萬物互聯(lián)時代，便捷與風(fēng)險共生，在復(fù)雜多變的網(wǎng)絡(luò)與信息安全形勢下，應(yīng)急響應(yīng)已成為抵御安全風(fēng)險的有效措施。提高網(wǎng)絡(luò)安全事件動態(tài)響應(yīng)和恢復(fù)處置能力，建立重大網(wǎng)絡(luò)安全事件應(yīng)急指揮機(jī)制，提升事前防范、事中監(jiān)測和事后應(yīng)急保障水平，是構(gòu)建全方位安全態(tài)勢感知體系的運(yùn)營思路。

2022年11月某日

某企業(yè)應(yīng)急響應(yīng)告警，

用戶主機(jī)內(nèi)網(wǎng)疑似被大面積入侵攻擊！

天融信應(yīng)急響應(yīng)小組隨即進(jìn)行安全排查，經(jīng)天融信自適應(yīng)安全防御系統(tǒng)掃描后，發(fā)現(xiàn)客戶主機(jī)存在眾多風(fēng)險漏洞及高危端口，并定位到失陷主機(jī)中存在攻擊者上傳的Webshell木馬。該木馬在獲得主機(jī)控制權(quán)后，通過暴力破解手段，在用戶內(nèi)網(wǎng)主機(jī)中橫向暴破擴(kuò)散，從而使業(yè)務(wù)系統(tǒng)大面積癱瘓。

在全面清除安全威脅后，應(yīng)急小組隨后利用自適應(yīng)安全防御系統(tǒng)進(jìn)行主機(jī)加固：

開展系統(tǒng)脆弱性自檢，多錨點(diǎn)檢測安全漏洞、弱口令、風(fēng)險賬號、配置缺陷等安全暴露面，提高攻擊門檻，減少入侵攻擊可能；

開啟入侵防御安全策略，實(shí)現(xiàn)對暴力破解、異常登錄、異常操作等行為的實(shí)時監(jiān)控與防御，實(shí)現(xiàn)事件快速定位；

制定微隔離策略，實(shí)時監(jiān)控主機(jī)間惡意網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)來自內(nèi)、外安全隱患，實(shí)施阻斷與放行管控；

開啟定期安全巡檢功能，清晰展示主機(jī)安全環(huán)境及自身抵御能力，全面提高安全事件分析能力。

什么是應(yīng)急響應(yīng)？

應(yīng)急響應(yīng)是指組織用于檢測和響應(yīng)安全漏洞、網(wǎng)絡(luò)威脅或網(wǎng)絡(luò)攻擊的流程和技術(shù)。其目的在防患于安全事件發(fā)生之前，或在影響用戶業(yè)務(wù)正常運(yùn)行的安全事件發(fā)生時實(shí)現(xiàn)第一時間響應(yīng)處理，縮短業(yè)務(wù)恢復(fù)時間，并對安全事件進(jìn)行溯源，提供相應(yīng)的安全解決方案，降低安全成本。

什么是安全事件？

安全事件是指威脅到用戶系統(tǒng)或數(shù)據(jù)機(jī)密性、完整性、可用性的安全漏洞和入侵攻擊。常見的安全事件有：勒索軟件、網(wǎng)絡(luò)釣魚和社會工程學(xué)、供應(yīng)鏈攻擊、配置漏洞等，層出不窮的安全事件給用戶帶來無法估量的安全危害及經(jīng)濟(jì)損失。

為應(yīng)對各類安全事件，天融信搭建起包括自適應(yīng)安全防御系統(tǒng)及安全服務(wù)團(tuán)隊在內(nèi)的應(yīng)急響應(yīng)鏈，通過主機(jī)側(cè)安全運(yùn)營平臺，提供預(yù)測、防御、檢測、響應(yīng)四大安全能力，為客戶提供持續(xù)的安全監(jiān)控、安全分析以及強(qiáng)大的響應(yīng)能力，幫助客戶精準(zhǔn)感知安全威脅，快速阻斷威脅入侵。

應(yīng)急響應(yīng)六步走

●準(zhǔn)備階段

清點(diǎn)自身資產(chǎn)及安全風(fēng)險，避免“灰色資產(chǎn)”和安全死角，于事前積極開展網(wǎng)絡(luò)安全風(fēng)險自評；評估安全事件影響范圍，并組織成立事件響應(yīng)小組，制定相應(yīng)響應(yīng)計劃。

●檢測階段

安全響應(yīng)團(tuán)隊對用戶網(wǎng)絡(luò)的可疑行為和潛在威脅進(jìn)行實(shí)時監(jiān)控，力求在最小業(yè)務(wù)終端范圍內(nèi)檢測到安全事件，根據(jù)威脅事件類型、影響范圍及威脅發(fā)展動向進(jìn)行事件評估，基于風(fēng)險評估結(jié)果，拉響應(yīng)急響應(yīng)警報。

●抑制階段

當(dāng)檢測到安全事件后，依據(jù)應(yīng)急響應(yīng)計劃及時采取措施，優(yōu)先對失陷主機(jī)進(jìn)行隔離，避免因威脅橫向傳播引發(fā)其他安全事件，最大程度降低客戶損失。

●根除階段

定位到具體威脅后，需全面清除系統(tǒng)內(nèi)存在的入侵攻擊面，實(shí)現(xiàn)攻擊溯源，徹底根除威脅引發(fā)次生安全事件的可能。

●恢復(fù)階段

當(dāng)威脅完全根除后，應(yīng)急響應(yīng)小組需將被破壞的系統(tǒng)還原到正常工作狀態(tài)，確保系統(tǒng)能夠順利運(yùn)轉(zhuǎn)。

●跟蹤階段

在整個應(yīng)急響應(yīng)流程完畢后，需對此次安全響應(yīng)事件進(jìn)行分析總結(jié)，形成相應(yīng)回溯文檔，檢查應(yīng)急響應(yīng)過程中存在的問題，重新評估響應(yīng)流程，針對流程薄弱處更新完善。

天融信自適應(yīng)安全防御系統(tǒng)

全方位構(gòu)建應(yīng)急響應(yīng)安全鏈

TOPSEC

據(jù)賽迪顧問發(fā)布的《中國服務(wù)器安全市場研究報告（2022）》顯示，2022年中國服務(wù)器安全市場規(guī)模將達(dá)到79.7億元，在數(shù)字化轉(zhuǎn)型進(jìn)程中，構(gòu)建立體高效的主機(jī)安全防御體系愈發(fā)重要。未來，天融信將繼續(xù)深耕主機(jī)安全防御領(lǐng)域，持續(xù)聚焦網(wǎng)絡(luò)安全防護(hù)能力提升，夯實(shí)網(wǎng)絡(luò)安全責(zé)任，為筑牢主機(jī)安全防線貢獻(xiàn)企業(yè)力量。