云上的应急响应应该根据不同类别的安全事件进行定义和定级,并通过事前做好的预案和响应剧本进行快速的响应。
根据过往的安全经验和云上的安全威胁,应急响应的事件根据攻击类型可大致分为以下几类:
应急事件类别 | 示例 | 示例描述 | 建议等级 | 参考等级说明 |
应用安全类事件 | Web入侵 | 如服务器遭受SQL注入攻击 | 高 | 应用类安全事件可通过WAF等安全设备进行识别或拦截,WAF告警中会包含该事件的严重等级,等级建议根据攻击事件的类别而定 |
网络安全类事件 | DDoS攻击 | 服务器遭受DDoS攻击或CC攻击导致业务系统不可用 | 高 | 发生DDoS攻击事件,从业务影响看一般都可以被定义成高等级事件,DDoS本身会影响业务稳定性和可靠性 |
系统安全类事件 | 勒索病毒 | 系统遭受勒索病毒攻击,核心数据被加密 | 高 | 系统事件往往会来自云安全中心,云安全中心同样会对入侵事件进行定级,建议参考云安全中心的定级说明 |
故障稳定性类事件 | 云稳定性事件 | 网络或应用宕机 | 高 | 稳定性事件通常情况下是高风险事件 |
其他事件 | 数据泄露 | 外部情报监控或舆情显示内部核心机密外泄 | 高 | 数据泄露需要根据泄露的数据内容、真实性、实际业务风险、舆情风险而定 |
漏洞类事件 | log4j漏洞 | 重大影响漏洞 | 高 | 漏洞建议根据漏洞的影响来判定事件的等级,如云安全中心会发布应急漏洞,此类漏洞一旦发现,建议按照高优先级进行处理 |
