业务讲堂
技术研究
最新文章
恶意代码排查服务
作者:UGUARDSEC 发表日期:2021/02/19 来源:原创

恶意代码排查是对当前操作系统和应用的运行环境进行恶意代码安全检查的过程,该项服务是由具备高技能和高素质的安全服务人员来进行的。通过对当前系统和应用的运行环境,包括可疑文件、可疑服务、可疑进程、可疑端口、可疑的网络连接、网站WebShell后门等内容进行一系列的深入检查和分析,来综合评估当前系统的运行环境安全情况,最终提出切实可行的改进建议的一种安全服务形式。


恶意代码排查的目的在于协助客户发现并解决其系统可能存在的安全性问题和隐患,解决长期困扰管理人员的,在发现入侵迹象或可疑行为后,系统的实际安全现状问题。


一、恶意代码排查和应急响应的区别


恶意代码排查不同于应急响应,他们的区别主要体现在服务的目标、对象和时间上的差异。应急响应的目标是快速处理安全事件、防范影响扩大。在控制安全事件影响的前提下,找出安全事件发生的原因,防微杜渐。


应急响应是以发生安全事件为前提,针对事件内容处理该事件中涉及的直接对象,例如相关设备、服务器或网站系统等,而恶意代码排查,更多是非直接对象,是可能受到“二次入侵”的同网段其他设备、服务器或系统。


对于时间而言,应急响应注重短时间内控制安全事件发生的范围,减少影响;而恶意代码排查则是需要对服务器、网站系统逐一检查和分析,并不要求短时间内完成。


二、恶意代码排查的必要性


在发生安全事件后,例如网站被入侵,挂马,服务器被非法登录等,客户往往担心,内部是否有其他服务器、网站、应用系统也同样遭受攻击,是否已经也被入侵?是否存在恶意程序?是否被远程非法控制?当客户出现类似的苦恼时,恶意代码排查可为客户排忧解难。


实施恶意代码排查,我们可以准确发现被恶意程序,将潜伏的病毒、木马、WebShell后门等恶意代码程序发现并清除。保证当前系统不会再存在任何恶意代码程序的隐患。


三、服务范围


恶意代码排查的服务范围主要针对被入侵网站、应用系统等服务器,同时包括与其同网段或同一区域的服务器。具体范围我们建议如下:


n被入侵网站服务器、数据库服务器

n同网段内疑似被攻击的服务器

n同一区域疑似被攻击的服务器


其次,该项服务主要针对以B/S架构为主的网站系统,因此,支持的服务器操作系统类型包括如下:


Windows系列服务器:Windows2000Windows2003Windows2008

Linux系列服务器:Redhat LinuxDebian GNU/LinuxSUSE Linux

Unix系列服务器:HPUXSolarisFreeBSDAIX


四、服务内容


恶意代码排查的服务内容包括操作系统排查和应用程序排查两部分。


恶意代码排查服务


五、服务流程


恶意代码排查服务过程中,会涉及到下面几个步骤:


(1) 首先确认待检查对象的范围和工作内容范围:包括检查对象的数量,例如20台windows2003服务器、10Redhat linux服务器;具体检查工作内容,例如WebShell网页后门检查;

(2) 其次,天磊卫士安排安全工程师准备检查工具,包括检查工具的升级更新,工具的光盘刻录等事项;

(3) 安全工程师到达客户现场,对于网页WebShell后门和一句话木马的检查,我们建议客户使用专机对待检查对象进行检查。对于操作系统级检查,需要管理员配合上传或拷贝检查工具至服务器,由安全工程师进行检查操作;

(4) 安全工程师检查完毕后,将审计结果信息记录并整理,最后输出报告。


       恶意代码排查服务


六、恶意代码排查能给企业带来什么


对客户而言,实施恶意代码排查能够带来如下收益:


n排除潜在的恶意代码隐患

恶意代码排查是针对某系统被入侵后,检查系统和内部其他服务器是否可能残留恶意代码风险的过程。安全人员均具有丰富的攻防经验,可以准确发现可疑的病毒、木马、WebShell后门等程序,并将其安全清除。


n提高技术人员安全技能水平

在安全人员与用户的交互过程中,可提升用户的安全技能。另外,通过专业的恶意代码排查报告,也能为用户提供处理安全事件、排除安全隐患的最佳实践经验。


天磊卫士通过多年专业网络安全运维服务经验积累,推出了自主研发的一体化安全运维服务平台,配合专业服务人员,对三大风险要素(资产、脆弱性、威胁)进行管理,为客户提供以“等保合规”为基本要求、以“服务可视”为交付效果、以“安全价值”为服务宗旨,以“安全结果”为最终导向的新一代网络安全运维服务。


上一篇:工控安全评估服务
下一篇:数据安全合规评估服务