应急响应
某大型制造业企业恶意入侵应急响应
应急响应,紧急响应突发安全事件,及时减小破坏面控制安全形式,溯源问题所在,防范问题再次发生。
项目背景
客户是中国500强企业、中国大企业集团竞争力前25强、中国信息化标杆企业、国家重点火炬高新技术企业,并为国家工程技术中心和国家级博士后工作站的常设单位,在多地建立了研究院。该客户坚持做大做强制造业的产业发展方向,目前在家电行业具有较高市场地位。
在运维过程中客户发现某个Web网络系统出现异常反应,怀疑被恶意入侵,向网新安服寻求解决方案。
方案实施
安全团队承接了该任务后,分析了具体情况,制定了四个步骤解决问题。具体措施如下:
恢复正常生产:评估入侵带来的损失,备份入侵的证据;尽可能恢复入侵前的数据,保证系统正常运行
确定入侵程度:消除攻击者留下的后门,防止二次入侵;检查服务器,防止服务器沦为“肉机”;检查攻击者入侵公司网络的程度,防止出现其它损失
查找入侵者:确定入侵者入侵使用的物理设备,IP地址,mac地址等;确定入侵者入侵使用的方法和利用的漏洞;调查入侵者的入侵目标,判断是否达到了其入侵目的
加强安全防护:确定系统薄弱点,修补攻击者利用的漏洞;对系统进行安全审计,防止此类事故再次发生
项目成果
经过此次对应急响应处理,解决了入侵带来的问题,也提高了客户的安全意识。具体成果如下:
在最短时间内恢复了系统正常的功能,减少了事故带来的损失
剔除了攻击者入侵留下的各种数据以及代码层次的后门
大致确定了攻击者各种物理信息,以及入侵的方法和系统漏洞
对系统漏洞进行了修复,同时,进行了安全审计,对系统进行加固