專家級服務

應急響應服務

應急響應服務包括 7*24 小時安全事件應急處置及應急演練兩部分內容。其中安恒信息應急演練服務包括 應急預案制定、應急演練平台構建、紅藍對抗服務等 全場景演練內容。應急響應服務結合安恒信息應急響 應工具箱和應急指揮平台,提供快速高效的處置能力。  

應急處置服務

一、服務內容

安恒應急響應服務主要面向客戶提供已發生安全事件的事中、事後的取證、分析及提供解決方案等工作。

安恒信息可以幫助客戶完成下列類型安全事件的應急響應支持:

事件類別

詳細描述

網絡攻擊事件

  • 安全掃描攻擊:黑客利用掃描器對目標進行漏洞探測,並在發現漏洞後進一步利用漏洞進行攻擊
  • 暴力破解攻擊:對目標系統賬號密碼進行暴力破解,獲取後台管理員權限
  • 系統漏洞攻擊:利用操作系統、應用系統中存在漏洞進行攻擊
  • WEB漏洞攻擊:通過SQL注入漏洞、上傳漏洞、XSS漏洞、授權繞過等各種WEB漏洞進行攻擊
  • 拒絕服務攻擊:通過大流量DDOS或者CC攻擊目標,使目標服務器無法提供正常服務
  • 其他網絡攻擊行爲

惡意程序事件

惡意程序主要類型及危害:

  • 病毒、蠕蟲:造成系統緩慢,數據損壞、運行異常
  • 遠控木馬: 主機被黑客遠程控制
  • 僵屍網絡程序(肉雞行爲):主機對外發動DDOS攻擊、對外發起掃描攻擊行爲
  • 挖礦程序:造成系統資源大量消耗

WEB惡意代碼

網站惡意代碼常見類型及危害:

  • Webshell後門:黑客通過Webshell控制主機
  • 網頁挂馬:頁面被植入待病毒內容,影響訪問者安全
  • 網頁暗鏈:網站被植入博彩、色情、遊戲等廣告內容

信息破壞代碼

  • 系統配置遭篡改:系統中出現異常的服務、進程、啓動項、賬號等等
  • 數據庫內容篡改:業務數據遭到惡意篡改,引起業務異常和損失
  • 網站內容篡改事件:網站頁面內容被黑客惡意篡改
  • 信息數據泄露事件:服務器數據、會員賬號遭到竊取並泄露

其他安全事件

  • 賬號被異常登錄:系統賬號在異地登錄,可能出現賬號密碼泄露
  • 異常網絡連接:服務器發起對外的異常訪問,連接到木馬主控端、礦池、病毒服務器等行爲

二、服務方式

安恒信息應急響應服務包括單次服務和年度服務兩種形式,服務地點可以選擇客戶現場和遠程兩種方式,客戶可以根據需要選擇適合自己的服務。

1.現場服務和遠程服務

根據服務地點,可以分爲現場服務和遠程服務兩種。

現場服務:指接到客戶緊急服務請求,支持人員在最短時間內趕赴客戶現場,協助客戶分析事件可能的原因,解決各類安全事件。

遠程服務:指通過電話、QQ遠程協助、遠程臨時接入等非現場的活動,協助客戶分析事件可能的原因,解決各類安全事件。

2.單次服務和年度服務

根據服務的周期,可以分爲單次服務和年度服務兩種。

單次服務:指爲客戶提供的一次性應急響應服務。一般由發生安全事件的客戶臨時申請應急響應支持人員參與應急事件處理,支持人員在分析完所有客戶提供的信息後,向客戶提交應急響應報告。

年度服務:服務期限以年爲單位,服務年度內爲客戶提供有限次數的應急響應支持工作,每次服務均會提供詳細的應急響應報告。

 

應急預案及演練服務

一、服務內容

安恒信息可爲用戶提供應急預案及應急演練服務,在服務期內,爲應對信息系統遇到突發的安全問題如:發生網絡入侵事件、大規模病毒爆發、遭受拒絕服務攻擊等,無法及時對該事件進行處理或解決的情況,提前針對此類事件進行應急預案的編制和演練,當此類事件發生時以便進行快速應對處置。

應急預案及演練服務包含如下場景:

應急預案編制包括入侵系統攻擊安全事件、拒絕服務攻擊安全事件、病毒與木馬攻擊安全事件、網站頁面篡改安全事件、數據庫內部誤操作等場景。

應急演練包括:

信息篡改:模擬針對www.test.cn網站首頁篡改事件的監控和處理(利用上傳漏洞或者弱口令實施攻擊)。

拒絕服務:模擬從外部發起的針對www.test.cn網站的拒絕服務攻擊事件的監控和處理(UD\CC等DDOS攻擊工具)。

惡意代碼:模擬某惡意攻擊者,利用系統的弱口令,利用windows共享管理服務(tcp/445),獲得對服務器的控制權限。

DNS劫持:模擬由于網站的域名解析管理賬號存在弱口令,域名權威解析被篡改事件。

應急預案及演練服務可根據客戶實際要求進行定制。

二、服務方式

安恒信息在進行應急預案和應急演練時,將采取現場服務的方式,爲客戶編制應急預案,組成客戶進行應急演練的開展。