零基础入门到精通

企业网站被黑被攻击怎么办?应对方法详解

不少的企业网站都会收到来自地方网信办或相关监督机构的整改建议书,报告书中都会有网站详情的安全漏洞问题,不少企业找到我们让我们帮助给修复。可是你做了不少的网站、服务器测试,也安装了一些网络防护设备,可还是被攻击了。当公司的业务系统遭受攻击时,应该如何解决呢?

一般攻击持续时间最长几个小时,对于一些首次遭受攻击的企业运维人员第一反应:我毫无准备,你却趁虚而入,打的我落花流水,薅的我一毛不拔。光懵逼没用,重要的是在短时间内快速解决问题。接下来小编就来简单的说下我们悬镜安全实验室是如何为客户做应急响应的。

我们首先根据客户的授权第一时间介入安全事件的动态检测、样本采集与分析,及时发现针对业务系统的潜在各种攻击行为和入侵痕迹,第一时间完全入侵及部分攻击溯源工作。

判断安全攻击事件危险等级

一般了解完客户的相关网络攻击情况后,大概的判断此类攻击事件的危险程度。响应速度是根据安全事件的不用等级进行划分的。一般我们会将安全事件分为3种类型。

一般安全事件:有故障但不影响业务系统的正常运行;

重大安全事件:造成系统奔溃,导致系统不能正常运行;

严重安全事件:系统功能运行不能满足用户需求,影响了多数用户使用。

具体的响应时间如下:

判断攻击类型:

是什么类型的攻击。比如CC攻击,这类的攻击造成的影响是业务无法访问,网络被大量非正常数据包堵塞;

病毒/木马类型的攻击,则会让服务器甚至整个业务系统被植入病毒、木马或被上传恶意文件;

未授权访问事件,则会使得业务系统、服务器发生异常登录,被脱库或者被恶意修复数据;

还有一些是试探性攻击事件,这类攻击主要是针对网络边界、服务器端口等,会通过漏洞扫描、暴力破解等形式进行攻击。

应急处理事件解决:

判断完攻击类型之后,再通过一些网络攻击,如风险预警攻击、漏洞检测攻击、webshell检测工具、入侵流量分析工具、海量日志分析等工具对攻击目标进行分析,快速找到原因,抑制攻击破坏所涉及的范围,同时也是限制潜在的损失并及时给出实施正确的抑制方案,也就是恢复业务系统的正常运转。

恢复业务系统正常运转是第一步,下一步是找到事件的根源并彻底根除它,以避免攻击者再次使用相同的手段攻击系统,引发安全事故。

在将事件的根源根除后,将进入恢复阶段,恢复阶段的目标是把所有被攻破的系统或网络设备还原到他们正常的认为状态。

最后是一个总结阶段,回顾整个事件发生的相关信息,每个阶段的处理方式,以及下次再遇到类似的事件如何进行最优处理。

版权声明

以上文章中所选用的图片及文字来源于网络以及用户投稿,版权归原作者所有,对此本站均没有商业用途,仅供学习与交流;本站不负任何责任! 由于未联系到知识产权人或未发现有关知识产权的登记,如有知识产权人并不愿意我们使用, 如果有侵权请立即联系QQ:823124280,我们立即下架或删除。