应急响应
处置流程
事件发生
运维监控人员、客服审核人员等发现问题,向上通报。
事件确认
收集事件信息、分析网络活动相关程序,日志和数据,判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等。
事件响应
各部门通力合作,处理安全问题,具体解决问题,避免存在漏洞未修补、后门未清除等残留问题。
事件关闭
处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。
事件分类
-
病毒、木马、蠕虫事件
-
Web服务器入侵事件
-
第三方服务入侵事件
-
- 系统入侵事件
利用Windows漏洞攻击操作系统
-
- 网络攻击事件
DDoS / ARP欺骗 / DNS劫持等
网络攻击事件
- 安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击
- 暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限
- 系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击
- Web漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种Web漏洞进行攻击
- 拒绝服务攻击:通过大流量DDoS或者CC攻击目标,使目标服务器无法提供正常服务
- 其他网络攻击行为
恶意程序事件
恶意程序主要类型及危害:
- 病毒、蠕虫:造成系统缓慢,数据损坏、运行异常
- 远控木马: 主机被黑客远程控制
- 僵尸网络程序(肉鸡行为):主机对外发动DDoS攻击、对外发起扫描攻击行为
- 挖矿程序:造成系统资源大量消耗
Web恶意代码
网站恶意代码常见类型及危害:
- Webshell后门:黑客通过Webshell控制主机
- 网页挂马:页面被植入待病毒内容,影响访问者安全
- 网页暗链:网站被植入博彩、色情、游戏等广告内容
信息破坏事件
- 系统配置遭篡改:系统中出现的异常的服务、进程、启动项、账号等等
- 数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失
- 网站内容篡改事件:网站页面内容被黑客恶意篡改
- 信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露
其他安全事件
- 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露
- 异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为