  • 排查主机是否被黑客入侵
  • 对进行中的攻击进行处理,阻止黑客进一步攻击
  • 全面查找和清理病毒、蠕虫、木马等恶意程序
  • 全面查找和清理WEB站点中的WebShell、暗链、挂马页面等
  • 对因入侵而导致的异常进行处理,帮助客户快速恢复业务
  • 提供安全应急服务报告
Note
服务有效期指提交事件处理对象的期限,而非指服务完成时间。本服务由阿里云授权的第三方安全公司实施。
事件分析(远程) 安全技术人员远程提供的应急处理及分析服务,包括:
  • 排查主机是否被黑客入侵
  • 对进行中的攻击进行处理,阻止黑客进一步攻击
  • 全面查找和清理病毒、蠕虫、木马等恶意程序
  • 全面查找和清理WEB站点中的WebShell、暗链、挂马页面等
  • 对因入侵而导致的异常进行处理,帮助客户快速恢复业务
  • 分析黑客入侵手法,尽可能找出入侵原因-分析黑客入侵后的行为,判断入侵造成的影响
  • 提供修复建议,指导用户进行安全加固,防止被再次入侵
  • 提供安全应急服务报告
Note
购买服务后5天内提交的排查对象有效。本服务由阿里云授权的第三方安全公司实施。
事件分析(现场) 安全技术人员到用户现场提供的应急处理及分析服务,包括:
  • 排查主机是否被黑客入侵
  • 对进行中的攻击进行处理,阻止黑客进一步攻击
  • 全面查找和清理病毒、蠕虫、木马等恶意程序
  • 全面查找和清理WEB站点中的WebShell、暗链、挂马页面等
  • 对因入侵而导致的异常进行处理,帮助客户快速恢复业务
  • 分析黑客入侵手法,找出入侵原因-分析黑客入侵后的行为,判断入侵造成的影响
  • 提供修复建议,指导用户进行安全加固,防止被再次入侵
  • 提供安全应急服务报告
Note
购买服务后5天内提交的排查对象有效。本服务由阿里云授权的第三方安全公司实施。

3.事件应急服务流程

3.1安全事件响应服务流程

阿里云安全生态合作伙伴团队拥有经过阿里云认证的安全专家,能够帮助客户在遇到网络安全的突发事件时进行迅速、准确地发现并解决问题,将损失降低到最小。

安全事件应急响应服务流程如下:



流程描述说明如下:

购买服务
  1. 当客户系统发生安全突发事件后,需要SOS服务时,需要先购买安全事件应急响应服务。
  2. 购买服务后需要在5自然日内页面上提交需要应急响应的资产清单或者在安全公司与客户取得联系后,通过钉钉提交需要处理的资产清单
  3. 为避免进一步的损失,建议客户自行对被攻击的资产进行数据备份工作

分配合作伙伴

当客购买服务后,阿里云后台管理系统会根据客户购买安全事件情况,为客户分配合适的安全公司。

事件确认
  1. 安全公司的安全工程师与客户直接联系对接,通过与客户交流了解事件具体详情,并记录问题情况
  2. 登录被入侵系统查看实际系统状态
  3. 根据客户描述现象与系统实际现象,对事件进行确认,定性

事件抑制

如果在响应过程中,发现黑客正在进行攻击,或者有其他可能会进一步破坏系统的行为,安全工程师将采取抑制手段, 抑制事态发展是为了将事故的损害降低到最小化。

在抑制环节,常见的手段有:
  • 断开网络连接
  • 关闭特定的业务服务
  • 关闭操作系统

事件处理

在对安全事件进行原因分析之后,安全工程师将进一步对安全事件进行处理,具体工作包括:
  • 清理系统中存在木马、病毒、恶意代码程序
  • 清理WEB站点中存在的木马、暗链、挂马页面
  • 恢复被黑客篡改的系统配置,删除黑客创建的后门账号
  • 删除异常系统服务、清理异常进程
  • 在排查问题后,协助恢复用户的正常业务服务

入侵原因分析(仅事件分析版提供):

从网络流量、系统日志、WEB日志记录、应用日志、数据库日志,结合安全产品数据,分析黑客入侵手法,调查造成安全事件的原因,确定安全事件的威胁和破坏的严重程度。

由于部分安全事件会因为黑客清理了日志或者系统未保留相关日志从而导致无法定位入侵原因,因此本服务将尽可能的分析出原因,但不承诺一定能分析出入侵原因。

提交报告

事件处理完毕后,根据整个事件情况写《阿里云安全事件应急响应报告》,文档中阐述整个安全突发事件的现象、处理过程,处理结果、事件原因分析(针对事件分析版),并给出相应的安全建议,客户在获取报告后可以在对报告内容进行确认,也可以对服务过程向阿里云提出反馈或投诉。

结束阶段

在安全事件处理结束后,阿里云将继续跟踪事件处理结果,对服务提供商的服务过程和服务质量进行审查。

4.服务SLA说明

服务条款 SLA 赔偿条款
事件响应时间 20分钟内响应(5*8) 未按时响应则退还订单金额的50%
事件处理时间 5台ECS处理3个自然日内完成;超出5台,每5台增加1个自然日以提交报告时间为准 如未按时处理完成,则退还订单金额的50%
服务效果 清理完黑客植入的木马、病毒 如木马、病毒无法清理,退还订单金额的100%