事件响应的流程分为以下步骤:
第一步:事件确认
安全工程师与客户直接联系对接,通过与客户交流了解事件具体详情,并记录问题情况。根据客户描述现象与系统实际现象,对事件进行确认,定性;
第二步:事件抑制与分析
接到事件响应申请后, 安全工程师会根据情况进行远程或现场的响应。安全工程师会根据客户记录的安全事件描述,结合前期进行过的漏洞检测与分析结果、实时监控与审计结果等已有客户系统和网络状况,进行分析和判断。
第三步:事件处理
在对安全事件进行原因分析之后,安全工程师将进一步对安全事件进行处理,具体工作包括但不限于:
- 清理系统中存在木马、病毒、恶意程序;
- 清洗应用系统中存在的木马、webshell后门、挂马页面;
- 恢复被黑客篡改的系统配置,删除黑客创建的后门账号;
- 删除异常系统服务、清理异常进程;
第四步:事件分析报告
事件处理完毕后,根据具体情况编写《事件应急响应报告》,文档中阐述整个安全突发事件的现象、处理过程,处理结果、事件原因分析,并给出相应的安全建议,客户在获取报告后可以在对报告内容进行确认,也可以对服务过程提出反馈或投诉。
