网站应急响应怎么做比较成功,安全事件有一个整体的生命周期,我们通过主动发现或者被动报警获取到安全事件的产生,然后通过上报安全主管研判应急人员根据这个应急决策,对安全事件进行应急处置。对于互联网的这种安全服务,包括这种远程的访问一定要做限制,控制安全事件的这个影响范围。
那么在排查取证当中,我们一定要做好备份,那在查缺补漏的过程当中,一定要清理好之前被攻击或者被入侵的这种痕迹,那对于补漏问责这块肯定是一定要改善现有的安全防护体系了,也就是优化现有的安全策略,对所有涉及的业务系统主机做批量排查。如何根据日志溯源攻击者的时间以及攻击的入口URL或第一次访问的具体时间,然后看下日志中POST数据包记录的内容来分析网站是如何被入侵以及被上传的文件木马的路径,在攻击当中所执行的操作都有哪些都要研判。
如何在应急响应中根据攻击者的日志以及漏洞进行紧急修复和清除木马,那就要看项目所使用的是网站还是APP或BS架构的软件,这三种情况都要进行全面的安全加固,防止被再次攻击和利用,首先要对出网和进网以及文件防篡改的策略进行更改,像脚本之类的文件目录权限一定要控制不允许上传,出网的策略就是对所有目标服务器访问外网的IP进行限制,只允许白名单中的IP进行访问,进网的策略的话是只开放一些公用端口像80,443这样类似的,排查到是因为网站代码存在漏洞导致被入侵的话,可以向网站安全公司SINE安全寻求技术支持来确保网站的安全运行。
还没有评论,来说两句吧...