一、江民应急响应团队介绍
江民应急响应服务团队被誉为业界快速反应部队,以快速响应、力保恢复为主旨,积极开展网络安全事件的预防、发现、预警和协调处置等工作的安全服务。7x24小时的服务响应,帮助客户保护企业关键资产,快速止损、定位、取证,为客户整体运维提供决策依据。江民安全应急响应服务可以灵活适配,为政企安全进行个性化定制服务需求,协助建立、提升全生命周期的信息安全保障能力。
二、安全应急响应服务形式
1. 本地应急响应
由应急响应服务负责人指派安全服务工程师,在第一时间赶往客户现场进行处理。原则上,对本地范围内的用户,1-3小时到达现场;对异地用户,需要紧急处理的安全事件24小时内到达现场。
2. 远程应急响应
用户需要远程应急响应服务时,由用户指定远程协助软件,然后通过微信或者QQ等社交媒体软件交流,通过远程协助软件进行安全事件排查处置。当无法通过远程协助访问的方式为用户解决问题时,经用户确认后,转到本地应急响应相关流程。
三、安全应急响应处理流程阶段
(1)安全事件预警与通知
当从客户处接收到异常安全事件报警之后,应急响应小组将通过应急响应负责人调动包括江民赤豹反病毒实验室、江民赤豹流量入侵检测以及其他部门的各种资源。
(2)安全事件分析与处理
应急响应小组将对安全事件进行初步分析,并根据实际情况提供本地响应服务或者远程响应服务,然后根据获得的安全事件资料分析并确定更进一步的信息获取办法(比如是否给客户提供杀毒软件或者一些监控工具)。在获得相关信息(比如异常数据包、病毒样本、相关系统日志信息等)后进行全面的技术分析。
(3)安全事件结论与通告
在全面的分析处理之后,应急响应小组将向客户提供详细的安全事件通告、安全事件应急响应处理报告、事件详细技术分析文档,并根据客户需求提供相应的工具。
四、实施工作内容
1. 准备阶段计划与工作
负责人制定工作方案和计划,提供人员和物质保证,审核并批准经费预算、应急响应计划;批准并监督应急响应计划的执行,指导应急响应实施小组的应急处置工作。
技术人员首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,准备阶段的主要工作包括建立合理的防御和控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。常见的用于应急响应的网络安全工具主要包括流量分析工具(如Wireshark等),进程分析工具(如ProcessHacker、ProcessExplorer等),信息日志收集工具,Webshell检测工具等。
市场人员和服务对象建立长期友好的业务关系,签订应急服务合同或协议,建立预防和预警机制,及时上报。
2. 安全事件检测与分析
安全事件的侦查与检测通常会通过多种手段进行。首先,应急响应小组会访问NDR流量设备、反恶意软件和日志分析工具等,来识别安全事件的来源。其他威胁情报信息将有助于提高检测的准确性和效率,而安全事件分析主要可以确定以下三件事:
范围:哪些用户、系统和服务受到影响;
起源:是什么人因为什么原因引起了安全事件;
危害情况:黑客使用了哪些攻击方法或利用了哪些漏洞。
分析完成后,应急响应小组需要形成一份完整的事件分析报告。这有助于确定安全事件处置的优先次序,以及规划下一步行动。
3. 安全事件处置与恢复
为了限制安全事件的影响,应急响应小组会隔离或关闭受感染的系统。在遏制阶段,接下来就是清除恶意文件。应急响应小组可以在此阶段使用各种技术(如删除恶意文件、禁用受影响的账户、清除受感染的设备和修补漏洞)从IT系统中根除事件来源。恢复操作包括恢复受影响的系统、从备份中恢复数据或故障转移到灾难恢复站点。
4. 事后调查与溯源取证
开展安全事件的事后调查活动,有助于对未来可能出现的攻击做出反应。此外,事件调查报告响应时间和影响遏制指标,对于改进事件响应流程至关重要。应急响应小组还应该与执法部门合作,追踪攻击来源,分析证据。