信息安全应急响应服务是武汉非尼克斯软件技术有限公司针对用户方发生的突发性信息安全事件进行应急响应和处置,应急响应服务主要适用于处理勒索病毒、挖矿木马、蠕虫病毒、APT事件、网站挂马、网站暗链、网站篡改、漏洞事件、数据泄露以及其他突发性安全事件,在突发性安全事件发生时采取专业的安全措施和行动,并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作,保障企业用户的网络安全,最大程度的减少安全事件所带来的经济损失以及恶劣的社会负面影响。突发事件应急响应处理流程主要分为五个阶段,包括响应阶段、检查阶段、抑制阶段、根除阶段和恢复阶段。
响应阶段:在实施应急响应工作前,客户经理或项目经理收到客户申请应急响应支持,由客户经理或项目经理协调相关技术支持人员和客户技术人员第一时间取得联系,了解事件发生情况。技术人员判断事件类型,并与客户确认是否需要启用应急响应服务。
检测阶段:启用应急响应服务后,应急响应实施人员通过现场或非现场等方式进行信息收集,使用检测搜集流量信息、检测搜集系统信息及主机检测等多种技术手段对事件进行详细分析,并查找入侵痕迹。最后确定安全事件类型,评估安全事件的影响。
抑制阶段:应急响应实施人员及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要与相关系统负责人沟通,确保抑制方法对涉及相关业务影响最小。抑制阶段通常采用的技术手段如下:确定受害系统的范围后,将被害系统和正常的系统进行隔离,断开或暂时关闭被攻击的系统,使攻击先彻底停止;持续监视系统和网络活动,记录异常流量的远程IP、域名、端口;停止或删除系统非正常帐号,隐藏帐号,更改口令,加强口令的安全级别;挂起或结束未被授权的、可疑的应用程序和进程;关闭存在的非法服务和不必要的服务;删除系统各用户“启动”目录下未授权自启动程序;使用net share或其他第三方的工具停止所有开放的共享;使用反病毒软件或其他安全工具检查文件,扫描硬盘上所有的文件,隔离或清除病毒、木马、蠕虫、后门等可疑文件。
根除阶段:应急响应实施人员协助客户检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险。
恢复阶段:应急响应实施人员协助客户恢复安全事件所涉及到的系统,并还原到正常状态,使业务能够正常进行,恢复工作应避免出现误操作导致数据的丢失。