【云 · 分享】Agilewing MSSP安全托管的治理流程（Agilewing MSSP系列之三）

上周我们介绍了电商常见的3种电商威胁安全场景【云 · 分享】电商常见的威胁场景与安全防护（Agilewing MSSP系列之一）、【云 · 分享】电商常见的威胁场景与安全防护之进阶篇（Agilewing MSSP系列之二））。这周给大家来介绍：在使用Agilewing MSSP后，如果受到攻击时我们是怎么帮助客户处理问题的。

Agilewing有一个安全管理中心与治理系统，提供客户安全防护及治理被攻击的事件。我们先来看看Agilewing MSSP安全托管的治理流程图。

当客户采用Agilewing MSSP托管服务，如果有攻击进来，WAF会做第一层的防御。WAF本身会去扫所知道的漏洞或攻击行为。WAF这一层挡下来之后基本上会产生一些日志，这些日志我们会把它传到安全管理中心，然后由安全管理中心使用机制去进行分析和管理。

安全管理中心分成两个部分，第一个部分是针对整个管理上，它跟AWS是VPN的架构，它可以把监控的软件装到AWS里面去，使用这个软件去进行日志的收集，再传送到机房去进行分析，并且在这个机房里有数据安全的标准，会跟随ISO的标准去处理所有到机房里的数据，包括数据保护。整个安全的架构也是用ISO的标准。

接着就是PAM，特权人士身份管理。PAM管理也是用同样的方式，即管理员进去的时候无法看到客户的信息，只能看到日志之类，网络的管理和重要的应用程序系统，我们会放到不一样的等级去进行监控。这些日志进来之后也会放在安全事件管理这块，所以它会在这一块把几份日志整合起来，看一下有没有漏扫的事件通过了WAF。

然而，为什么会有一些漏扫的东西呢？这可能是WAF本身设定的原因，或者有一些新的攻击是WAF本身还不知道的，又或者是Agilewing也不知道的，这些东西很容易穿透WAF到后面的网络中。在这部分SOC本身使用的工具就是负责把它扫出来，同时还会有一批专业人士是专门用来救火的，他们会跟国际上的一些情报机构互通信息。在国际上有很多这样的住址，部分情报机构发现可能在一个月后有人在开发一些恶意机器人，就会把这些信息放到组织里一起讨论，并且给出怎么防堵的解决方案。

MSSP服务我们不单是提供顾问服务，帮助客户去管理他们的WAF、Shield Advanced，还会提供SOC加速整件事情，将整件事情提升到一定的安全标准。

大家想知道上面那张Agilewing MSSP安全托管的治理流程图中，每个部分都有哪些作用吗？来，我们继续往下看。

数据是恶意攻击者的最终目标，对于企业来说对数据的保护应该放在首要位置。要对数据安全进行保护，防止数据的丢失或泄露。

网络是提供安全、稳定、可控的全天候服务的基础，通过Shield Advanced对网络架构进行保护，例如DDoS防护，确保网络基础架构可用性。

应用程序服务器、数据库、其他服务器：应用面对全世界的访问者，也将面对全世界的恶意攻击者，安全重要性不言而喻，通过WAF对web应用服务器进行防护，以确保应用的完整性与可用性。

监控是否所有的访问都是通过VPN通道进行访问。

对系统的访问情况进行日常监控，确保所有的访问都是已授权的，监控是否有非法访问。

特权人士身份管理，使得操作员进入系统的时候不能看到客户的信息的，只能看到日志之类的东西。

对网络的流量进行日常监控，观察是否有流量激增的现象。

对中央管理系统进行监控，以确保系统时刻处于正常运行的状态下。

对关键的应用进行监控，确保关键应用的可用性与完整性。

结合入侵安全数据库，对匹配到的入侵指标进行告警。

对监控到的网络异常情况进行告警。

结合攻击资源库，对匹配到的攻击指标进行告警。

通过监控的情况来判断，对达到预定风险阈值的情况进行告警。

对入侵事件进行初步鉴定与分类，这也是入侵识别的前提操作。

比对已有的资源库对入侵事件进行识别，判断入侵类型，获取入侵相关信息。

将入侵资源的识别结果进行提交，从而进行进一步的分析。

对事件进行分析，找出事件发生原因，为什么会发生？事件源在哪里？从哪里来？

与其他安全组织合作，对攻击情报信息进行讨论。

对安全事件进行遏止处理，防止事件造成后续伤害。

由公关部门根据技术调查结果对事件发生原因进行说明。

如何防堵，如何进行补救，确保事件不会二次发生。

对事件造成的数据损失与服务损失进行恢复与还原。

事件后续处理，对整个事件以及事件分析结果进行归档。

Agilewing MSSP安全防护与治理服务，为您的安全把关, 保驾护航！我们是亚马逊云计算 AWS Premier 咨询合作伙伴，专注于开发创新的云技术，帮助客户加速其全球业务的拓展，保护企业的网络与信息安全，并降低云运维成本。Agilewing不断加快技术创新速度，为客户的云端全球业务保驾护航。