应急响应服务是由经验丰富的安全专家为您提供一对一专业的应急响应服务,在服务过程中使用规范的服务流程和项目管理流程,为您制定完整的安全解决方案,帮助您在最短的时间内使用最低的成本解决紧急安全事件。
什么是应急响应服务
背景信息
安全管家的应急响应服务基于阿里巴巴多年的安全攻防实战技术能力和管理经验,参照国家信息安全事件响应处理相关标准,在发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的7*24远程紧急响应处理服务,帮助企业用户快速响应和处理信息安全事件并从中恢复业务。同时,应急响应服务提供事后规划和设计云上安全管理方案服务,协助企业用户从根源上遏制安全事件发生,降低业务影响。
服务参考依据
安全事件定义
服务内容
阿里云安全事件应急响应服务分为远程事件分析(安全技术人员远程提供应急处理及分析服务)和现场事件分析(安全技术人员到用户现场提供的应急处理及分析服务)。具体服务内容包括:
排查主机是否被黑客入侵。
数据库篡改、数据泄露等业务安全事件调查。
处理进行中的攻击,阻止黑客进一步攻击。
查找和清理挖矿程序、病毒、蠕虫、木马等恶意程序。
查找和清理Web站点中的WebShell、暗链、挂马页面等。
处理因入侵导致的异常,帮助用户快速恢复业务。
分析黑客入侵手法,尽可能定位入侵原因。
分析黑客入侵后的行为,判断入侵造成的影响。
提供修复建议,指导用户进行安全加固,防止再次被入侵。
提供安全应急服务报告。
购买服务后5个自然日内提交的排查对象有效。
服务流程
用户购买应急响应服务。
当您的业务系统发生突发安全事件,您可以访问应急响应服务售卖页,购买需要的应急响应服务,并在5个自然日内提供需要进行应急响应的资产清单。
重要为避免进一步的损失,建议您自行对被攻击的资产进行数据备份。
阿里云进行安全事件处理。
阿里云的安全工程师将会与您对接,了解安全事件的具体详情,对安全事件进行确认和定性。
如果在响应过程中,安全工程师发现黑客正在攻击或存在进一步破坏系统的行为,安全工程师将采取抑制手段,以降低安全事件损害。
常见的抑制手段包括:断开网络连接、关闭特定业务服务、关闭操作系统等。
对安全事件进行分析后,安全工程师将进一步处理安全事件。
安全事件处理一般包含:
清理系统中存在木马、病毒、恶意代码程序。
清理Web站点中存在的木马、暗链、挂马页面。
恢复被黑客篡改的系统配置,删除黑客创建的后门账号。
删除异常系统服务、清理异常进程。
在排查问题后,恢复正常的业务服务。
从网络流量、系统日志、Web日志记录、应用日志、数据库日志,结合安全产品数据,分析黑客入侵手法,调查造成安全事件的原因,确定安全事件的威胁和破坏的严重程度。
说明部分安全事件中,如果黑客清理了日志或者系统未保留相关日志,可能会导致无法定位入侵原因。
事件处理完毕后,安全工程师输出《阿里云安全事件应急响应报告》,详细阐述安全事件的现象、处理过程,处理结果、事件原因分析,并给出相应的安全建议。
用户在获取报告后对报告内容进行确认,也可以对服务过程问题向阿里云提出反馈或投诉。
购买应急响应服务
访问应急响应服务售卖页。
在售卖页选择需要购买的服务规格、购买数量等信息。
选中服务规格后,系统自动显示该服务规格的服务内容。请仔细查阅服务内容,并选购合适的服务规格。
单击立即购买并完成支付。
下载应急响应服务报告
登录安全管家控制台。
在左侧导航栏,选择。
在应急响应页面,找到目标服务报告,在操作列单击下载。