悬镜安全丨企业应急响应浅析，遇到网络攻击怎么办？

2016-2017年，各国围绕互联网关键资源和网络空间国际规则的角逐将更加激烈，工业控制系统、智能技术应用、云计算等面临的网络安全风险进一步加大，黑客组织和网络恐怖组织等非国家行为发起的网络安全攻击持续增加，影响力和破坏力显著增强。

 

 

2017年6月1日颁布的《网络安全法》第25条规定“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告”。

 

企业的安全运维也面临着极其大的挑战，不仅有来自内部的泄露，还有更多是来自外部的攻击。

 

来自外部的攻击

攻击者是谁？

攻击目标是？

目前攻击的进展？

攻击的目的又是什么？

攻击者打算什么时间攻击？

攻击者将会采用什么样的攻击手段？

攻击者的具体位置，在哪发起的攻击？

 

企业对外部敌方的信息一无所知，无法做到知彼知己，在攻防的过程中处于非常被动的局面，企业怎样才能扭转被动挨打的局面呢？

 

来自内部的威胁

通过持续监控与分析组织的终端行为数据，并结合外部威胁情报的数据，可以找出组织内部已经被攻陷的终端。目前主要包括：webshell、反弹shell、远程木马、tunnel、潜伏后门、数据泄露等。

在进行持续监控与分析组织的内部安全大数据时，并结合安全情报，发现客户内部的攻击面、漏洞信息、内部攻击违规操作等威胁。目前主要包括：非法扫描、恶意探测、暴力破解、越权访问、非法业务数据查询等。 

 

除了以上各方面的攻击威胁外，还有一些是企业在应急响应中的致命痛点，比如：历史遗留问题、安全设备当摆设（缺少安全运营人员）、资产管理混乱、管理制度问题（特权账号问题）、没有日志（或者没有开启日志）、弱口令问题、溯源困难、无法还原事件现场（无备份机制）、缺少日常安全巡检、以及常见的乌龙事件。单纯是这些，已经让企业的安全运维人员气到爆炸，简直不想上班。

 

企业必备5项应急响应能力

1.      数据采集、存储和检索的能力

l 能对全流量数据协议还原

l 能对还原的数据进行存储

l 能对存储的数据快速检索

 

2.      事件发现的能力

l 能发现APT攻击

l 能发现web攻击

l 能发现数据泄露

l 能发现失陷主机

l 能发现弱口令以及企业通用口令

l 能发现主机异常行为

 

3.      事件分析的能力

l 能进行多维度关联分析

l 能还原完整杀伤连

l 能结合具体业务进行深度分析

 

4.      事件研判的能力

l 能确定对攻击者的动机及目的

l 能确定事件的影响面以及影响范围

l 能确定攻击者的手法

 

5.      事件处置能力

l 能第一时间恢复业务正常运行

l 能对发现的病毒、木马进行处置

l 能对攻击者利用的漏洞进行修复

l 能对问题设备进行安全加固

 

小编相信，如果企业的安全运维人员具备以上能力的话，就再也不用担心自己被攻击了。即使被攻击，也能快速找到攻击溯源，在短时间快速恢复业务正常。而通常的情况并不是这样，特别是一些中小型企业。中小企业在发展前期更加注重业务的快速增长，对于网络安全的投入会低一些。可真的发生了网络攻击事件，应该怎么快速处理呢？

 

企业如何快速进行应急处理？

1、  找靠谱的安全厂商

遭受攻击的时候，一般第一反应都是懵逼的状态。怎么办，业务系统受影响了；客户都快炸毛了；公司的同事也是各种抱怨，哀声载道，空有一颗想快速恢复的心，却没那能力，只能空叹书到用时方恨少。这个时候找一个靠谱的安全厂商，在短时间内快速帮助你恢复业务正常才是最有效的做法。悬镜安全实验室提供专业应急响应服务，悬镜实验室的成员大部分来自北京大学信息安全实验室，且是国信504红队成员，拥有丰富的攻防项目实战经验，在十九大召开前夕，为知名央企进行应急演练预案，加强企业在十九大期间的信息安全建设，为十九大信息安全保驾护航。

 

2、  自己内部培养安全技术人才

平时负责企业网络相关信息的人可以多学习下信息安全相关的知识，网络资料真的是超级多，推荐几个信息安全学习的在线平台。春秋、网易云课堂、腾讯课堂之类的。自身技术实力硬，出现问题也不会慌张，反而更加刺激。想想正义会战胜邪恶，想想都开心。

 

3、  定期进行安全巡检/渗透测试

网上有一些安全扫描的软件，时不时给自己的服务器、网站做个漏洞扫描。目前悬镜安全实验室自主研发的云鉴漏洞扫描云平台可以针对系统服务器、web网站、安卓app漏洞进行全方位自动化的扫描，详情可以去云鉴上看看，注册个账号体验下。

 

当然还有一种就是人工的渗透测试，这个不需要多做，一个季度或者2个季度做一次即可。能全方位的发现系统存在的各种漏洞。

 

悬镜安全实验室介绍：

悬镜安全实验室先后取得了信息安全风险评估和信息安全应急处理两个国家认可的服务资质，为开发商、政企高校，金融服务平台等提供专业可靠的互联网信息安全服务。由悬镜安全实验室研发的三合一服务平台——云鉴融合云诺大数据智能检测云平台的海量数据漏洞，对漏洞进行全面深入检测，细致入微，方能护得安全无忧。云鉴平台不仅能在线扫描WEB、服务器、APP的漏洞，更能自动生产专业详细的报告，并能加盖我们具备效力和资质的印章，助您无惧严格审核。提前发现漏洞，提前解决漏洞，再遇到攻击事件我也不慌张了。