萬物互聯時代，便捷與風險共生，在復雜多變的網絡與信息安全形勢下，應急響應已成為抵御安全風險的有效措施。提高網絡安全事件動態響應和恢復處置能力，建立重大網絡安全事件應急指揮機制，提升事前防范、事中監測和事后應急保障水平，是構建全方位安全態勢感知體系的運營思路。

2022年11月某日

某企業應急響應告警，

用戶主機內網疑似被大面積入侵攻擊！

天融信應急響應小組隨即進行安全排查，經天融信自適應安全防御系統掃描后，發現客戶主機存在眾多風險漏洞及高危端口，并定位到失陷主機中存在攻擊者上傳的Webshell木馬。該木馬在獲得主機控制權后，通過暴力破解手段，在用戶內網主機中橫向暴破擴散，從而使業務系統大面積癱瘓。

在全面清除安全威脅后，應急小組隨后利用自適應安全防御系統進行主機加固：

開展系統脆弱性自檢，多錨點檢測安全漏洞、弱口令、風險賬號、配置缺陷等安全暴露面，提高攻擊門檻，減少入侵攻擊可能；

開啟入侵防御安全策略，實現對暴力破解、異常登錄、異常操作等行為的實時監控與防御，實現事件快速定位；

制定微隔離策略，實時監控主機間惡意網絡流量，及時發現來自內、外安全隱患，實施阻斷與放行管控；

開啟定期安全巡檢功能，清晰展示主機安全環境及自身抵御能力，全面提高安全事件分析能力。

什么是應急響應？

應急響應是指組織用于檢測和響應安全漏洞、網絡威脅或網絡攻擊的流程和技術。其目的在防患于安全事件發生之前，或在影響用戶業務正常運行的安全事件發生時實現第一時間響應處理，縮短業務恢復時間，并對安全事件進行溯源，提供相應的安全解決方案，降低安全成本。

什么是安全事件？

安全事件是指威脅到用戶系統或數據機密性、完整性、可用性的安全漏洞和入侵攻擊。常見的安全事件有：勒索軟件、網絡釣魚和社會工程學、供應鏈攻擊、配置漏洞等，層出不窮的安全事件給用戶帶來無法估量的安全危害及經濟損失。

為應對各類安全事件，天融信搭建起包括自適應安全防御系統及安全服務團隊在內的應急響應鏈，通過主機側安全運營平臺，提供預測、防御、檢測、響應四大安全能力，為客戶提供持續的安全監控、安全分析以及強大的響應能力，幫助客戶精準感知安全威脅，快速阻斷威脅入侵。

應急響應六步走

●準備階段

清點自身資產及安全風險，避免“灰色資產”和安全死角，于事前積極開展網絡安全風險自評；評估安全事件影響范圍，并組織成立事件響應小組，制定相應響應計劃。

●檢測階段

安全響應團隊對用戶網絡的可疑行為和潛在威脅進行實時監控，力求在最小業務終端范圍內檢測到安全事件，根據威脅事件類型、影響范圍及威脅發展動向進行事件評估，基于風險評估結果，拉響應急響應警報。

●抑制階段

當檢測到安全事件后，依據應急響應計劃及時采取措施，優先對失陷主機進行隔離，避免因威脅橫向傳播引發其他安全事件，最大程度降低客戶損失。

●根除階段

定位到具體威脅后，需全面清除系統內存在的入侵攻擊面，實現攻擊溯源，徹底根除威脅引發次生安全事件的可能。

●恢復階段

當威脅完全根除后，應急響應小組需將被破壞的系統還原到正常工作狀態，確保系統能夠順利運轉。

●跟蹤階段

在整個應急響應流程完畢后，需對此次安全響應事件進行分析總結，形成相應回溯文檔，檢查應急響應過程中存在的問題，重新評估響應流程，針對流程薄弱處更新完善。

天融信自適應安全防御系統

全方位構建應急響應安全鏈

TOPSEC

據賽迪顧問發布的《中國服務器安全市場研究報告（2022）》顯示，2022年中國服務器安全市場規模將達到79.7億元，在數字化轉型進程中，構建立體高效的主機安全防御體系愈發重要。未來，天融信將繼續深耕主機安全防御領域，持續聚焦網絡安全防護能力提升，夯實網絡安全責任，為筑牢主機安全防線貢獻企業力量。