网络安全重保服务 服务背景 随着我国国力的强盛，近年来各类的重大会议、活动越来越多，规模也不断扩大。各企业随之面对的重要时期相关信息安全保障也是一场场没有硝烟的战斗，一个完善的重要时期企业安全保障体系将发挥至关重要的作用，其完善与否，也是一个企业在重要保障时期坚定、自信的体现。 服务内容 重保的工作可以按照信息安全事件的生命周期做准备，简化可以分为事前、事中、事后3个阶段，大概的工作内容如下： 事前准备 l资产梳理 重保前期企业需要对全网IT资产进行梳理，明确IT资产的重要等级以及相关责任人，做到更有针对性的保障重…

前言 在网络攻坚战的时候，攻击溯源作为安全事故中事后响应的重要组成部分，通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性，就能更好地控制后果。   思路 在溯源的过程除开相关的技术手段之外，需要确认一个整体的思路。对异常点进行一个整体的分析并根据实际环境给出几种可能的方案，俗话说的好，有备无患嘛。将经常出现的问题，可能出现的错误点进行深度剖析不断进行设计和改进。还有一些检测设备的部署，…

前言 收集了一些常见的安全事件应急响应工具和资源列表，总收集47款实用工具，包括多引擎病毒检测、病毒查杀、勒索病毒搜索引擎、webshell检测、在线沙箱、安全分析、流量分析和日志分析等工具。 01、多引擎在线病毒扫描 当发现一个可疑的异常文件，使用多个不同的病毒引擎进行扫描检测，确认文件是否是恶意代码。 VirSCAN：免费多引擎在线病毒扫描1.02版，支持47个杀毒引擎。 https://www.virscan.org/ VirusTotal：一个提供免费的可疑文件分析服务的网站。 https://www.vi…

应急响应操指南-Linux排查流程 01 — 查看系统完整性 centos: rpm -Va:检验系统中所有使用rpm安装的软件包相关的完整性 debian： dpkg -Va:检验系统中所有使用dpkg安装的软件包相关的完整性 状态位说明： S 表示文件长度发生了变化 M 表示文件的访问权限或文件类型发生了变化 5 表示MD5校验和发生了变化 D 表示设备节点的属性发生了变化 L 表示文件的符号链接发生了变化 U 表示文件/子目录/ 设备节点的owner 发生了变化 G 表示文件/子目录/ 设备节点的group …

应急响应操作指南-Windows排查流程 系统用户 排查点： (1)当前登录账号的登录时间 (2)克隆账号、隐藏账号 (3)Guest账号 查看当前已登录账户 query user 如果该台主机被远程登录，执行query user可以看到会话名字段包含rdp字符 查看用户目录是否存在新建用户目录 C:\Users 查看是否存在可疑账户、新增账号（注意Guest账号是否启用）,Win+R输入lusrmgr.msc 查看隐藏账号、克隆账号,Win+R输入regedit打开注册表查看 HKLM\SAM\SAM\Domai…

安全应急响应流程 ◆ 准备阶段——实现与其他安全环节的互动 ◆ 检测阶段——初步事件分析、把事件分析与业务恢复进程分离 ◆ 抑制阶段——抑制事件对业务影响 ◆ 根除阶段——事件分析 ◆ 恢复阶段——恢复受害系统 ◆ 追踪阶段——提供可参考的经验教训