| 阿里云安全应急响应服务参照国家信息安全事件响应处理相关标准,帮助云上用户业务在发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的7×24小时远程紧急响应处理服务,使云上用户能够快速响应和处理信息安全事件,保障业务安全运营。阿里云安全应急响应服务的主要场景如下表所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| . 当客户系统发生安全突发事件后,需要SOS服务时,需要先购买安全事件应急响应服务。
|
|
|
| . 购买服务后需要在5个自然日内在页面上提交需要应急响应的资产清单或者在安全公司与客户取得联系后,通过其他方式提交需要处理的资产清单。
|
|
|
| . 为避免进一步的损失,建议客户自行对被攻击的资产进行数据备份工作。
|
|
|
|
|
| 当客户购买服务后,阿里云后台管理系统会根据客户发生的安全事件的情况,为客户分配合适的安全公司。
|
|
|
|
|
| . 安全公司的安全工程师与客户直接联系对接,通过与客户交流了解事件的具体详情,并记录问题情况。
|
|
|
|
|
| . 根据客户描述现象与系统实际现象,对事件进行确认,定性。
|
|
|
|
|
| 如果在响应过程中,发现黑客正在进行攻击,或者有其他可能会进一步破坏系统的行为,安全工程师将采取抑制手段。抑制事态发展是为了将事故的损害降低到最小化。在抑制环节,常见的手段如下:
|
|
|
|
|
|
|
|
|
|
|
| 在对安全事件进行原因分析之后,安全工程师将进一步对安全事件进行处理,具体工作如下:
|
|
|
|
|
|
|
| . 恢复被黑客篡改的系统配置,删除黑客创建的后门账号;
|
|
|
|
|
|
|
|
|
| 根据网络流量、系统日志、Web日志记录、应用日志、数据库日志,结合安全产品数据,分析黑客入侵手法,调查造成安全事件的原因,确定安全事件的威胁和破坏的严重程度。
|
|
|
| 部分安全事件会因为黑客清理了日志或者系统未保留相关日志从而导致无法定位入侵原因,因此应急响应服务将尽可能地分析原因,但不承诺一定能分析出入侵原因。
|
|
|
|
|
| 事件处理完后,根据整个事件情况撰写《阿里云安全事件应急响应报告》,文档中阐述整个安全突发事件的现象、处理过程、处理结果、事件原因分析(针对事件分析版),并给出相应的安全建议,客户在获取报告后可以再对报告内容进行确认,也可以对服务过程向阿里云提出反馈或投诉。
|
|
|
|
|
| 在安全事件处理结束后,阿里云将继续跟踪事件处理结果,对服务提供商的服务过程和服务质量进行审查。阿里云安全应急响应服务的SLA说明如下表所示。
|
|
|
|
|
|
|
