上周我们介绍了电商常见的3种电商威胁安全场景【云 · 分享】电商常见的威胁场景与安全防护(Agilewing MSSP系列之一)、【云 · 分享】电商常见的威胁场景与安全防护之进阶篇(Agilewing MSSP系列之二))。这周给大家来介绍:在使用Agilewing MSSP后,如果受到攻击时我们是怎么帮助客户处理问题的。
Agilewing有一个安全管理中心与治理系统,提供客户安全防护及治理被攻击的事件。我们先来看看Agilewing MSSP安全托管的治理流程图。
当客户采用Agilewing MSSP托管服务,如果有攻击进来,WAF会做第一层的防御。WAF本身会去扫所知道的漏洞或攻击行为。WAF这一层挡下来之后基本上会产生一些日志,这些日志我们会把它传到安全管理中心,然后由安全管理中心使用机制去进行分析和管理。
安全管理中心分成两个部分,第一个部分是针对整个管理上,它跟AWS是VPN的架构,它可以把监控的软件装到AWS里面去,使用这个软件去进行日志的收集,再传送到机房去进行分析,并且在这个机房里有数据安全的标准,会跟随ISO的标准去处理所有到机房里的数据,包括数据保护。整个安全的架构也是用ISO的标准。
接着就是PAM,特权人士身份管理。PAM管理也是用同样的方式,即管理员进去的时候无法看到客户的信息,只能看到日志之类,网络的管理和重要的应用程序系统,我们会放到不一样的等级去进行监控。这些日志进来之后也会放在安全事件管理这块,所以它会在这一块把几份日志整合起来,看一下有没有漏扫的事件通过了WAF。
然而,为什么会有一些漏扫的东西呢?这可能是WAF本身设定的原因,或者有一些新的攻击是WAF本身还不知道的,又或者是Agilewing也不知道的,这些东西很容易穿透WAF到后面的网络中。在这部分SOC本身使用的工具就是负责把它扫出来,同时还会有一批专业人士是专门用来救火的,他们会跟国际上的一些情报机构互通信息。在国际上有很多这样的住址,部分情报机构发现可能在一个月后有人在开发一些恶意机器人,就会把这些信息放到组织里一起讨论,并且给出怎么防堵的解决方案。
MSSP服务我们不单是提供顾问服务,帮助客户去管理他们的WAF、Shield Advanced,还会提供SOC加速整件事情,将整件事情提升到一定的安全标准。
大家想知道上面那张Agilewing MSSP安全托管的治理流程图中,每个部分都有哪些作用吗?来,我们继续往下看。
数据是恶意攻击者的最终目标,对于企业来说对数据的保护应该放在首要位置。要对数据安全进行保护,防止数据的丢失或泄露。
网络是提供安全、稳定、可控的全天候服务的基础,通过Shield Advanced对网络架构进行保护,例如DDoS防护,确保网络基础架构可用性。
应用程序服务器、数据库、其他服务器:应用面对全世界的访问者,也将面对全世界的恶意攻击者,安全重要性不言而喻,通过WAF对web应用服务器进行防护,以确保应用的完整性与可用性。
监控是否所有的访问都是通过VPN通道进行访问。
对系统的访问情况进行日常监控,确保所有的访问都是已授权的,监控是否有非法访问。
特权人士身份管理,使得操作员进入系统的时候不能看到客户的信息的,只能看到日志之类的东西。
对网络的流量进行日常监控,观察是否有流量激增的现象。
对中央管理系统进行监控,以确保系统时刻处于正常运行的状态下。
对关键的应用进行监控,确保关键应用的可用性与完整性。
结合入侵安全数据库,对匹配到的入侵指标进行告警。
对监控到的网络异常情况进行告警。
结合攻击资源库,对匹配到的攻击指标进行告警。
通过监控的情况来判断,对达到预定风险阈值的情况进行告警。
对入侵事件进行初步鉴定与分类,这也是入侵识别的前提操作。
比对已有的资源库对入侵事件进行识别,判断入侵类型,获取入侵相关信息。
将入侵资源的识别结果进行提交,从而进行进一步的分析。
对事件进行分析,找出事件发生原因,为什么会发生?事件源在哪里?从哪里来?
与其他安全组织合作,对攻击情报信息进行讨论。
对安全事件进行遏止处理,防止事件造成后续伤害。
由公关部门根据技术调查结果对事件发生原因进行说明。
如何防堵,如何进行补救,确保事件不会二次发生。
对事件造成的数据损失与服务损失进行恢复与还原。
事件后续处理,对整个事件以及事件分析结果进行归档。
Agilewing MSSP安全防护与治理服务,为您的安全把关, 保驾护航!我们是亚马逊云计算 AWS Premier 咨询合作伙伴,专注于开发创新的云技术,帮助客户加速其全球业务的拓展,保护企业的网络与信息安全,并降低云运维成本。Agilewing不断加快技术创新速度,为客户的云端全球业务保驾护航。